4. DataSign Inc. All Rights Reserved
そもそもクッキーとは?
クッキーとは
HTTP cookie
ウェブサーバがウェブブラウザに情報を保存し利⽤するための仕組み
閲覧しているウェブサイトのドメインに書いてあるクッキー
→ 1st Party Cookie
上記以外のクッキー
→ 3rd Party Cookie
5. DataSign Inc. All Rights Reserved
クッキーの⽤途
クッキーの使われ⽅
・(ログイン)セッション情報の保持
→ 1st Party Cookie
・アクセス解析 / マーケティングオートメーション
→ 1st Party Cookie & 3rd Party Cookie
・ターゲティング広告
→ 3rd Party Cookie
7. DataSign Inc. All Rights Reserved
クッキー内容
・(ログイン)セッション情報の保持
JSESSIONID = 0001MEMXn1Sf43bV1UUARIVS8ly:167t80bv0
・アクセス解析/マーケティングオートメーション
_ga = GA1.2.341353111.1486042962
fs_uid = www.fullstory.com・・・`ota%40satori.team`
・ターゲティング広告
c_user = 1260941023
ruid = 570736c758ca3b8b776a0ee8532cb5^15^1511773848^2003439336
8. DataSign Inc. All Rights Reserved
クッキーと個⼈情報
そのIDが何と容易照合性があるのかに依る
クッキーIDは個⼈情報になるんですか?
個⼈情報の保護に関する法律 第⼆条
この法律において「個⼈情報」とは、・・・
(他の情報と容易に照合することができ、それにより特定の個⼈を識別するこ と
ができることとなるものを含む。)
※クッキーIDとは、クッキーに書かれたブラウザまたはユーザーを⼀意に識別するための⽂字列のこと
9. DataSign Inc. All Rights Reserved
最近のマーケティングとか広告とか
会員の中で
特定のページを⾒た20代の男性
だけに広告配信をしたい
① 会員情報 と ⾏動収集ツールのcookieID を連携
② ⾏動収集ツールが広告配信ツールのcookieID と連携
ーーー ここまでは業務委託の範疇 ーーー
③ 広告配信ツールが、別の広告配信ツールとcookieID連携
④ ⾏動収集ツールがデータ販売ツールとcookieID連携
10. DataSign Inc. All Rights Reserved
ツール導⼊による外部リクエストの発⽣|具体例
<script src=”//a.com/a.js”>
<script src=”//b.com/b.js”>
<script src=”//x.com/ad.js”>
明⽰的にウェブサイトに挿⼊
ad.jsがdocument.writeで挿⼊
⾏動収集のために明⽰的に ad.js を挿⼊
広告IDの連携のために ad.js が挿⼊
データ販売のために b.js が挿⼊
・BODY全部
・特定要素の情報
・フォーム⼊⼒情報
・位置情報
取得項⽬
・Cookie
・URL、リファラ
・IPアドレス
・UA
知らないうちに、データが第三者提供されている
b.jsがdocument.writeで挿⼊
<script src=”//c.com/c.js”>
<script src=”//d.com/d.js”>
http only ではない 1st party cookie は
JavaScript から読める
11. DataSign Inc. All Rights Reserved
ツール導⼊による外部リクエストの発⽣|プライバシーポリシーに記載しきれていない例
意図していないものは
記載が漏れてしまっている
実際にクッキーを利⽤しているサービス
プライバシーポリシーの例
12. DataSign Inc. All Rights Reserved
ツール導⼊による外部リクエストの発⽣|事例
「広告」を悪⽤する感染⼿法が拡⼤。「⽇本」を狙い撃ちするケースも
https://knowledge.sakura.ad.jp/3905/
広告を悪⽤するAndroidマルウェア「Chamois」、Googleが阻⽌
http://www.itmedia.co.jp/enterprise/articles/1703/14/news063.html
広告タグを悪⽤したマルウェア⼿法の拡⼤
広告タグを悪⽤した個⼈情報の流出、不正データ流通
ビットコインの匿名性はどこまで信頼できるのか
https://www.technologyreview.jp/s/53543/bitcoin-transactions-arent-as-anonymous-as-everyone-hoped/
アプリの7割が外部企業に「個⼈情報を横流し」の衝撃情報
https://forbesjapan.com/articles/detail/16617/1/1/1
業界震撼! 過去最⼤級の広告詐欺スキーム「メスボット」:損害額は1⽇約6億円?
http://digiday.jp/agencies/professionalization-fraud-agencies-alarmed-methbot-scheme/
広告詐欺許さない!最⼤⼿のサイバーが指針
https://www.nikkei.com/article/DGXMZO15170380R10C17A4X1E000/
プログラマティック広告の仕組みを悪⽤した広告詐欺(アドフラウド)
13. DataSign Inc. All Rights Reserved
ツール導⼊による外部リクエストの発⽣|ウェブサイトのプライバシーとセキュリティ
⾃社で管理するサーバ運⽤
意図された通信
意図しない通信
悪意の第三者
ウェブサイトに導⼊するツールの多くは、ウェブサイト訪問者のブラウザ上で
JavaScriptの実⾏を⾏っており、特に、広告ツールやMAツールは、近年の複雑化によ
り、ウェブサイト管理者が意図していないJavaScriptの実⾏や、第三者へのデータ提供
を⾏っていることがあります。
第三者サーバー
権限管理
IPS
IDS
F/W
WAF
個⼈情報
ここのセキュリティ・プライバシー製品は
沢⼭ある。
外部ツールのJavaScript
Privacy Policy
個⼈情報
外部委託先
14. DataSign Inc. All Rights Reserved
企業向けパーソナルデータ管理ツール|DataSign FE の 解決すること
⾃社で管理するサーバ運⽤
意図された通信
悪意の第三者
弊社独⾃の特許技術により、意図しない通信はブロックし、データ送信先の透明性確
保を⾃動的に⾏い、これらの対策を適切にとっているウェブサイトに対して、認証
マークを付与します。ブロックチェーンを利⽤し、⽣成されるオンラインプライバ
シー通知の信頼性も担保しています。
権限管理
IPS
IDS
F/W
WAF
ブロック
✕ ✕ ✕
透明性
ここのセキュリティ・プライバシー製品は
沢⼭ある
個⼈情報
Privacy Policy
意図しない通信
第三者サーバー
個⼈情報
外部委託先
15. DataSign Inc. All Rights Reserved
クッキーと個⼈情報
⾃分のウェブサイトで使われているツールを確認してみましょう
ありがとうございました
https://fe.datasign.co/