Timing-Allow-Origin: Resource Timing API でアナリティクスが見ているもの
Timing-Allow-Origin ヘッダーは、ページがクロスオリジンのタイミング情報をどれだけ読み取れるかを制御します。プライバシーファーストなパフォーマンス計測にとって、これが何を意味するのかを解説します。
続きを読む →Speculation RulesとPrerendering:先読みされたページについてアナリティクスが誤解していること
ChromeのSpeculation Rules APIは、ユーザーがクリックする前にページをレンダリングできます。それがいかにして単純なアナリティクスを歪めるのか、そしてクッキーレスでエッジベースの計測がどのように正直であり続けるのかを解説します。
続きを読む →あなたのアナリティクススクリプトは、おそらく Back/Forward Cache を無効化している
back/forward cache は戻るボタンによるナビゲーションをほぼ瞬時にするが、たった 1 つの unload リスナーがページ全体でそれを無効化する。原因はたいてい計測スクリプトであり、CrUX は今やその損害を計測できる。
続きを読む →GDPRのデータ越境移転は、アーキテクチャで丸ごと消せる唯一のコンプライアンスリスクだ
EU・米国データプライバシーフレームワークは最初の司法審査を乗り切ったが、いまCJEUに上訴中だ。そもそもEUのデータを米国へ移転しないアナリティクスなら、どちらに転んでも失うものはない。
続きを読む →EDPBの2026年の取り締まり対象はあなたのプライバシー通知だ
EDPBの2026年共同執行アクションは、GDPR第12〜14条に基づく透明性を監査する。そこを最短で切り抜ける方法は、通知が自ずと書き上がるほど収集を絞り込むことだ。
続きを読む →アナリティクススクリプトは Content-Security-Policy の穴になっている
厳格な CSP は XSS を防ぐ。だがサードパーティのアナリティクスタグがその穴を再び開ける。ホスト許可リストや SRI の欠如がポリシーを台無しにする理由と、ファーストパーティトラッカーが解決する点を解説する。
続きを読む →HTTP レイヤーでのデフォルト・プライバシー:トラッキング面を縮小するヘッダー
Permissions-Policy と Referrer-Policy という 2 つのレスポンスヘッダーが、ページが広告テックや第三者にどれだけ漏らすかを決める。一度設定すれば、監視面はデフォルトで閉じる。
続きを読む →INP は重いアナリティクスを罰する:なぜあなたのトラッカーはメインスレッドにいるのか
Interaction to Next Paint は最も多くのサイトが不合格になる Core Web Vital であり、フィールドデータは行動トラッキングスクリプトが主要因の一つであることを示している。解決策はメインスレッドに送る処理を減らすことだ。
続きを読む →Digital Omnibus はファーストパーティ分析を同意の対象外にしようとしている
EU の 2025 年 11 月の Digital Omnibus は、ファーストパーティかつ内部利用のオーディエンス測定を同意不要とする例外を提案している。それは Cookie レス分析がすでに動かしているモデルそのものだ。
続きを読む →