Google ChromeのサードパーティCookieの廃止 規制の流れと対策を解説
Google ChromeのサードパーティCookie規制が迫っている。自分たちのマーケティングにどのような影響があるのか、不安に感じている人もいるだろう。Cookie規制は、法的側面と技術的側面がある。「デジタルマーケターズサミット 2024 Winter」のセッションでは、法的側面について日本経済新聞社の小林秀次氏が、技術的側面についてOption合同会社の柳井氏が解説。さらに、何ができなくなるのか、どのように備えるべきかを紹介した。
個人情報保護法と電気通信事業法の改正で何が変わった? 改正のポイントを解説
Cookieの取り扱いは、どのように変化しているのだろうか。起こっていることを法的な面、技術的な面から解説していこう。まず、法的な面を小林氏が説明していった。
数年前から、企業が抱える個人データの保護を厳格にする動きが世界中で広がっている。GDPR(EUの一般データ保護規則)や、CCPA(カリフォルニア州消費者プライバシー法)といった法的な制限だけでなく、レピュテーションの制限の影響を受けている企業も多いだろう。日本国内では以下の2つの法改正があり、対応を行ったという方も多いのでは。
- 個人情報保護法改正:令和4年4月から施行開始
- 電気通信事業法改正:令和4年5月から施行開始
個人情報保護法改正(令和4年4月から施行開始)4つのポイント
個人情報保護法の改正の背景をまとめたのが以下の図だ。詳細はPPC(個人情報保護委員会)が提供している令和2年改正個人情報保護法概要リーフレット(令和4年4月)をぜひ確認してほしい。
では、法改正で具体的に何が変わったのか? 小林氏が改正のポイントを解説していった。
① 個人情報が漏洩した場合、本人への通知を義務化
改正前は、「本人に通知するよう努める」だったが、改正後は「本人への通知が義務化」された。
② 外国にある第三者へ個人データを提供する場合、本人に対し、個人情報の取扱いに関する情報提供を充実させる
改正前は、本人の同意があれば外国にある第三者に個人データを提供できたが、改正後は同意取得時にどの国にデータを置いているのかなどの情報を提供することが義務付けられた。
③ 保有している個人データの開示方法に電磁的記録が追加
改正前は書面による交付が原則だったが、改正後は電子メールで送信する、ウェブサイトでダウンロードするなど、データの開示方法を本人が指示できるようになった。
④ 個人情報の利用停止・消去の請求権を拡充
改正前は利用停止・消去ができるのは、目的外利用や不正取得の場合に限定されていたが、改正後は本人が利用する必要がなくなった場合や、本人の権利又は正当な利益が害されるおそれがある場合にも利用停止・消去が請求できるよう拡充された。
また、個人関連情報の第三者提供を規制する項目が新設されている。個人関連情報とは、「生存する個人の情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」で、Cookie情報はこれに当たる。
電気通信事業法改正(令和4年5月から施行開始)のポイント
Cookieに関して規制が広がったのは、「外部送信規律」という電気通信事業法で定められたものだ。こちらは、総務省のサイトに詳しい説明があるので確認しておこう。
「電気通信事業を営む者は、利用者の端末に外部送信を指示するプログラムを送る際は、あらかじめ送信される利用者に関する情報の内容等を、通知・公開しなければならない」というのが規律の概要だ。
規律の対象となるのは、メッセージングアプリなどのメッセージ媒介サービス、SNS、検索サービス、ニュースサイトやまとめサイトなど、多くの人に情報を公開しているようなホームページの運営だ。企業のコーポレートサイトや自社ECサイトなど、一部の人に向けて情報を発信している場合は、電気通信事業に該当しないため、規律の対象者ではない。
サードパーティCookie、SafariではITPで制限済み
Google Chromeも廃止予定
続いて、柳井氏がITPやGoogle Chromeによる技術面での解説をしていった。サードパーティCookieが使えなくなる話は、3、4年前から話題になっていた。2020年に柳井氏が解説したマンガがWeb担に掲載されているので、マンガを読むと概要がわかる。
Appleのブラウザ「Safari」では、以前からITP(Intelligent Tracking Prevention)というユーザーの行動を追跡・分析するトラッキングを制限する機能が搭載されていたが、Google ChromeでもサードパーティCookieの廃止が検討されている。
サードパーティCookieや、ファーストパーティCookieという言葉があるが、そもそもCookieとは何かからおさらいしよう。
おさらい①Cookieとは?
Webサイトを閲覧するうえで、一時的に記憶しておくと便利な情報がある。たとえば、以下のようなものだ。
- ログインを必要とするサイトのログインステータス(ログイン状態を維持する)
- 動画再生で一時停止したタイミング(続きから再生する)
- 不動産サイトでお気に入りに保存した物件(お気に入りを後から見る)
ユーザーが動画のどこまで再生したかという情報を、動画サイト側がそのユーザーのブラウザに記録しておくことで、次にその動画を開いた時に続きから再生できる。このような情報の格納場所をCookieという。技術的な仕様としては、Webサイト(サーバまたはJavaScript)から発行され、有効期限がある。
動画再生の例の場合、「このブラウザで、ここまで再生した」という情報なので、個人情報ではないし、ユーザー自身にメリットがある。自社サイトでの情報(行動履歴)を自社サイトのサービスに利用しているので、ファーストパーティCookieと呼ばれ、規制の対象ではない。
おさらい②なぜ、Cookieが制限されているのか?
では、「なぜCookieが問題になっているのか」というと、個人情報文脈で利用されるようになり、Cookieを個人あるいは個人のブラウザやデバイスを識別する識別子として使うことができるからだ。
たとえば、サイトを来訪したユーザーの属性が「男性、30歳、独身」だとわかっても、それが誰なのか特定できないと、あまり役に立たない。
しかし、そのユーザーに固有のID(識別子)が付与されると、「ID 0001さん(男性、30歳、独身)」がいつサイトを訪問して、何を買ったかという行動情報を収集して、レコメンドなどに利用ができる。
おさらい③ファーストパーティCookieとサードパーティCookieの違いとは?
自社サイトだけでそのユーザーの行動を分析して活用するのであれば、ファーストパーティCookieなので問題ない。規制されるのはサードパーティCookieだが、これは「今見ていないサイトから発行されるCookie」のことだ。
たとえば、Web担のトップページを見ているとしよう。右側にいくつか広告が表示されているかもしれない。この時、あなたはWeb担のページ(webtan.impress.co.jpドメインのサイト)を見ているが、Web担以外のドメインのリソース(画像やJavaScriptなど)にアクセスしていて、そこからもCookieが発行される。
Google Chromeの開発者向けツールで確認すると、どのドメインからCookieが発行されているかがわかる。
閲覧したブラウザを特定できる識別子としてCookie情報を付与することで、その広告プラットフォームを使っている別のサイトでの行動もトラッキングできるため、サードパーティCookieは広告の分野で広く活用されてきた。
ちなみに、ファーストパーティCookieか、サードパーティCookieかは相対的なものだ。
以下の画像の例で、example.comというサイトを見ているときに、Googleの画像が埋め込まれている場合はファーストが『example.com』、サードが『google.com』になる。
右のケースは、Googleのサイトを見ているケースです。この場合、『example.com』の画像が埋め込まれていると、今見ているサイトはGoogleなので、ファーストが『google.com』、サードが『example.com』になる。今見ているサイトによって、ファーストとサードの位置づけが逆転します(柳井氏)
サードパーティCookieがブロックされるとできなくなる4つの代表例
サードパーティCookieがブロックされると何ができなくなるのか? 柳井氏は代表例として、以下の4つを挙げた。
- サードパーティデータを活用したDMP
- ブラウザの履歴を利用したオーディエンスターゲティング
- リマーケティング/リターゲティング
- ビュースルーコンバージョン計測
サードパーティCookieの廃止で上記のようなことができなくなるが、代替策はあるのだろうか。Google Chromeに限られるが、プライバシーを保護した状態でサードパーティCookieが担ってきた機能を実現できるよう、「Privacy Sandbox(プライバシーサンドボックス)」という新しい技術を提供予定だという。
サードパーティCookieという一つの機能が提供していたことを、いくつもの新機能を提供することで、できるかぎり代替しようとしている。
よくある疑問質問
Web担当者が一番気になるのは、サードバーティCookieの廃止で今行っている施策はどうなるのか、ということだろう。施策ごとに影響を確認していこう。
疑問①リターゲティング広告はどうなる?
「自社サイトに来てこういう動きをした人に、外で広告を当てる」というリターゲティングは、今と同じかたちではできなくなる。現在は配信条件で「このページまで見た人」など、細かく設定できたと思うが、それは難しくなり、基本的にはドメイン単位での指定となる。
疑問②Google アナリティクス 4などでの分析はどうなる?
自社サイトの分析ツールではサードパーティCookieを使ってトラッキングをしているケースは少ないので、影響はほとんどない。
疑問③DMPなどを用いた外部データとの突合はできる?
ターゲティングの精度を高めるために、事業者の持つデータと外部データを突合して「このCookieを持っている人はこういう人」と性別や興味関心を推定することは、簡単にはできなくなる。
Cookie以外のメールアドレスや電話番号をキーにして、同様のことは実現可能だが、「オーディエンス拡張に利用して良い」という許諾を取る必要があり、既に取得しているメールアドレスをそのままでは使用できないので、かなりハードルが高いだろう。
疑問④DSPを使って、ターゲティング配信はできる?
Privacy Sandboxの技術を使って、サードパーティCookieを使わない形でのターゲティングはある程度できるようになる見込み。
疑問⑤Facebook、Xなどメガプラットフォームでのターゲティング配信はできる?
ユーザーのサービス登録時に電話番号やメールアドレスを取得し、マーケティングに利用するとあらかじめ告知しているため、影響は小さい。ただ、ターゲティング配信を行いたいとなった場合、今後、一部のサービスに配信場所が偏っていく可能性がある点は留意しておきたい。
疑問⑥自社サイト内でのCRM的な出し分けはできる?
自社サイト内でCookieなどの情報を使って、レコメンド情報の出し分けなどを行っている場合、利用するのはファーストパーティCookieなので、今後も利用できる。ただし、特にSafariではCookieの有効期限が短くなっている。たとえば、2週間後に再訪問するといったケースだと、出し分けができない場合があるので注意が必要だ。
疑問⑦リスティング広告は?
Google 広告の検索広告向けリマーケティング(RLSA)などのようなリターゲティングを併用したソリューションは影響を受けるが、純粋に検索キーワードに対して配信を行う範囲であれば影響を受けない。
疑問⑧メディアを横断した配信制御はできる?
複数ドメインをまたいで、広告接触回数を制限するようなフリークエンシーコントロールはできなくなる。
また、柳井氏は注意点として、「ドメインを分けてサービス展開をしたいという方が多いが、一つの会社であれば、サービスや製品ごとにドメインを分けずに、サブドメインで分けた方がいい」と指摘する。サブドメインであれば、ファーストパーティCookieが使えるからだ。
本来の目的に立ち返って、広い視野で新しい方法を検討しよう
サードパーティCookieの規制まで待ったなしの状況だが、何から始めたらよいのだろうか? まずは、自分たちがやっている施策でサードパーティCookieを使っていて、影響がある施策を把握することが重要だ。施策の把握ができたら、代替方法を探す必要があるが、どのようにしたらよいのか。柳井氏と小林氏は、次のように語った。
大きな流れとして、個人を特定する方向には限界がある。視野を広げて、違う方法をバランスよく考えるのが大事(柳井氏)
Cookieが使えなくなったら、Cookieでやっていたことを別のものでできないかと考えがち。だが、本来何をしたかったかに立ち返れば、別の解決策がある。広告配信はクリエイティブでも変えられるし、出す面を変えることでも変えられる。代替手段はベンダーさんが持っているかもしれないので、聞いてみてもいいでしょう(小林氏)
今後、個人情報に関する規制が緩くなることは考えにくい。法的規制や技術的規制がどうなっていくか、流れを読むことが大事になる。できなくなったと嘆いても仕方ないので、何がしたかったのか、顧客理解なのかエンゲージメントなのか、それをするためにはどうすればいいかを突き詰めれば、別の方法が広がってくるはずだ。
\Web担主催リアルイベントが“オンデマンド配信”決定!/
満席で申し込みできなかった講演も聞ける【12/13(金)18:00まで視聴可能】
ソーシャルもやってます!