Cookieフリーのアナリティクスに同意バナーが不要な理由

サイトにGoogle Analyticsをインストールしたことがある方なら、Cookie同意バナーへの対応を経験されたことがあるでしょう。これは現代のウェブで最も嫌われている要素のひとつとなっています。ユーザーがコンテンツを一文字も読む前にユーザー体験を中断するポップアップです。

良いニュース：このバナーは法律で義務付けられているわけではありません。アナリティクスツールがCookieやフィンガープリンティングを使ってセッションをまたいでユーザーを追跡している場合に必要となるものです。ツールを変えれば、ポップアップはなくなります。

法律が実際に求めていること

EUのePrivacy指令（および延長線上のGDPR）は、ユーザーのデバイス上で情報を保存またはアクセスする前に同意を得ることを求めています。Cookie、localStorage、フィンガープリンティングはすべてこれに該当します。しかし、これらをまったく行わないのであれば、同意を求める必要はありません。

同意なしに許されているのは、個人データではない情報の収集と処理です。ページURL、参照元ドメイン、画面幅、おおまかなブラウザファミリー、国レベルの位置情報（IPから取得し、即座に破棄）は、適切に扱えばすべて集計された識別不可能な情報とみなされます。

Monoidがこの問題を完全に回避する方法

MonoidはCookieを設定しません。localStorageもsessionStorageも使用しません。デバイスをフィンガープリンティングしません。代わりに、IPアドレス、User-Agent、サーバーサイドのシークレット、そして現在の日付から一方向の日次訪問者ハッシュを計算します：

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

このハッシュは毎日変わります。元のIPやUser-Agentを復元することはできません。そして、訪問者のデバイスに送信されたり保存されたりすることもありません。Monoidは集計アナリティクスのためにリクエストのUser-Agentからおおまかなブラウザファミリーとデバイスタイプを導出しますが、完全なUser-Agent文字列、ブラウザバージョン、Cookie、永続的識別子、デバイスフィンガープリントを保存することは一切ありません。これによりePrivacy規則の下で同意が不要となります。

失うもの（ほぼ何もありません）

セッションをまたぐ永続的な追跡がないため、複数日にわたるユーザージャーニーを構築することはできません。しかし、出版社や開発者の大多数のユースケース、つまりどのページがトラフィックを集めるか、訪問者がどこから来るか、どのデバイスを使っているかを理解するには、セッションレベルおよび日次の集計データで十分です。

同意ポップアップは、セッションをまたぐジャーニーデータから得られる以上に、直帰率という形ではるかに大きなコストをもたらします。これを取り除くことは合理的なトレードオフです。

実際の効果

Monoidアナリティクスを実行しているサイトは、Cookie同意管理プラットフォームを必要としません。Cookieポリシーの一覧表を維持する必要もありません。同意法の地域ごとの違いを心配する必要もありません。スクリプトタグをひとつ追加すれば完了です。法的にも、技術的にも。

コンプライアンスのオーバーヘッドを生むことなくトラフィックを理解することが目標であれば、Cookieフリーのアナリティクスは妥協ではありません。より優れたエンジニアリング上の選択です。