SIer時代、社内基幹システムの承認ログが「全社読み取り可」のデフォルトパーミッションで半年間放置されていた事件を経験した。誰も設定を確認しなかった結果、他部署から決裁内容が丸見えだった。Webサイトの「Cookieをすべて許可」ボタンも、構造としてはあの失態と変わらない。何を許可しているか把握しないまま、反射的にバナーを消している人が大半のはずだ。

結論から言う。「すべて許可」を押すと、そのサイトに埋め込まれた広告ネットワークやアクセス解析サービスが、ブラウザに追跡用のCookieを書き込む許可を得る。CookieYes社の調査によれば、一般的なWebサイトが発行するCookieの平均個数は22個。うち約70%がサードパーティ(第三者)のトラッカーだ。1サイトで「すべて許可」を押すだけで、十数個の広告・解析サービスに閲覧行動を渡すことになる。

「すべて許可」を押した瞬間に何が起きるか

Cookie同意バナーの「すべて許可」は、技術的にはCMP(同意管理プラットフォーム)に対して「このサイトに埋め込まれたすべてのタグを発火させてよい」と回答する行為だ。タグが発火するとGoogle Analytics、Meta Pixel、各種広告ネットワークのスクリプトが動き出し、それぞれが独自のCookieをブラウザに書き込む。

この同意はブラウザを閉じても残る。一度許可したCookieは有効期限(サービスによって30日から2年)まで生き続け、別のサイトでも同じ広告ネットワークのCookieが読み取られる仕組みだ。先週調べた脱毛クリニックの広告が、今日ニュースサイトに表示される。これがサードパーティCookieによるクロスサイトトラッキングの正体である。

Privacy Journal社の2024年統計では、Alexa上位100サイトの平均Cookie数は52個、うちサードパーティCookieが28個と報告されている。ニュースサイトや比較サイトなど広告依存度の高いサイトほど、この数は膨れ上がる。

ファーストパーティとサードパーティ、Cookie 2種類の区別

Cookieは2種類に分かれる。

ファーストパーティCookieは、アクセスしたサイト自身が発行する。ログイン状態の維持、カートの中身の保持、言語設定の記憶。これらはサイトの基本機能に不可欠であり、拒否するとサイトが正常に動作しなくなる。同意バナーで「必要なCookie」「Strictly Necessary」と表記されるのは、主にこれだ。

サードパーティCookieは、アクセスしたサイトとは別のドメイン(広告配信会社やアクセス解析サービス)が発行する。複数のサイトをまたいでユーザーの行動を追跡し、興味関心に基づく広告配信に使われる。「すべて許可」で主に許可されるのはこちらである。

仕様上、サードパーティCookieを全拒否してもサイトの基本機能はほぼ壊れない。影響が出るのは「Googleアカウントで認証するソーシャルログイン」や「外部ドメインの埋め込み決済フォーム」など、限定的なケースに留まる。

ブラウザ別のサードパーティCookie制限設定

同意バナーを毎回読んで判断するのは現実的ではない。ブラウザ側でサードパーティCookieを一括制限するほうが確実だ。

Safari(iOS / macOS)

SafariのITP(Intelligent Tracking Prevention)は、サードパーティCookieをデフォルトで完全ブロックしている。追加設定は不要だ。2026年6月時点では、ファーストパーティCookieであってもトラッキングパラメータ付き(?gclid=?fbclid=)で流入した場合は有効期限が24時間に制限される。JavaScript由来のファーストパーティCookieも7日間で失効する。

確認手順(iOS): 設定 → Safari → 下部の「詳細」→「すべてのCookieをブロック」がオフであることを確認する。ITPはこのスイッチとは独立して動作しており、オフの状態でもサードパーティCookieはブロックされている。全Cookieをブロックするとログインすらできなくなるため、このスイッチはオフのままでよい。

Chrome

ChromeはサードパーティCookieをデフォルトではブロックしない。Googleは2024年にサードパーティCookieの全面廃止計画を撤回し、ユーザー選択制に移行した経緯がある。自分で設定を変えない限り、追跡Cookieは書き込まれ続ける。

設定手順: Chrome設定chrome://settings/cookies)→「サードパーティCookie」→「サードパーティのCookieをブロックする」を選択する。一部サイトでログインや決済が壊れる場合は、「サードパーティCookieの使用が許可されているサイト」に個別追加で対処できる。

ChromeThemer社の検証によると、Chromeの標準設定ではトラッカーの30〜40%しかブロックできず、Brave(89%ブロック)やFirefox(ETP有効時)と比較すると防御力は低い。Chromeを使い続けるなら「サードパーティCookieブロック + uBlock Origin拡張」の併用が現実解だと筆者は判断する。

Edge

Microsoft Edgeは「追跡防止」機能を基本・バランス・厳重の3段階で提供しており、デフォルトは「バランス」だ。バランスでは未訪問サイトからのサードパーティCookieをブロックする。

設定手順: edge://settings/privacy → 追跡防止 → 「厳重」に変更すると、すべてのサードパーティCookieがブロックされる。「バランス」のままでも大半の追跡Cookieは遮断されるため、まずはデフォルトのまま使って不都合があれば「厳重」へ切り替える運用でよい。

日本のサイトでは同意バナーが「お飾り」のケースがある

EU一般データ保護規則(GDPR)やアメリカのCCPA(カリフォルニア消費者プライバシー法、2026年1月改正)に準拠したサイトでは、「必要なCookieのみ」を選択するとサードパーティの追跡Cookieが実際にブロックされる。CMPがタグの発火を技術的に制御しているためだ。

問題は日本国内のサイトである。日本の改正電気通信事業法(2023年6月施行の外部送信規律)は「通知・公表」を義務付けているが、GDPRのような「事前同意取得」の義務は一部ケースに限定されている。バナーは出しているが、技術的にはCookieの書き込みを止めていないサイトが存在する。

2026年1月に個人情報保護委員会が公表した改正方針では、個人関連情報の不適正利用禁止やオプトアウト制度の厳格化が検討されている。今後は日本でも同意バナーの実効性が問われる方向に動く見込みだが、現時点では法整備が追いついていない。

だからこそ、サイト側のバナーに頼るのではなくブラウザ側でサードパーティCookieを一括制限するのが確実だ。バナーはサイトごとの実装品質に依存するが、ブラウザの設定はすべてのサイトに一律で適用される。SIer時代に叩き込まれた原則がここでも通用する。デフォルトを信用するな。パーミッションは自分で絞れ。

FAQ

サードパーティCookieをブロックしたらログインできなくなるサイトがある?

ソーシャルログイン(Googleアカウント認証、Facebook認証など)で認証フローにサードパーティCookieを要求する実装が一部残っている。その場合はブラウザの例外リストに該当サイトだけ追加すればよい。Chromeならchrome://settings/cookiesの「サードパーティCookieの使用が許可されているサイト」、Edgeならedge://settings/privacyの「例外」から設定できる。

シークレットモード(プライベートブラウズ)を使えばCookieの心配は不要?

シークレットモードではセッション終了時にCookieが削除される。ただしセッション中はサードパーティCookieが有効なブラウザもある。Chromeは2026年6月時点でシークレットモードでもサードパーティCookieをデフォルト許可しているため、セッション中の追跡は防げない。Safariはシークレットモードでも ITPが有効なため、サードパーティCookieはブロックされる。

Cookieを全削除すれば追跡はリセットされる?

Cookie自体はリセットされるが、フィンガープリンティング(ブラウザの設定情報・画面解像度・インストール済みフォントなどから個体識別する技術)のようにCookieを使わない追跡手法も存在する。Cookieの全削除はログイン状態やサイト設定もすべて消えるため、サードパーティCookieだけをブラウザ設定でブロックするほうが実用的だ。

日本のサイトにもCookie同意バナーの表示義務はあるのか

2023年6月施行の改正電気通信事業法(外部送信規律)により、電気通信事業を営む者はCookie等の外部送信について通知・公表が義務付けられている。ただしGDPRのような「事前同意取得」の義務は一部のケースに限定される。個人情報保護法の改正方針(2026年1月公表)では規制強化の方向性が示されており、今後の法改正に注目が必要だ。

参考文献