「デジタル広告運用」はこれからどうなる? 押さえておきたいCookie規制・プライバシー保護
2024年後半にはGoogle ChromeでもサードパーティCookieサポートが終了する。プライバシー保護の観点から、Cookie利用の規制は今後強化される方向にあることは間違いない。
「デジタルマーケターズサミット 2022 Summer」にアナグラムの田中広樹氏が登壇し、ポストCookie時代へ突入した今、デジタル広告をこれからも活用していくために何が必要か、運用型広告の効果を最適化するために必要なポイントについて話した。
Cookieは使い方によってはプライバシー侵害につながる
セッション冒頭、田中氏は「Cookieとは、ブラウザに保存される“小さなファイル”」だと説明した。
ユーザーがWebブラウザでWebサーバーにアクセスすると、サイトに設置された計測タグなどJavaScriptによるプログラムが実行され、ブラウザにCookieが保存される。Cookieの役割は、ブラウザの識別やその情報の保持、ログイン情報の保持、ショッピングカートの中身の情報の保持などで、ユーザーが次回アクセスすると、Cookieが保持した情報が読み取られる。
こうした役割は運用型広告でも利用されており、広告のコンバージョン計測の他、ユーザーの行動履歴などの情報を蓄積し、ターゲティング広告などへ応用するなど、大きな役割を担っている。
また、Cookieには大きく「ファーストパーティCookie」と「サードパーティCookie」がある。ファーストパーティとは当事者、サードパーティとは第三者と捉えると理解しやすいと田中氏は説明する。つまり、アクセスしたWebサイトと同じドメインのサーバーが発行したCookieがファーストパーティCookieで、アクセスしたWebサイトと別のドメインのサーバーが発行したCookieがサードパーティCookieだということになる。両者は発行元が異なるだけで、機能の差はない。
サードパーティCookieの代表的な利用例は、たとえばGoogle 広告のリマーケティングに代表されるようなリターゲティング広告がある。Google 広告では広告主に対してリマーケティングや広告の効果計測を行う目的で計測タグを設置するよう強く推奨している。「計測タグが設置されたどのサイトに対しても、Googleは計測タグを読み込み、サードパーティCookieを用いて、情報を読み書きすることができる」と田中氏は話す。
つまり、知らない間にユーザーの行動履歴や趣味嗜好が第三者に取得されてしまう可能性があるわけだ。これがプライバシー保護の観点から指摘されるサードパーティCookieのデメリットだ。
Cookieはデバイス、法律両面により制限されている
こうしたリスクに対し、プライバシー保護の観点から、リターゲティングをはじめとするパーソナライズド広告や、広告効果計測などへのCookie利用を制限しているのが最近の潮流だ。
具体的にCookieは、デバイスと法律の両面で制限されている。
デバイスによる制限の代表例はAppleだ。「同社の提供するSafariでは、後述するITP(Intelligent Tracking Prevention)が実装される以前から、サードパーティCookieをデフォルトでは受け入れない設定になっていた」と田中氏は話す。
ITPとはiOS 11(2017年)から提供された機能だ。これは、OS側でデバイスごとにCookieを制限するもので、トラッキングを目的としたCookieの利用と判断された場合、次の制限が行われるものだ。
- サードパーティCookieは即時廃棄
- ファーストパーティCookieであっても、有効期限が最短で24時間まで短縮※
- ローカルストレージでも有効期限が最短7日に短縮
こうした制限により、広告計測やターゲティングに影響が及んでいる。さらに、iOS 14(2022年)から提供開始されたATT(App Tracking Transparency)により、アプリによるIDFA(デバイスID)の取得時にユーザーの同意が必要となった。
これにより、アプリインストール広告で広告経由のダウンロードが追跡できなくなる、アプリ上に掲載されるターゲティング広告の精度が低くなるなど、運用型広告の計測やターゲティングに影響が現れているのだ。
一方、法律による制限で代表的なものは、GDPR(EU一般データ保護規則)だ。GDPRでは、Cookieは個人情報であると見なされ、Cookieの取得にあたって事前通知やオプトイオン・オプトアウトに関する厳格なルールが設けられている。また、個人情報をEU域外の国に移転することを認めていないため「持ち出す場合は越境移転ルールをクリアする必要がある」というものだ。
ほかにも、以下のような規制がある。たとえば、米国のカリフォルニア州法であるCCPA(California Consumer Privacy Act of 2018)は、カリフォルニア州在住の消費者および従業員を保護の対象としたもの。CCPAでもCookieは個人情報と見なされており、個人情報の「販売」を拒否する権利が認められている。
日本では、2022年4月施行の改正個人情報保護法がある。同法では、Cookie単体を指して個人情報だとは定義していないものの、個人情報とCookieの情報が紐づく場合は、Cookieも個人情報という扱いになるというのだ。その場合、Cookieの取得や利用に関する事前説明と同意を得る必要がある。
個人情報とCookieの情報が紐づくケースというのは、たとえばGoogle広告のクリック情報と営業支援システム(SFA)やMAツール内に保存された個人情報が紐付いているケースなどが考えられる。
さらに、2022年に成立した改正電気通信事業法は、ISPや検索サイト、SNS、ECなどのショッピングモール事業者といった「電気通信事業を営む者」を対象にした法律だ。これらの事業者は、ターゲティング広告に利用される利用者情報を外部に送信する場合、「通知または公表」「同意取得」「オプトアウト措置」などが必要となる。
Cookie利用の同意を得られなかった時の対応策として、Googleは自身が提供する一部のマーケティングプロダクトに対して「同意モード」を提供している。これは、ユーザーの同意内容に基づいてGoogleのプロダクトが利用するCookieのコントロールを行うほか、ユーザーからCookie利用の同意が得られなかった場合でも、Googleタグからシグナルを受信して計測を補完する方法を提供するソリューションだ。
サイト運営基盤にCMP(コンテンツ管理プラットフォーム)を活用する企業は多いと思うが、自社が利用するCMPが同意モードに対応していれば、Google 広告やGoogle アナリティクス 4(GA4)など一部プロダクトに限られるものの、非同意となった場合でも、ある程度Cookieに頼らない計測を行うことが可能になる(田中氏)
一方、同意モードに対応していない場合、Cookieを利用した計測は原則できない。このように、Cookieはデバイス、法律による制限により、複数の要因で様々な箇所で制限を受けることになるのだ。
Cookieに依存しない広告の効果測定
では、Cookieに依存しない運用型広告の効果測定をどのように実現したらよいか。田中氏は1つの解決策として各広告プラットフォームが提供する「コンバージョンAPI」「手動詳細マッチング」の利用を挙げた。
代表的なのがMeta(旧Facebook)だ。
コンバージョンAPIとは、広告主のサーバーから広告プラットフォームの計測サーバーへ、直接情報(計測イベント)を送信する仕組みだ。
コンバージョンAPIを構成する際には、広告主のWebサイトから広告プラットフォームの計測サーバーに対して情報を送信する領域で、別途システム開発が必要となる。また、コンバージョンAPIとそれに類する計測の仕組みは各プラットフォームから登場予定であるものの、統一した規格ではないため、プラットフォームごとに対応が必要になる点にも注意が必要だ。
この点、田中氏は、「主要プラットフォームの仕様が出揃ってからまとめて対応することを検討する企業もある」と指摘する。また、コンバージョン計測の精度を向上させるため、後述する手動詳細マッチングの導入も検討するとよいという。
手動詳細マッチングとは、広告主から広告プラットフォームのサーバーへ送信された個人情報と、ユーザーアカウントの個人情報を突合してイベントを計測する仕組みだ。
コンバージョンAPIと比較してシステム開発の難易度が大幅に下がるので、コンバージョンAPIへの対応を検討する間、先に詳細マッチングを実装して、広告の効果を落とさないという方法もある。
詳細マッチングは個人情報を預かって広告プラットフォームに送信する仕組みであるため、以下の2点について対応が必要な点も押さえておきたいポイントだ。1つめは「利用目的の特定」で、広告および広告測定などのように利用者が想定できるような利用目的をプライバシーポリシーなどに明記したうえで、利用の同意を得る必要がある。
2つめは「第三者に該当しない場合」で、データの処理を行う委託先(第三者)が独自に収集した個人データと、委託元から提供された個人データを突合するような場合に、「個人情報保護法でいう個人情報の第三者提供として整理する必要があると見られる」ため、預かった個人情報を法令に基づいて管理をする必要があるというものだ。
Cookieに依存しない広告のターゲティングについてはファーストパーティデータの活用が有効だと田中氏は述べた。というのも、広告主側で取得した個人情報のリストをリターゲティングや類似オーディエンスへの配信などのターゲティングに利用することができるからだ。
特に、最近実装されたGoogle 広告のP-MAX(パフォーマンス最大化)という機能は、Google 検索、YouTube、GmailやDiscoverなど、Googleの多彩な広告チャネルをフル活用し、広告効果を最大化するための機能だが、この機能においても顧客リスト(ファーストパーティデータ)をオーディエンスシグナルとして利用することを強く推奨しているという。
また、広告プラットフォームで提要される機能に期待するのも1つの方法だ。
たとえば、「FLEDGE(フレッジ)」や「Topics API」といった、ユーザーのオンラインでのプライバシーを保護しながら広告配信が実現できる「プライバシーサンドボックス」などの実装にも期待したいと田中氏は話す。
これらのテクノロジーがどのような形態で実装されるか、今後の動向に注視していくこともマーケターとして重要なテーマだ。
従来の運用型広告から脱却するポイントは、技術・法律両面の理解
運用型広告の成果を左右するのは「計測」と「ターゲティング」だ。運用型広告プラットフォームには自動入札機能があるが、これもコンバージョン計測ができてはじめて機能するものだ。
「計測」と「ターゲティング」は、これまでCookieを使用して実現していた。しかし、デバイスと法律の両面でCookie使用が制限された今、計測タグの単純実装(Cookie活用)だけでは運用型広告の運用には限界が見えてきたといえる。
これまでは広告プラットフォームが用意する計測タグを単純に実装するだけでよかったが、今後は、Cookieに代わる計測の実装に関する技術的な知識の習得や理解が必要になってきた(田中氏)
さらに、今後は法律によるCookieの制限がさらに進んでいくことが考えられることから、マーケターには、ポストCookie時代の計測に必要なプライバシー保護に関する法律の情報収集も必要になってくるだろう。
もちろん法務部などとの連携も大事だが、技術が絡んでくる領域では、法務に任せっきりにすることはできない。その意味で、共通言語としての法律は、マーケターもある程度頭に入れておくべきだ。
Googleのサービスは近年、検索やショッピング、Gmailやマップ、PlayやYouTubeなどに機能アップデートが集中している。これらはログインを前提として利用されるサービスであり、ログインを通じて顧客の属性や行動、趣味嗜好に関するデータを蓄積することができる。これを活用することで、詳細マッチングのようなCookieに依存しない広告計測が実施しやすくなり、広告の精度、効果を高めていくことが可能になるのだ。
その点で、ユーザー情報を持つ巨大プラットフォームの優位性は続くだろうと田中氏は予測する。さらに「媒体推奨の計測方法を導入することから検討を開始すべき」だとした上で、次のように述べてセッションを締めくくった。
技術の理解、法律の理解の両面が、従来の運用型広告の運用から脱却するためのポイントになるだろう(田中氏)
\参加無料 11/19火・20水 リアル開催/
「Web担当者Fourm ミーティング 2024 秋」全50講演超!
ソーシャルもやってます!