SIer時代、社内基幹システムの承認ログが「全社読み取り可」のデフォルト設定のまま半年間放置されていた現場に居合わせたことがある。誰も確認しなかった。結局、他部署から決裁内容を閲覧されていた。
Cookieの同意バナーも構造は同じだ。「すべて許可」を反射的にクリックした瞬間、そのWebサイトに埋め込まれたサードパーティのトラッカーに対して閲覧行動のデータ送信を許可している。
結論から言う。バナーの「拒否」を毎回押すより、ブラウザ側でサードパーティCookieを一括ブロックするほうが確実で手間もかからない。Safariはすでにデフォルトでブロック済みだが、Chromeは2026年6月時点でもデフォルト許可のままである。設定を変えていないChromeユーザーは、今すぐ確認すべきだ。
「すべて許可」で何が送信されるのか
Cookie管理サービス大手のCookieYes社の調査によれば、一般的なWebサイトには平均22個のCookieが設定されており、そのうち約70%がサードパーティのトラッキングCookieである。「すべて許可」を押すと、15個以上のトラッカーにあなたの閲覧行動を渡すことになる。
さらに厄介な事実がある。
Cookie同意に関する26件の研究を横断調査したレポートによると、調査対象のWebサイトの79%が、バナーを表示する前の時点でサードパーティのトラッカーを読み込んでいた。バナーが出る前にすでにデータ送信が始まっている。平均3個、多いサイトでは13個のトラッカーが同意取得前に起動していた。
「拒否」を押しても安心できない。同じ調査で、ユーザーが「すべて拒否」を選択した後も平均4個のトラッカーが動作し続けていたことが確認されている。Cookie同意バナーだけに頼る防御には、仕様上の限界がある。
ブラウザごとのサードパーティCookie対応(2026年6月時点)
対応状況はブラウザによって大きく分かれる。
| ブラウザ | サードパーティCookie | デフォルト設定 |
|---|---|---|
| Safari(macOS / iOS) | 完全ブロック | デフォルトでオン(ITP、Safari 13.1以降・2020年3月〜) |
| Firefox | 厳格ブロック | デフォルトでオン(Enhanced Tracking Protection) |
| Chrome | 許可 | デフォルトで許可(手動変更が必要) |
| Edge | バランスモード | 既知トラッカーのみブロック(「厳密」に変更可) |
AppleのWebKit公式ブログによれば、SafariのITP(Intelligent Tracking Prevention)はオンデバイスの機械学習分類器でトラッカーを判定し、サードパーティCookieを全面的にブロックしている。iPhoneのSafariユーザーであれば、特に設定を変えていない限りすでに保護されている状態だ。
問題はChromeである。Googleは当初、2024年後半までにサードパーティCookieを段階的に廃止する計画だった。しかし2024年7月にこの計画を撤回し、代替としてユーザーに選択プロンプトを表示する案も2025年4月に取り下げた。結果として2026年6月現在、ChromeのサードパーティCookie設定は何も変わっていない。デフォルトは「許可」のままだ。
ChromeでサードパーティCookieをブロックする手順
手動で設定を変える必要がある。手順は3ステップで完了する。
- Chromeのアドレスバーに
chrome://settings/cookiesと入力してEnter - 「サードパーティのCookie」セクションを開く
- 「サードパーティのCookieをブロックする」を選択
これで完了だ。所要時間は30秒もかからない。
ただし、一部のWebサイトでログイン状態が維持できなくなったり、埋め込み動画が再生されなくなるケースがある。筆者の環境(Chrome / macOS Sequoia)では、ECサイトの決済画面で外部決済プロバイダへのリダイレクトが失敗するケースを1件確認した。
特定のサイトだけサードパーティCookieを許可したい場合は、同じChromeの設定画面で「サードパーティCookieの使用が許可されているサイト」にドメインを追加する。SIer時代のファイアウォールのホワイトリスト設計と発想は同じだ。全体をブロックし、必要なものだけ穴を開ける。
Microsoft Edgeの場合
Edgeはデフォルトで「バランス」モードだが、より厳格にしたいなら edge://settings/privacy を開き、「追跡防止」を「厳密」に変更する。
Firefoxの場合
Firefoxはデフォルトの「標準」モードですでにサードパーティのトラッキングCookieをブロック済みだ。「厳格」モードに変更するには about:preferences#privacy を開く。
日本のCookie規制はバナー操作だけでは足りない
2023年6月に施行された改正電気通信事業法の「外部送信規律」は、Cookieなどの情報送信について「通知・公表」を義務づけている。ただしGDPR(EU一般データ保護規則)のようなユーザーの事前同意取得までは求めていない。
日本のWebサイトに表示されるCookieバナーの多くは、法律上は「通知した」という事実を残すためのものだ。「拒否」ボタンがあっても、それが技術的にすべてのトラッカーを停止させている保証はない。前述の調査で79%のサイトが同意前にトラッカーを起動していた事実を踏まえれば、バナーの操作だけで身を守るのは現実的ではないと判断する。
SIer時代に染み付いた原則がここでも効く。「デフォルトを信用するな、パーミッションは自分で絞れ」。ブラウザ側の設定で一括ブロックするのが、2026年6月時点で最も手間対効果の高い防御策だ。
FAQ
サードパーティCookieをブロックするとWebサイトが壊れないか?
一部のサイトでログイン維持や決済リダイレクトに影響が出るケースはある。壊れたサイトだけ個別にCookieを許可する「ホワイトリスト方式」で対処すれば、日常利用にはほぼ支障がない。SafariはITPで2020年から全面ブロックしているが、大きな混乱は起きていない。
Cookie同意バナーで「拒否」を押せばトラッキングは完全に止まるのか?
止まらない。研究データでは「すべて拒否」後も平均4個のトラッカーが動作を続けていた。バナーの実装品質はサイトごとに異なるため、ブラウザ側の設定で補完するのが確実だ。
日本のWebサイトのCookieバナーに「拒否」ボタンがないのは違法か?
改正電気通信事業法の外部送信規律は「通知・公表」を義務づけているが、GDPRのような事前同意の取得は求めていない。「拒否」ボタンがなくても現行法上は直ちに違法とは言えない。ただし個人情報保護法で個人関連情報に該当する場合は別途対応が必要になるケースもある。
iPhoneのSafariはCookie同意バナーで何を押しても関係ないのか?
Safari 13.1以降(2020年3月〜)、ITPがサードパーティCookieをデフォルトで全面ブロックしている。「設定」アプリ→「Safari」→「サイト越えトラッキングを防ぐ」がオンであれば、バナーで何を押してもサードパーティCookieはブラウザ側で遮断される。ファーストパーティCookieは引き続き機能するので、ログイン状態の維持には影響しない。
参考文献
- 26 Studies on Cookie Banners, Consent Rates, Compliance — Ignite Video
- Cookie Consent Trends by Country: 2026 Global Compliance Guide — CookieYes
- Full Third-Party Cookie Blocking and More — WebKit
- Chrome で Cookie を削除、許可、管理する — Google Chrome ヘルプ
- 外部送信規律について — 総務省
