「さっきスマホで調べたものが、パソコンにも広告で出てくる…なんで?」
そんな経験、一度はありますよね。これは偶然ではありません。あなたの行動は、あなたが知らない間に何十もの会社に記録・共有・売買されています。この記事では、その仕組みを超わかりやすく解説し、今日からできる対策をお伝えします。
① Cookieって何?3分でわかる基本
「Cookie(クッキー)」という言葉を聞いたことはあるでしょうか?名前はお菓子のクッキーと同じですが、インターネットの世界ではまったく別の意味を持ちます。
お店のスタンプカードで考えてみよう
あなたがコンビニで初めて買い物をしたとき、店員さんがこっそりあなたの特徴をメモした紙をあなたのポケットに入れたとします。次に来たとき、そのメモを見て「あ、この人は昨日ポテチを買っていたな」とわかる——これがCookieのイメージです。
Cookieとは、ウェブサイトがあなたのブラウザ(ChromeやSafariなど)の中に置いていく小さなテキストファイルです。あなたのパソコンやスマホの中に保存されます。次に同じサイトを開いたとき、「前と同じ人だ」と認識するために使われます。
Cookieには2種類ある
🍪 ファーストパーティCookie(良いCookie)
- 訪問しているサイト自身が置く
- ログイン状態の維持
- カートの中身を覚える
- 言語・テーマ設定を保存
これがないとネットは非常に不便になります
🕵️ サードパーティCookie(問題のCookie)
- 訪問していない外部の会社が置く
- 複数のサイトをまたいで追跡
- あなたの行動履歴を収集
- 広告ターゲティングに使用
これが「追いかけてくる広告」の原因です
問題はサードパーティCookieです。あなたがニュースサイトを読んでいる間に、そのページには何十社もの「見知らぬ会社」のCookieが仕込まれています。あなたはそのニュースサイトにしかアクセスしていないつもりでも、裏側では全く別の会社に「この人が今ここにいる」と通知されているのです。
多くのサイトでは、ページを開いた瞬間からCookieの収集が始まります。ページ下部に表示される「Cookieを受け入れる」ボタンを押す前から、通信はすでに始まっていることがほとんどです。これは現在の日本の法律では合法ですが、EUではGDPRという法律で厳しく規制されています。
② あなたが1ページ読む間に何が起きているか
想像してください。あなたが朝、ニュースサイトを開いて記事を1本読みます。この「記事を読む」というたった数分の間に、裏側で何が起きているか——実際に計測した結果をお見せします。
実際の計測データ(国内主要ITメディアの実測値)
1ページ読むだけで、78社もの会社にあなたの情報が飛んでいます。あなたがアクセスしたのは1社のウェブサイトだけのはずなのに、です。
0.1秒の間に何が起きているか
これをRTB(リアルタイム入札)といいます。テレビCMは「この番組の視聴者全員」に同じ広告を流しますが、ネット広告は「この人(あなた)だけ」に向けた広告を、0.1秒で競売にかけて決める仕組みです。
RTB(Real Time Bidding:リアルタイム入札)は、ユーザーがページを開くたびに自動で行われるオークションです。広告主は「このユーザーに広告を出したい場合はいくら払う」というプログラムを事前に設定しており、ページが開かれた瞬間にそのプログラムが自動で入札します。2023年のグローバルRTB市場規模は約250億ドル(約3.7兆円)と推計されています。
「iframeの同期」という隠し機能
特に問題なのが「Cookie同期用iframe」と呼ばれる仕組みです。実際の計測では、以下のような不可視のiframeが検出されました。
- あるSNS連携企業のCookie同期ページ
- 海外SSP(広告配信プラットフォーム)のID突合ページ
- リターゲティング大手のCookie同期フレーム
iframeとは「ページの中に別のページを埋め込む」技術です。このiframeは1px×1pxの目に見えないサイズで、ページに埋め込まれています。あなたには見えませんが、裏側では複数の会社が「同じ人のCookieを突き合わせる」作業をしています。
③ 「取引」されているあなたのデータ
「でも、名前も住所も入力していないから大丈夫でしょ?」と思う方も多いでしょう。残念ながら、名前がなくても問題ありません。以下のデータだけで、あなたを特定することは十分可能です。
広告取引に使われているデータの種類
| カテゴリ | 具体的なデータ | どうやって取得するか |
|---|---|---|
| 📖 閲覧履歴 | どのサイトを、いつ、何分読んだか | Cookie・ピクセルタグ |
| 🔍 検索行動 | 何のキーワードで検索したか | 検索エンジン連携 |
| ⏱ 滞在時間 | どの記事をどれだけ精読したか | JavaScriptで計測 |
| 📱 デバイス情報 | 機種・OS・画面サイズ・ブラウザ | HTTP通信のヘッダー情報 |
| 📍 位置情報 | 大まかな地域・都市(IPアドレスから) | IPアドレス解析 |
| 🎯 推定属性 | 年齢層・性別・職業(推測) | 閲覧パターンのAI分析 |
| 🌙 生活パターン | 朝型か夜型か・通勤時間帯 | アクセス時刻の記録 |
| 💰 購買意向スコア | 「何かを買いそうな状態」かの推定値 | 行動データの組み合わせ |
| 🔗 クロスデバイス | スマホとPCが同一人物かどうか | デバイスグラフ技術 |
氏名・住所・電話番号などの「直接個人情報」は含まれないため、日本の個人情報保護法では「個人情報」として扱われないケースが多いです。しかし、「毎朝7時にスマホでIT系ニュースを読み、昼に転職サイトを見て、夜は育児サイトを読む」というパターンが揃えば、世界中に同じ人はほぼいません。事実上、名前がなくても個人特定ができてしまいます。これを「個人情報ではないのでOK」と扱う現状の法制度は、世界的に見直しが進んでいます。
お金はどう動いているのか
あなたのデータが「取引」されているといっても、あなたのデータが直接売買されているわけではありません。正確には以下のような仕組みです。
つまり、あなたが無料でニュースを読めるのは、あなたの行動データが広告収入に変換されているからです。コンテンツの対価を、あなたはお金ではなくデータで払っています。
④ 広告が「追いかけてくる」メカニズム
一度見た商品の広告がどこに行っても出てくる現象——これを「リターゲティング広告」といいます。仕組みを理解すると、なぜ「そこまで知ってるの?」と感じるほど精度が高いかわかります。
リターゲティングの流れ
「Cookie同期」でさらに広まる
問題を複雑にしているのが「Cookie同期」です。1社があなたのCookieを持っていても「ITmediaを読んだ人」しかわかりません。しかし各社が「これは同じ人だ」と突き合わせることで、情報が爆発的に増えます。
たとえば——
- A社のCookieには「IT系ニュースをよく読む」という情報がある
- B社のCookieには「転職サイトを見ていた」という情報がある
- C社のCookieには「30代男性と推定される」という情報がある
これらが「同一人物」として統合されると:「転職を考えているIT系30代男性」という非常に価値の高いプロファイルが完成します。このプロファイルは転職サービスや資格取得スクールにとって「絶好のターゲット」であり、高い広告単価で入札されます。
⑤ クロスデバイス追跡——スマホとPCをつなぐ技術
「会社のパソコンで調べたことが、自宅のスマホにも広告で出た…」という経験はありませんか?これは「クロスデバイストラッキング」と呼ばれる技術によるものです。
どうやって「同じ人」だとわかるのか
異なる端末を「同一人物が使っている」と判定する方法は主に3つあります。
| 方法 | 仕組み | 精度 |
|---|---|---|
| 🏠 同一Wi-Fi | 家庭内の複数端末が同じIPアドレスから接続していることを利用 | 高い(同居人との混同あり) |
| 🔑 ログイン情報 | GoogleやFacebookに同じアカウントでログインしている端末を紐づける | 非常に高い |
| 📊 行動パターン | 「同じ時間帯に似た行動をする端末」をAIで同一人物と推定 | 中程度(クッキーレス環境でも動作) |
一部の企業が提供するクロスデバイス追跡技術では、1世帯に複数人・複数デバイスが存在する場合でも「誰がどの端末を使っているか」をグラフ化できます。また最新の技術では1日あたり数百億単位のデジタルシグナル(アクセスログ・行動データ)を処理し、Cookieが存在しない環境でもユーザーを識別します。
特にGoogleアカウントにログインしたまま別々の端末を使っている場合は、Cookieなしでも完全に同一人物として追跡されます。Gmailを開いているだけで、すでにGoogleにはあなただとわかっています。
⑥ Cookieをブロックしても追跡される理由
「じゃあCookieを削除すれば解決じゃないの?」——残念ながら、それだけでは不十分です。Cookieに頼らない追跡手段が複数存在するからです。
方法1:IPアドレス
インターネットに接続するとき、あなたの端末には「IPアドレス」という住所が割り振られます。Cookieがなくてもこれは常に見えており、おおよその地域・プロバイダ・接続時刻が把握されます。VPNを使わない限り、IPアドレスを隠すことはできません。
方法2:ブラウザフィンガープリント
これが最も厄介な手段です。あなたのブラウザには「指紋」のような固有の特徴があります。
- 画面の解像度・色数
- インストールされているフォントの一覧
- ブラウザのバージョン・プラグイン
- タイムゾーン・言語設定
- グラフィックカードの種類(WebGLフィンガープリント)
これらを組み合わせると、世界中で「まったく同じ組み合わせ」の端末はほぼ存在しません。つまりCookieを削除してもブラウザを開いた瞬間、「あなたらしき端末」は特定できてしまいます。
方法3:ローカルストレージ・IndexedDB
CookieをブロックしたとしてもJavaScriptでブラウザ内の別の保存領域(ローカルストレージやIndexedDB)にIDを書き込む手法があります。一般的なCookieブロック設定では防げないことがあります。
方法4:SNSの「いいね」ボタン・シェアボタン
記事の下にある「シェア」ボタン。あなたが押さなくても、ボタンが表示されただけで「このユーザーがこの記事を読んだ」という情報がSNS企業に送信されています。SNSにログインしていれば、完全にあなたの情報が紐づきます。
フィンガープリント追跡はCookieとは異なり、ユーザー側での「削除」が事実上できません。対策するにはフィンガープリントを意図的に「ありふれた値」に偽装するブラウザ設定か、専門ツールの使用が必要です。
⑦ 実際に何件のリクエストが飛んでいるか(実測データ)
「大げさな話では?」と思う方のために、実際にPythonで作成したクローラーを使い、国内主要ウェブサイト5サイトを計測しました。
サイト別比較
| サイト種別 | 外部ドメイン数 | Google広告リクエスト | 追跡系の特徴 |
|---|---|---|---|
| ITニュースメディア | 78 | 59件 | 最多。Cookie同期iframe3件。クロスデバイス追跡あり |
| 技術情報共有サービス | 55 | 15件 | 国内SSP複数。Google+国内広告のミックス |
| 技術系企業ブログ | 30 | 1件 | HubSpot主体。商業広告はほぼなし |
| BtoB SaaS(名刺管理) | 50 | 0件 | BtoB向けMA(マーケティング自動化)中心 |
| BtoB SaaS(HR系) | 45 | 0件 | LinkedInやメール配信ツール中心 |
無料のメディアサイトほど広告リクエストが多く、BtoBサービスは逆にマーケティングオートメーション(MA)ツールが中心になっていることがわかります。
検出された主な追跡技術の種類
| 技術名 | 役割 | ブロックの難しさ |
|---|---|---|
| サードパーティCookie | 基本的な行動追跡 | 低(設定で対応可) |
| Cookie同期(iframe) | 複数社間でのID突合 | 中(uBlock等で対応可) |
| デバイスグラフ | 複数端末を同一人物として紐づけ | 高 |
| クッキーレス識別 | Cookie不要のユーザー識別 | 非常に高 |
| ブラウザフィンガープリント | ブラウザの指紋で識別 | 非常に高 |
| トラッキングピクセル | 1px画像でアクセスを無音記録 | 中 |
script(スクリプト)——コードを実行する権限があり、ページへの介入が可能
image(画像・1pxピクセル)——画像を読み込む動作を通じて「この人がアクセスした」と記録
fetch / xhr——バックグラウンドでデータをサーバーに送信
document(iframe)——別のドメインのページを不可視で読み込み、Cookie同期を実行
⑧ 今日からできる対策7選
ここまで読んで「怖い」と感じた方も、すぐに実践できる対策があります。完全に追跡を止めることはできませんが、大幅に減らすことは可能です。
対策1:ブラウザをFirefoxに変える(効果:★★★★★)
最も効果的な対策は、使うブラウザを変えることです。Firefoxは「強化型トラッキング防止機能」を標準搭載しており、サードパーティCookieを自動でブロックします。
Chromeは2025年7月以降、従来の広告ブロック拡張機能(MV2形式)が完全に無効化されました。Googleは広告事業者でもあるため、構造的にChromeでの追跡ブロックには限界があります。プライバシーを重視するなら、FirefoxまたはBraveへの移行を強くお勧めします。
対策2:uBlock Originを入れる(効果:★★★★★)
Firefoxに「uBlock Origin」という拡張機能を追加すると、追跡ドメインの9割以上をブロックできます。
- Firefox の拡張機能ページから「uBlock Origin」を検索してインストール(無料)
- ダッシュボード → フィルターリスト → 「EasyPrivacy」にチェック
- 「Yuki’s uBlock Japanese filters」を追加(日本のサイトに特化したフィルタ)
対策3:SafariユーザーはそのままでもOK(効果:★★★☆☆)
iPhoneやMacのSafariは「ITP(Intelligent Tracking Prevention)」という機能でサードパーティCookieを自動削除します。特別な設定は不要ですが、フィンガープリント追跡は防げません。
- 設定 → Safari → 「サイト越えトラッキングを防ぐ」がオンになっているか確認
- iPhoneでは「設定 → プライバシー → トラッキング → アプリにトラッキングを許可しない」
対策4:広告IDをリセット・無効化する(効果:★★★☆☆)
スマホには「広告ID」という固有の識別番号があり、クロスデバイス追跡に使われます。これを無効化するだけでモバイル広告の精度が大きく落ちます。
| 端末 | 操作方法 |
|---|---|
| iPhone | 設定 → プライバシーとセキュリティ → Apple広告 → 「パーソナライズされた広告」をオフ |
| Android | 設定 → Google → 広告 → 「広告IDを削除」(Android 12以降) |
対策5:各社のオプトアウトを申請する(効果:★★☆☆☆)
各広告事業者には「このユーザーの追跡をやめる」というオプトアウト申請ができます。ただしCookieベースなので、Cookieを削除するとリセットされてしまうという根本的な限界があります。
- Google広告の設定:myadcenter.google.com でパーソナライズをオフ
- 業界団体の一括オプトアウト:optout.networkadvertising.org にアクセスし「全てオプトアウト」をクリック
- Adobe(Audience Manager):adobe.com/jp/privacy/opt-out.html から申請
対策6:SNSからログアウトして閲覧する(効果:★★★★☆)
FacebookやGoogleにログインしたまま他のサイトを閲覧すると、シェアボタンや埋め込みコンテンツを通じてすべての閲覧履歴が紐づきます。プライバシーを重視するサイト閲覧時は、SNSからログアウトするだけで追跡精度が大幅に落ちます。
対策7:完全対策にはVPN+専用ブラウザ設定(効果:★★★★★)
フィンガープリント追跡まで防ぐには、IPアドレスを隠すVPNと、フィンガープリントを「標準的な値」に偽装するブラウザ設定の組み合わせが有効です。ただし設定の手間がかかるため、上級者向けです。
【最強の組み合わせ】Firefox + uBlock Origin + EasyPrivacy + Yuki’s Japanese filters を導入した場合、今回計測した78ドメインのうち推定70ドメイン以上をブロックできます。ほとんどのサイトは問題なく閲覧でき、一部広告枠が空欄になるだけです。コンテンツの閲覧には支障ありません。
⑨ まとめ:「無料」の本当のコスト
最後に、今回わかったことを3行でまとめます。
- ニュースサイトを1ページ読むだけで、78社・397回の通信があなたの知らない場所で発生している
- あなたの閲覧履歴・行動パターン・デバイス情報が複数の会社間で突き合わされ「あなた像」が作られる
- その「あなた像」をもとに広告が0.1秒でオークションにかけられ、追いかけてくる広告が生まれる
これらはすべて現状の日本の法律では合法であり、メディア企業の重要な収入源です。「無料で読めるコンテンツ」の裏には、こうした仕組みがあります。
悪意のある行為ではありませんが、仕組みを知らずに「同意」させられているという問題は確かに存在します。EUではGDPRという厳しい規制でユーザーの権利が守られており、日本でも個人情報保護法の改正が進んでいます。
大切なのは「知ること」です。仕組みを理解した上で、自分はどこまで許容するか・何を対策するかを自分で選べるようになりましょう。
この記事で紹介した対策のうち、今日から10分でできる最低限の対策は以下の2つです。
① iPhoneなら「設定 → プライバシー → トラッキング → オフ」
② PCならFirefox + uBlock Originをインストール
この2つだけでも、追跡の大部分を防ぐことができます。
本記事は実際にPythonクローラーを用いて収集したネットワークリクエストデータ、および公開されている業界情報をもとに作成しています。特定の企業・サービスの名称は記載していません。情報は執筆時点のものであり、各社の仕様変更により内容が変わる場合があります。
コメント