CMP導入・Cookieポリシー作成時に注意したい4th Party JavaScriptとは

　
2022年4月に施行が予定されている「改正個人情報保護法」に向け、デジタルマーケティングにおける個人データの取り扱いの議論が大きくなってきています。

前回の記事「いまさら聞けない、Cookieって何？」では、改めてCookieとは何か、1st Party Cookieと3rd Party Cookieの違いなどを解説しました。
今回は、訪問者のブラウザにCookieを埋め込む役割も果たすJavaScriptに関して、3rd Party JavaScriptタグと4th Party JavaScriptタグついて解説します。

4th Party JavaScriptタグとは？

4th Party JavaScriptタグとは、「自社サイトに設置した覚えがないのに勝手に実行されているJavaScript」を意味します。身に覚えのないJavaScriptが実行されるとは恐ろしく聞こえますが、実際に多くのWebサイトにおいて起こっていることです。
このような4th Party JavaScriptはなぜ存在し、何が問題になるのでしょうか。

Webサイトには多くの3rd Party JavaScriptが使われている

Webサイトには、たくさんのJavaScriptが利用されています。JavaScriptは、マウスオーバーによるメニュー展開などの「動き」や、訪問データを集めるなど「データ収集」等を実行します。また、Cookieの埋め込み・訪問者の判別も行います。この、Webサイト上で使われているJavaScriptを「誰が作ったJavaScriptなのか」で分けて考えてみましょう。

まず、1st Party JavaScriptは、自社で作成したJavaScriptです。複雑なプログラムを実装する例は稀かもしれませんが、自社で作成し、自社サイトに設置したJavaScriptを意味します。

次に、3rd Party JavaScriptは、外部のベンダーが作成したJavaScriptです。
典型的な例は、マーケティングテクノロジー導入時に設置するタグ型のJavaScriptです。例えば、Google Analyticsを利用する際には、WebページにGoogleが発行するJavaScriptをHTML内に貼り付けます。

こうした、タグ型のJavaScriptは、マーケティングオートメーションやWeb接客ツールなど、多くのツール利用に必要なものとなっています。

>> ほとんどの企業が既に20以上のマーテクを利用 Tealium Digital Velocityイベントレポート

JavaScriptは、別サーバーに存在する別のJavaScriptを呼び出して実行できる

Webサイトに設置されるJavaScriptは、別サーバー上にあるJavaScriptを呼び出して実行させることができます。

タグ型のJavaScriptは、一行のものが多く、長くても数行です。複雑なデータ収集や機能を行うにも関わらず、設置するJavaScriptが数行なのは、別サーバーにあるJavaScriptを呼び出しているからなのです。

そして、ここからが4th party JavaScriptの話になってきます。

もしも、設置したJavaScriptが別サーバの別のJavaScriptを実行し、Cookieを利用していたら

あなたがWebページに設置したGoogle Analyticsのタグが、Googleサーバ上のJavaScriptを呼び出して実行している限りは何も問題ありません。たとえCookieを発行するものだったとしても、あなたはGoogle Analyticsを使っていることを認識しており、それに基づき顧客からの同意を得るだけです。

ところが、もし、知らないうちに別のドメイン上にあるJavaScriptが呼び出され、実行され、Cookieが発行され、ユーザーをトラッキングしていたらどうでしょうか？
仮に、4thpartyjstag.comというドメインに存在するJavaScriptが呼び出され、実行され、Cookieが使われていたら・・・

これを把握しておくことはなかなか大変です。どのようなJavaScriptが呼び出されるかをすべてチェックした上でJavaScriptを設置することは非常に手間がかかるからです。

そのため、顧客に同意をとらないままにCookieによるユーザートラッキングが行われることになります。そしてあなたはそのことを認識すらしていない、という状態になります。これが、4th Party JavaScriptの問題点なのです。

4th Party JavaScriptの問題点

4th Party JavaScriptの問題点をまとめると、以下のようになります。

・そもそも別サーバのJavaScriptが実行されていることに気が付かない
・従って、そのJavaScriptがCookieを利用していることにも気が付かない
・よって、Cookieポリシーや顧客同意画面上に明示できず、顧客に内緒でCookieを使うことになる

このような4th Party JavaScriptは「Piggybacking」とも呼ばれます。正当なJavaScriptを隠れ蓑にして、不当に実行されるScriptという意味です。
>>GDPRの具体的対応〜不測の流出を防ぐためにピギーバックを理解する

ベンダーのJavaScriptがハッキングされるケースも

現在4th Party JavaScriptは、多くの場合に広告系のタグで見られるようです。特にDMPなどのタグで実装されているケースが多いように感じられます。

一方で、マーケティングツールベンダーが提供するJavaScriptがハッキングされるケースなどもあります。その場合は、ベンダー側も知らないうちに、勝手に誰も知らないJavaScriptが実行され続けることになります。

今後注目の「クライアントサイドセキュリティ」

では、このような4th Party JavaScriptを防ぐ方法はあるのでしょうか？

JavaScriptは、クライアント側（ブラウザ側）で実行されるため、Webサーバーのセキュリティを強化しても防ぐことはできません。これらはクライアントサイドセキュリティの強化を行うことで防げるようになってきています。
　
アンダーワークスが提供するCMP「Ensighten」も、Cookieの同意管理だけでなく、勝手に別のドメインにJavaScriptが呼び出しにいくことを防ぐ機能を持っています。最近では同様の機能をもつテクノロジーが増えてきています。
　
Cookie利用の顧客同意管理を行う際には、今回解説したような4th Party JavaScriptの存在やクライアントサイドセキュリティの強化も同時に考える良い機会になるのではないでしょうか。