GitHubはクッキー通知バナーを表示しなくなります。不要なクッキーを削除するためです。

GitHubは木曜日、ウェブサイトからすべてのCookieバナーを削除したと発表した。同社は、情報開示インターフェースが人気があると主張しているにもかかわらず、プライバシー保護の観点からこの決定を下したという。

Cookieとは、ウェブサイトにアクセスした際にウェブブラウザに保存されるファイルです。ファーストパーティCookie（アクセスしたドメインによって保存される）とサードパーティCookie（ウェブサイトと何らかの関係を持つデジタル広告会社など、第三者によって保存される）があります。Cookieは通常、識別、広告、トラッキング、分析、その他の関連目的に関連するクライアント側データを保存するために使用されます。

クッキーはプライバシーに影響を及ぼし、ウェブ上で人々を追跡するために使用できるため、EU の ePrivacy 指令や一般データ保護規則 (GDPR) などの規制では、ウェブサイトはオンライン訪問者にサイトでのクッキーの使用について通知し、オプトインの同意を得ることが義務付けられています。

米国のプライバシー法はまだそこまで進んでいませんが、EU法に準拠しようとするウェブサイトでは、一般的に何らかの形でCookie通知/同意バナーを表示し、ブラウザにCookieが大量に保存されることを訪問者に警告しています。GitHubはそうしていましたが、現在はそうしていません。Microsoft傘下のGitHubは、ウェブサイトのコードによって保存されるCookieのほとんどを実際には必要としていなかったことが判明したためです。

GitHubのCEO、ナット・フリードマン氏は木曜日に公開されたブログ記事で、「GitHubでは開発者のプライバシーを守りたいと考えており、クッキーバナーは煩わしいと感じたため、解決策を探すことにしました。少し調べた結果、解決策を見つけました。不要なクッキーを使わないようにするだけです。実にシンプルです。」と説明しています。

EU規則では、認証やその他の技術的機能に必要な機能Cookieは通知義務の対象外となっています。そのため、不要な分析CookieやトラッキングCookieを削除することで、GitHubはCookie通知バナーを表示する必要がなくなりました。

フリードマン氏は、今後GitHubはGitHub.comのサービス提供に必要なCookieのみを使用すると述べた。「開発者はGitHubで共同作業を行うためにプライバシーを犠牲にすべきではない」と同氏は述べた。

GitHubの広報担当者はThe Register宛てのメールで、同社のアプローチは称賛されているにもかかわらず、今回の変更を実施すると述べた。「最高のCookieバナーでさえ、ユーザーエクスペリエンスの質が劣ることを認識しており、開発者とそのプライバシー、そしてユーザーエクスペリエンスを最優先に考えることにしました」とGitHubの広報担当者は述べた。

GitHubは現在、dotcom_user、_gh_sess、has_recent_activity、__Host-user_session_same_site、user_session、device_id、tz、logged_in、_octoの9つのCookieを設定しています。ログインなどの必要な機能に使用されるこれらのCookieは、将来的にさらに統合される可能性があります。

「github.comと30近くのサブドメインからCookieを削除しました」とGitHubの広報担当者は述べた。「しかし、これはほんの始まりに過ぎません。今後、GitHubが所有するすべてのドメインでこの取り組みを継続していきます。」

広報担当者によると、コードホスティング事業ではlocalStorageやIndexedDBといったブラウザベースのストレージを使用しているものの、それは必要不可欠な目的に限られているという。「ローカルストレージはアセット（CSSやJS）の読み込みを高速化するために使用していますが、ユーザーのコンピュータから情報が外部に漏れることはありません」と広報担当者は述べた。

同社は特定の分析のためにネットワークリクエストも利用しています。例えば、https://api.github.com/_private/browser/statsエンドポイントへのPOSTリクエストなどです。

「このエンドポイントは、Cookieやその他の固有識別子に依存しない、集計されたパフォーマンス指標を追跡します」とGitHubの広報担当者は説明した。「特定のアセットの読み込みにかかった平均時間など、さまざまな情報を教えてくれるので、ページのパフォーマンスを最適化できます。」

アセット（CSS、JS）の読み込みを高速化するためにローカルストレージを使用しますが、情報はコンピュータから出ません。

テクノロジー業界はプライバシーへの配慮を強めようとしている、とオンライン広告会社は言いたがる。世界最大級のデータ収集企業の一つであるFacebookのトップ、マーク・ザッカーバーグ氏は、2019年に開催された同社のF8カンファレンスで「未来はプライベートだ」と宣言した。おそらく、彼のアンチソーシャルネットワークが、iOSアプリのプライバシー要件強化を理由にAppleを批判することを予想していなかったのだろう。

さらに、検索広告大手のグーグルは、遅れをとる広告業界の同盟国に合わせるために期限を延ばさないことを前提に、2022年までにサードパーティCookieを段階的に廃止すると発表している。

しかし、クッキーは完全に消滅するわけではなく、プライバシーの問題を伴わずに広告トラッキングを可能にすると謳う一連の新技術へと進化しつつある。Googleは「プライバシーサンドボックス」と呼ぶ一連の提案を発表したが、同社批判者からは嘲笑の的となっている。また、他の広告業界関係者も、オンラインデータを収集するための独自の技術仕様を提示している。これらの技術は、これまでプライバシー保護に努めてこなかったにもかかわらず、プライバシー保護を何とか実現している。

GitHubはCookieバナーを廃止し、Cookieベースのトラッキングから脱却しようとしているかもしれませんが、すべての企業がその準備が整っているわけではありません。もしCookieが廃れれば、それに代わる新たな技術が、新たなプライバシー上の懸念を引き起こすことになるでしょう。®