ITP対応やCookie規制の対策は? クッキーや広告規制の仕組み
Google ChromeでサードパーティCookieが近々使えなくなることや、AppleのITPというプライバシー対策が注目を集めている。WebブラウザのCookie規制をはじめとする技術面での対応に加え、GDPR(General Data Protection Regulation)やCCPA(California Consumer Privacy Act)のような、法令面でのプライバシー規制も進んでいる。企業活動はどのような影響を受けるのか。「デジタルマーケターズサミット2020 Summer」でOption合同会社の柳井隆道氏が、技術と法規制の両面から解説する。
プライバシー保護への対応は、技術と法令の両面を意識しよう
サードパーティCookieの規制が話題となっているが、背景にあるのは世界的なプライバシーに対する意識の高まりだ。「その動きがシビアに加速している」と柳井氏は語り、「プライバシー対策には技術と、法令の2つの側面がある。今話題になっているのは、主に技術面だが、法令も守る必要がある。両方を視野に入れて取り組みを」と指摘する。
サードパーティCookieについては、Appleデバイスの標準ブラウザであるSafariでは既に使用ができず、GoogleのChromeも1年半以内に使えなくなると言われている。ブラウザのシェアの大半を占めるブラウザで使えなくなるので、サードパーティCookieは今後ほぼ使えないことになる。
Cookieの役割とは? その仕様や仕組みをおさらい
Cookieとは「Webサイトを閲覧する上で、一時的に記憶しておくと便利な情報」が格納される場所を指す。具体的には、
- ログインを必要とするサイトのログインステータス
- 動画再生で一時停止したタイミング
- 不動産サイトなどでお気に入りに保存した物件
などの情報を保存しておくのに使われる。Cookieのプライバシー問題が注目されているが、本来のCookieの役割はこういったもので、むしろサイトの閲覧に必要なものだ。CookieはWebサイト(サーバまたはJavaScript)から発行され、有効期限がある(最後の訪問から一定期間経つと廃棄される)という仕様になっている。
Cookieにはさまざまな利用方法があるが、個人情報という面においては「ブラウザを特定するID(識別子)」を指す。Cookieは「今サイトに来ているこの人が誰なのか」を識別するために使われているだけで、その人がどのような属性を持っているのかのデータは別のところにある。
たとえば、下記の図の上で男性・30歳・独身というデータがあるが、IDがない。そうなると誰のデータかわからない。それに対して、下はIDがある。そうなると、ID=1だからこのサイトに訪れた人は男性で30歳、独身だということがわかる。こういったデータの紐付けの役割をするのがCookieだ。
次にCookieがIDになる仕組みについて解説しよう。
- ユーザーがあるサイトを訪れた場合、ブラウザのなかでサーバまたはJavaScriptからIDが発行され、それをブラウザのCookieに保存する。同時に、ブラウザから、訪れたサイトのサーバへ同じIDを送る。
- ブラウザのCookieにはIDが保存されている。次にユーザーが同じサイトにアクセスした時、Cookieに保存されたIDがサーバに送られる。1でサイトにアクセスした際に、ブラウザからサーバに送られたIDと、Cookieに保存されたIDが同じことで識別が可能となる。
- IDはCookieの値がブラウザに保持される限り、同じ値がサーバに送られ続ける。
ファーストパーティCookieとサードパーティCookieの違いを解説
Cookieには、「ファーストパーティCookie」と「サードパーティCookie」の2種類ある。柳井氏は「ファーストパーティCookie」を「今見ているサイトのCookie」、「サードパーティCookie」を「今見ていないサイトのCookie」と言い換え、それぞれについて解説した。
サードパーティCookieとは
「今見ていないサイトのCookie」とはどのようなものなのか。Webページを見るときには、そのサイトのリソース(画像や、JavaScript、CSSなど)だけでなく、違うドメインのリソースにもアクセスしている。
たとえば、Webページ上に表示されている広告のバナーは、他のドメインから読み込んでいるというと、わかりやすいだろう。つまり、そのサイトを直接閲覧してはいないが、間接的にさまざまなドメインのリソースを読み込み、Cookieが発行されている。それが「サードパーティCookie」というわけだ。
柳井氏は、「ファーストパーティCookieとサードパーティCookieは相対的なもの」と言う。具体的に言うと、下記の図のように「サイトAでのファーストパーティCookieはサイトBでのサードパーティCookie」となり、「サイトBでのファーストパーティCookieは、サイトAでのサードパーティCookie」になるということだ。「ファーストパーティCookie」と「サードパーティCookie」は文脈によって変わる点は注意しておこう。
では、サードパーティCookieはどのように使われているかというと、複数のサイトを横断して閲覧した履歴を追跡していくために使われおり、その情報をさまざまなデータと紐付けて使われている。
より詳しく解説すると、ページを表示する際に複数のドメインのリソースやスクリプトを読み込み、それら同士でCookieに記録されたIDの値を交換して送り合っていると言う。この仕組みを「Cookie sync(クッキーシンク)」などと言い、サードパーティCookieのプラットフォーム間でIDを連携、同期させることで複数のサイトを横断して、閲覧を追跡・記録する。サイトを訪れたユーザーに再アプローチするリマーケティング広告や、ユーザーの興味関心や属性に合わせた「オーディエンスターゲティング広告」などにも使われている。
サードパーティCookieのブロックでリマケやビュースルーコンバージョン計測が不可能に
では、サードパーティCookieがブロックされると何ができなくなるのだろうか。サードパーティデータを活用したDMP、たとえば、年齢やデモグラフィック属性、興味を推測するDMPや、ブラウザの履歴を利用したオーディエンスターゲティングができなくなる。一方、自社データのみを使うファーストパーティDMPや、Cookieを使わない方法を持つGoogle広告は利用できる。
リマーケティング広告や、広告を見たがクリックしなかったターゲットが別ルートでコンバージョンしたことを計測する、ビュースルーコンバージョン計測もできなくなる。今まで当たり前のように使っていたプラットフォームや機能が使えなくなってしまうのだ。
対応としては、「サードパーティCookieに頼らない施策」が必要となってくる。具体的には、今からサードパーティCookieに依存した施策(DSP、パブリックDMPなど)を開始しないことは当然だが、広告では人へのターゲティングをやめ、クリエイティブや配信面を強化すること。また、自社サービス間でサードパーティCookieが必要な状況にならないよう、自社の親ドメインは一つにまとめた方がよい。
各ブラウザで進むプライバシー対策。AppleのITPの内容を解説
「サードパーティCookie」以外のプライバシー対策も各ブラウザで行われている。Google ChromeはユーザーエージェントをデバイスやOSがわからない共通の文字列にする予定であり、AppleはSafariに搭載しているトラッキング防止機能「ITP(Intelligent Tracking Prevention)」、Firefoxはブラックリストでトラッカーのリソースを読み込まないように排除するアドブロックのような機能があるという。各ブラウザの取り組みの中でもAppleのITPに着目していきたい。
ITPではサードパーティCookieだけでなく、ファーストパーティCookieへの制限も
ITPとはAppleがSafariにおいてトラッキングをさせないという取り組みのひとつだ。2017年9月にITP1.0がSafari11にてリリースされ、その後2年半かけてトラッカーに典型的な挙動をするサードパーティCookieを徐々にブロックし、最終的にすべてのサードパーティCookieをブロックした。2019年9月にリリースされたのがver2.3で、最新版は2020年3月だがバージョン番号がないのには注意したい。
ITPの具体的な内容について説明が続いた。まず、Cookieは「サーバまたはJavaScriptで生成されること」「有効期間がある(最終訪問から特定期間を過ぎると消える)」という仕様を思い出してほしい。
具体的な制限としては、サードパーティCookieがブロックされるのはもとより、ファーストパーティCookieについても厳しく制限されることになった。1つはJavaScriptで生成されたCookieの有効期限が7日間となること。なお、サーバで生成されたCookieの有効期限はその制限を受けない。2つめは、Safariによってトラッカー(ユーザー行動の追跡者)認定されたドメインから、クリックIDなどのパラメータ付きリンクで流入した場合、Cookieの有効期限が1日となること。
影響があるのは、GoogleアナリティクスなどWeb解析ツール、接客ツールやABテストツールなど。その他、不動産や中古車サイトなどでのお気に入り保存などのためのCookieも、JavaScriptで生成されたCookieを使っている場合、対象となる。影響範囲は幅広く、さらにCookieの有効期限が1日になるという大きなインパクトがあるケースもあり、担当者にとっては頭を抱える仕様になっている。
その他、リファラ(直前に閲覧していたページのURL)の制限もITPで対応している。すでにSafariでサイト外からの流入した場合、リファラはドメイン単位でしかわからないようになっている。
対策は外部に依存するのではなく自分の身は自分で守るという意識が必要
「サードパーティCookie」以外のプライバシー対策も含め、どう対応していけばいいのか。柳井氏は「サードパーティCookieを使わないのは当然ながら、ファーストパーティCookieについても技術的な対策が必要になる」と語る。
JavaScriptで生成されるCookieが問題なので、サーバが発行するCookieに置き換えるようなDNS、サーバ、タグの設定が必要となる。なお、DNSのCNAMEレコードを使って別ドメインをファーストパーティ化するという方法を用いているところもあるが、現段階では機能していても、今後は制限されると言われているという。
柳井氏は「ファーストパーティCookieが対象ということは、外部が提供しているツールだけでなく、自社サービスも影響を受けることになる。対策については、ツールベンダーや、プラットフォームに依存するのではなく、自分の身は自分で守るという意識を持たなければならない」と警鐘を鳴らす。
法令面からみたCookieに対する3つの基本姿勢
技術的なプライバシー対策に加え、考慮すべきなのが法令面への対応だ。EUではGDPR、米国カルフォルニア州ではCCPA、そして日本では個人情報保護法が2020年6月に改正・交付され、2年以内に施行される。
法令ではCookieはどのように定められているのか。日本の個人情報保護法では、Cookieは単体では個人情報ではなく「個人関連情報」としての括りとなっている。個人情報よりは緩いレベルの扱いだ。ただし、他の情報と紐づけた瞬間に注意が必要になる。自社で所有しているデータと紐付けたら個人を特定できる個人データとなる可能性が高くなるからだ。そう考えると、最初からさまざまなデータと紐付けを行う前提で、Cookieは個人情報として扱うのが安全だろう。
上記を踏まえたCookieに対する基本姿勢としては、下記の3つがあげられる。
- Cookieを発行する(履歴を取得する)際に同意を取る。ユーザーが子どもの場合は親の同意を取る
- 個人からのデータ開示、削除請求に対応できるようにする
- データを第三者提供する際にもユーザーに同意を取る
日本国内に限れば、ガイドラインが提示されていないため、具体的な文面や手続きを決めるのはガイドラインが示されてからでもよいだろう。ただ、個人からのデータ開示や、削除請求に対応するためにはシステムが必要となる。システム開発には時間がかかる点は留意しておこう。
また、個人情報関連の最新情報は、個人情報保護委員会のサイトで情報収集するのがおすすめだという。
柳井氏は「データの開示と削除」の例として、Googleアナリティクスのユーザーエクスプローラーの画面を提示。クライアントIDから照会し、画面上でユーザーの行動履歴が閲覧できるだけでなく、「ユーザーを削除」ボタンでデータを消すことができる。こういった機能が必須になってくると柳井氏。ユーザーエクスプローラーはカスタマジャーニーを見ることも目的の1つだが、実はプライバシー法令対策の機能としても重要でもあるというわけだ。
自社でデータ計測環境を構築するのも手段のひとつ
最後に「データ計測(Googleアナリティクスなど)やデータ格納ツール(CDP)を導入する際、データを削除するといった機能が備わっているのが事前に把握できていればいいが、不明確なのに導入するのはリスキー」と柳井氏は語り、「自社で計測環境を用意し、自社のDWH/ストレージに格納するのが安全」として、自社で計測環境を作る方法を紹介した。
ITPへの対応もしている、オープンソースのweb計測ツールである「Ingestly」を紹介し、セッションを終えた。
\参加無料 11/19火・20水 リアル開催/
「Web担当者Fourm ミーティング 2024 秋」全50講演超!
ソーシャルもやってます!