Cookie規制でマーケターが知るべき技術的・法的な制限を解説。今後できなくなる施策、できる施策は?
サードパーティCookieの規制によって、ウェブマーケティングはどう変わるのか? 今まで実施していた施策や分析にどう影響するのか? これからの対応方法に不安を感じている方も多いだろう。
「デジタルマーケターズサミット 2021 Winter」のセミナーでは、日本経済新聞社の小林氏、サントリーコミュニケーションズの篠崎氏、Option合同会社の柳井氏が登壇し、技術的な制限、法務的な制限について解説した上で、広告主の立場からの質問が行われた。
Cookieの技術的な制限を解説。サードパーティCookieがブロックされると何ができなくなる?
Cookie規制については、個人情報保護法の改正やGDPR/CCPAなどの影響による「法的な制限」と、ブラウザによる「技術的な制限」の2つの側面から考える必要がある。
まずは技術的な制限について、柳井氏が解説を行った。柳井氏はCookieを「ウェブサイトを閲覧するうえで一時的に記憶しておくと便利な情報が格納される場所」と定義する。便利な情報とは、たとえば、「ログイン情報」「動画再生で一時停止した位置」「サイトでお気に入り登録した情報」などが該当する。Cookieはウェブの閲覧をスムーズにするために利用されており、ウェブサイトから発行され、有効期限がある。
Cookieはサイト訪問者を識別するために識別子(ID)を付与するが、それ自体には家族構成、年収などの情報は含まれず、別のデータベースにある場合が多い。そのため、識別子だけでは、個人を特定できない。一方、個人情報に関連してCookieが議論されるのは、識別子がついて他のデータと連携すると、ユーザーに関する詳細情報がわかり、個人を特定できるデータとして活用できるようになるからだ。
ファーストパーティCookieとサードパーティCookieの違いを解説
Cookieには、「ファーストパーティCookie」と「サードパーティCookie」の2種類ある。柳井氏は「ファーストパーティCookie」を「今見ているサイトのCookie」、「サードパーティCookie」を「今見ていないサイトのCookie」と言い換え、それぞれについて解説した。
Cookie規制で議論されているのが、「今見ていないサイトのCookie」の「サードパーティCookie」だ。「今見ていないサイトのCookie」とはどのようなものなのか。サイトの多くは、画像やスクリプトなどの他サイトのリソースが含まれていることがあり、これらを表示することで、Cookieが発行されることがある。ウェブブラウザの開発者ツールで見てみると、ファーストパーティCookie以外にも、さまざまなサイトからCookieが発行されていることがわかる。
なお、ファーストパーティCookieとサードパーティCookieは相対的なものである。ユーザーがアクセスするサイトが変われば、サイトAでファーストパーティCookieだったものは、サイトBでサードパーティCookieになり、逆も然りである。
ではサードパーティCookieが使えなくなると、どんな問題があるのか。柳井氏は次のようなものが利用できなくなると紹介した。
- サードパーティデータを活用したDMP
(代表的なのが年齢やデモグラフィック属性、興味を推測するDMP。自社データのみを使うファーストパーティDMPは対象外) - リマーケティング広告
- ビュースルーコンバージョン計測
多くのブラウザでサードパーティCookieはブロックされる。サードパーティCookieに依存しない施策を始めよう
Cookieを発行するのは、ウェブサイト(サーバーやJavaScript)だが、ブラウザがそれをブロックするようになる。AppleはすでにウェブブラウザのSafariに、ITP(Intelligent Tracking Prevention)機能を搭載し、サードパーティCookieをブロックしており、ファーストパーティCookieについても有効期限を短縮している。
さらにAppleは、iOS14.5からアプリがIDFA(Identifier for Advertisers、モバイル端末を特定するID)をデフォルトで送信しないようにする。送信するにはユーザーの同意を得るように変更される予定だ。Appleは許可なき「個人の特定」はNGというスタンスを強く打ち出していると柳井氏。
一方、Google Chromeも今後1年半以内にサードパーティCookieをブロックするように変更予定だ。GoogleはPrivacy Sandboxと呼ばれる仕組みを用意しており、アドフラウド検知、インタレストに基づいた広告、オーディエンスリスト作成、コンバージョン計測など、これまでサードパーティCookieが担ってきたものを、個人を特定する機能を排除した上で、実現できるように開発中だ。
いままで、Googleの広告配信はひとりひとりのCookieのIDベースで行われていましたが、Googleの新しい仕組みでは、ユーザーをグループにまとめて、グループ単位で広告配信サーバーから配信します。これによりプライバシー問題を回避しようとしています(柳井氏)
こうした変更に合わせて、ウェブマーケティングを行う企業は、サードパーティCookieに依存しない施策を始める必要性がある。
個人情報保護法の改正やGDPR/CCPAなどの影響による法的な制限とは
次に、小林氏から法的な視点からの制限が紹介された。令和4年に個人情報保護法の改正が予定されているが、改正のポイントは次の図の通り。赤字が追加されるもの、青字は修正されるものだ。
小林氏は「マーケティングに関わるのは、⑤の個人関連情報で、提供先で個人情報になるDMPなどの規制がかかるようになることがポイントだ」と話す。「個人情報保護法 制度改正大綱 第3章第4節」には、「端末識別ID」「アプリのID」「CookieのID」などは、今まで個人情報ではないと扱われていたが、会員情報と紐付けると個人を識別できる場合は、個人情報として取り扱わなければいけないと明記されることになる。
個人情報保護法 制度改正大綱 第3章第4節では、
- ターゲティング広告、リマーケティング広告が個人を特定しない形で行うことが業界の慣行になっていたこと
- 事業者が「個人情報ではないデータ」としてサードパーティDMPを提供し、それを提供先の企業が他の情報と連携して個人情報として扱えるような事業形態が存在していること
が書かれており、本人関与のない個人情報が収集されていることを懸念する旨が書かれている。そこで、新しい改正法では、他の情報とつなげて個人と識別する場合は、個人情報として適切に提供するようにと書かれていると小林氏は言及した。
いままでは、Cookieだから個人情報ではないと捉えていましたが、今後は個人情報として同意を得る必要があります。しかし、提供元は個人データではないので同意を取るのが難しいので、提供先が本人から同意をとっていることを、提供元は確認してからデータを提供しなければならないことになります(小林氏)
今後の課題は、外部のDMPなどのさまざまなデータソースからデータを購入し、自社の保有データと紐付ける場合、消費者からデータを紐付けることに同意を得なければならないということだ。
これから実施できなくなる施策、引き続き実施できる施策は?
続いて、サントリーの篠崎氏が広告主・事業会社の立場から質問し、それに柳井氏、小林氏が答えるような形で進行した。
質問 ① Cookieデータを個人情報として取り扱う上で現実的に実施不可能になるサービスはありますか?
これについては、実施できなくなるサービスとして次のものが挙げられた。
- 閲覧ベースでのリターゲティング広告(技術的な規制)
- DSPを用いたターゲティング配信(技術的な規制)
- パブリックDMPを使った顧客の可視化(法的な規制)
- DMPを介した他社とのデータ連携(技術・法的な規制)
その理由については、以下の図にまとめている。
閲覧ベースのリターゲティングについては、Safariではすでにできないので、iOSのモバイルからのアクセスが多いサイトであれば、約7割近くができなくなっているというケースもあります。B2BでPCからの閲覧が多いサイトであれば、そこまで大きく影響を受けていないでしょう(柳井氏)
質問 ② 顧客理解のために、グループインタビュー、デプスインタビューに加えて、ウェブ行動履歴を補助的に使っていたが、こうした利用も規制されるのでしょうか?
これについては、事前にユーザーからの同意を得ておく必要がある。海外では、すでに同意を得ることが当たり前になっており、同意をしなければ次のステップに進まないようになっているので、ある程度定着しつつある。「今は過渡期だが、できるだけ早く同意を得ることを徹底したほうがいい」と柳井氏はアドバイスした。
質問 ③ Google Analytics(GA)を使っている企業は多いが、GAはサードパーティCookieに当たらないのか?
柳井氏は、「GAはファーストパーティCookieだが、Googleにデータを渡すことが提供先で個人情報に分類されることにあたるかどうかは微妙だ」としている。
これに対し、小林氏は、「質問の答えとしてはGAは今後も使える。Googleは個人情報を扱わないというスタンスだが、データが集まると同意できているかどうかは議論になるところだが、GoogleはPrivacy Sandboxなどの仕組みを用意して対応している」と回答した。
一方で、今後も実施できる施策は、以下の通りだ。
質問 ④ お客様から個人情報の開示請求や削除依頼があった場合、どこまで対応するべきでしょうか?
柳井氏は、「システムでデータが結びついていていないと削除ができない。今回、個人情報といっても個人情報データベースが対象なので、紐付かないものは検索しようがないのでデータベースではないと考えることもできる。これから、CDP(Customer Data Platform)を設計する場合は、データをつなげて、削除できるように開発するべき」と回答した。
小林氏は「各社がどういう形でデータベースをもっているのか、ログを管理しているかによって、対応の仕方は変わると思う」と回答した。
質問 ⑤ Cookie規制に対応しようとしている動きの中で、分析まわりで注目しておくべきものはありますか?
この質問に対し、篠崎氏は「サントリーではウェブ上にコンバージョンがあるプロダクトが少ないので、ウェブ行動のみで分析することはないが、顧客理解のためにジャーニーを分析するときにウェブ行動履歴を参考にする場合がある。外部のデータが使えなくなるなら、他に方法はありますか?」と補足した。
柳井氏は「今まではサードパーティCookieの連携ができる媒体に広告予算を集中させるなど不健全な部分もあった。今後はマーケティングミックスモデリングやパネルを使った調査などにより顧客理解を深め、媒体を選ぶようになるのでは」と予測した。小林氏も「調査が改めて注目される可能性はある。ログ、数字だけで分析するのではなく、リサーチなどと合わせて分析して施策を考えるようになるのでは」と話した。
これからのデータ活用の4つの方向性
これからのデータ活用の方向性として、次の4つが挙げられた。
- 取得データ、利用データ、利用ツールを管理する必要
- リターゲティング偏重からの脱却
- DMPの見直し(同意がとれているのかを見直す)
- コンテキストターゲティングが増える
1のデータ管理のためにCMP(Consent Management Platform)の導入が増えるのではないかと言われていると小林氏。篠崎氏は、サントリーコミュニケーションズではサードパーティCookieが使えなくなった後の分析をどうするのか、今まで取得できていたデータがどう影響するのかなど、議論が始まっているところだと話した。柳井氏は、「CMP導入の相談はあるものの、今のところは最終的にどういう法整備になるのか待ちたいという企業が多い」という。
4について小林氏はオーディエンスではなく、閲覧しているサイトやコンテンツにあわせたターゲティングが増えるのではないかと予想する。柳井氏は、「コンテキストターゲティングに活路を見出そうとしている企業はある」と話した。篠崎氏は「社内ではコンテキストターゲティングという言葉は使われていない。弊社では広くお客さまを捉えたいという意向が強いので、人へのターゲティングだと、規模が小さくなってしまう。お客様の状況をとらえるターゲティングは、本来考えるべき広告のあり方だと思う」と述べた。
「枠から人へ」と人の方にターゲティングが寄っていたが、その人が今、何を見ているのか、どういう状況でいるのかということがより重要になっていくだろう。
Cookie規制の対応には社内でチームを組んで対応を
技術規制、法規制に対して、広告主、媒体社の立場で今後どう取り組んでいくかを最後に述べた。
アドテクやウェブテクノロジーが進化して、今まで見えなかったものが見えるようになって新鮮だったが、ここ数年はそれに傾倒しすぎていた。ウェブ上の行動で判断できる材料はそれほど多くないので、家庭訪問など、お客様の声を直接聞き、理解を深めるような基本に立ち戻ることが重要だと感じた(篠崎氏)
対応するには、テック面、リーガル面、マーケ面それぞれ専門領域の知識が必要だ。システム部、法務部、マーケティング部がチームを組んでことに当たる必要がある(小林氏)
セッションでは、これからのCookie規制について、技術と法律の双方から語られた。Webマーケティングの担当者は、最新情報をチェックして、これからの対応について先を見据えて検討していく必要がある。また、個人情報の許諾などは早いうちから準備しておいたほうがよいだろうと述べ、セッションを締めくくった。
ソーシャルもやってます!