Cookie規制の進展により、WebサイトにおけるCookieの利用にはCMP(同意取得ツール)などの手段によって、利用者から利用目的ごとに同意を取得する(オプトイン)プロセスを経ることが、今や一般的になりました。
事業者にとっては、同意取得のプロセスはユーザの離脱リスクを伴いますが、透明性の確保、明確な選択肢の提示に基づくユーザからの「真正な同意取得」は、企業の法令順守の姿勢を示し、信頼性の向上に大きく寄与する取組みです。
このような状況下で重要性を増してきているのが、ファーストパーティデータです。ファーストパーティデータとは、企業が第三者を経由せずに自社で直接収集・保有しているデータのことで、具体的には、自社Webサイトの訪問者データ、顧客の購買履歴、顧客の行動履歴、会員登録情報などが含まれます。
企業はこれらのデータをユーザの同意の下に適法に収集し、マーケティングに利用しています。一方でDMPやCDPといったデータ活用のプラットフォームによって、ファーストパーティデータは広告配信にも活用され、Cookieが使えなくなっている今、その重要性が増しています。
今回は、スマホに焦点をあて、スマホの端末固有の識別IDと広告配信手法の変遷、GDPRに代表される法規制の影響、広告配信のターゲティング手法がファーストパーティデータの活用にシフトする中で新たな問題となっているアプリやソーシャルログインを活用したユーザの同意取得の問題点とダークパターンの関係性、などについて考察していきます。
スマホで使用されている広告の識別子
スマホの端末には、PCとは異なり、端末を一意に識別できる固有のIDが割り振られていることを皆さんはご存じでしょうか?これらのIDは主に広告の識別子等として使用されています。
iPhoneやAndroidで取得できるID
AppleからはIDFA(Identifier for Advertisers)、GoogleからはAAID(Android Advertising ID)がそれぞれ提供されており、主に広告のパーソナライズ等に活用されています。
IDFA(iOS向け)
・Appleが提供する広告識別子でiOS端末に割り当て。
・広告のターゲティングや効果測定に利用。
・2021年4月にリリースしたiOS 14.5以降、IDFAの利用にはユーザの許可が必要。
AAID(Android向け)
・Googleが提供する広告識別子で、Android端末に割り当て。
・IDFAと同様、広告のターゲティングや効果測定に利用。
・ユーザは設定画面からIDのリセットや無効化の設定が可能。
IDFAとAAIDのプライバシー対応への違い
IDFA(Identifier for Advertisers)とAAID(Android Advertising ID)は、GDPRが規制対象とする「個人データ」に該当します。IDFAでは、iOS14.5のリリース(2021年4月)以降、ATT(App Tracking Transparency)を導入しました。
ATTとは、トラッキングの透明性を高め、ユーザが自身に関する情報提供の選択権を管理できるスマホユーザのプライバシー保護の仕組みです。AppleがITPをリリース(2017年9月)してから遅れること約4年、モバイルの広告配信の識別子であるIDFAにも、オプトイン方式によるユーザの同意取得の仕組みを導入しています。
ATTの概要
・導入時期: 2021年4月、iOS 14.5以降で適用。
・目的: データがどのように利用されるかをユーザ自身で管理できるようにする。
・仕様: アプリがIDFA(広告識別子)を取得する際、ユーザの許可を求めるポップアップを表示。
・影響: 許可しない場合、アプリはIDFAを取得できないため、広告のターゲティング精度が低下。
一方、Androidでは、IDFAのATTのようなオプトイン方式は採用されておらず、オプトアウト方式による実装となっています。
AAIDの概要
・設定: 「設定 → プライバシー → 広告」から、「広告のカスタマイズをオフ」を選択可能。
(Interest-based Advertisingのオプトアウト)
・仕様: オプトアウト方式、ユーザが設定変更しない限り、アプリはAAIDの取得が可能。
・影響: プライバシー設定のONによって、アプリで取得するAAIDはマスクされた値に置換。
・関連法規対応: GoogleはAAIDを扱う開発者や広告主に対し、アプリ側での同意取得を推奨。
(特にGDPRの影響を受ける地域から取得するデータ)
IDFAとAAIDのプライバシー対応への違い(まとめ)
Apple(IDFA + ATT)
・アクセス方法:ポップアップで明示的はオプトインが必須
・デフォルト状態:アクセス不可 (ユーザが許可しなければ不可)
・UIでの制御:アプリ起動時にプロンプトが表示
Android(AAID)
・アクセス方法:オプトアウト設定のみ(設定から手動で変更)
・デフォルト状態:アクセス可能(ユーザが設定を変更しない限り許可)
・UIでの制御:設定メニューでプライバシー関連の設定を探して操作する必要あり
Appleが、プライバシー保護を推進する企業としてのブランドを構築、広告の透明性を強化し、ファーストパーティデータによるエコシステム構築を推進する一方で、Googleは、IDFAと比べると比較的緩やかな対応に見えます。
これは、広告収益への依存度が低く、ATTでオプトイン方式を導入してもあまり影響を受けないAppleと広告プラットフォーム自体が中核事業であり、オプトイン方式の導入がビジネスに大きなインパクトを与えるGoogleのビジネスモデルの違いとも言えるでしょう。
広告の識別子と規制強化の流れ
Appleは、ITPだけではなくモバイルにおいてはATTも推進しています。この二つを軸にプライバシー保護のトレンドを時系列で見ていくと、デジタルマーケティングのテクノロジーを取り巻く環境がここ数年単位で目まぐるしく変化していることが見て取れます。
GDPR施行以降、モバイル識別子を取り巻く状況の変化
2018年
GDPRが施行、ITP2.0がリリースされ、サードパーティクッキーは即時削除に。IDFAとAAIDはモバイル広告の識別手段として存在感を増す。
2019年〜2020年
ITPの規制が強化、JS由来のファーストパーティCookieも規制対象に。IDFAとAAIDは、Cookieの代替手段として重要性な存在に。
2021〜2023年
AppleがATTを導入、IDFAの取得にはユーザのオプトインが必須に。IDFAの取得が困難になり、精度が優位なAAIDへの依存度が増す。
2024〜2025年
識別子に頼らない広告配信の設計・開発・実装が進展。短期的にはファーストパーティデータの活用、中長期的には広告の識別子の代替技術の実用化を志向。
企業のマーケティング担当者は、短期的にはファーストパーティデータを活用した広告のターゲティング精度向上を模索しています。そして、中長期的にはCookieやモバイル識別子の代替技術を検討・評価する必要もあり、非常に難しいかじ取りを迫られている状況が続いていると言えます。
【関連記事】Cookieの活用に大きな制限が掛かる今、知っておきたい代替技術を解説!
【関連記事】サードパーティクッキーの規制は2024年最終段階へ!今後の情報収集を考える
ATTが広告配信に与えた影響
ATTによって、IDFAの取得にユーザのオプトインが必須となったiOS14.5以降、広告配信にはどのような影響があったのでしょうか?
IDFAの取得にユーザの明示的な同意が必須となったことで、IDFAの取得率が大幅に低下し、広告配信に大きな影響が出ています。地域差や業者・アプリの種類によっても異なりますが、大半のユーザは「許可しない」を選択する傾向にあると各所から報告されています。
1. ターゲティング精度の低下
・IDFAが使えないため、ユーザの興味・行動履歴をアプリ横断で追跡することができない
・リターゲティング(例:カートに商品を入れて離脱したユーザへの広告配信)が困難に
2. アトリビューション(広告効果測定)が不正確に
・どの広告がどの成果(アプリインストールや購入)に繋がったのか、把握が困難に
・Meta(Facebook)、Googleなどのプラットフォームは“モデリング”で補完
3. CPM/CPIの上昇
・精度が下がった分、広告の費用対効果(ROAS)が低下し、競争の激化とコスト増加が発生
4. 広告プラットフォームの広告事業の収益が減少
・ユーザ獲得型のモデル(ゲーム・ECアプリなど)に大きな影響
・「ATTにより広告事業が100億ドル超減収の見通し」と2022年初頭、Metaが発表し話題に
ATTに対する各プラットフォームの対応
Appleは、ATTと合わせて、iOSの広告効果測定をプライバシー保護下で実施する代替技術、SKAdNetwork(SKAN)2.0をリリース。ユーザを特定せず、匿名で、成果データを集約してから、API経由で広告主に提供するプライバシーに配慮した新しい仕組みの提供を開始しました。
ATTの提供開始以降、広告プラットフォーム各社がとっている対応を見てみましょう。
・iOS向けのキャンペーンはSKANに対応、独自のコンバージョンモデリングを用いて推定を補完。
・プライバシーサンドボックスの開発。
Meta(Facebook)
・Aggregated Event Measurement(AEM)やコンバージョンモデリングを用い、広告配信と効果測定を実施。
・SKANに対応する一方で、IDFAに依存しない独自モデルや予測ベースのターゲティングを強化。
TikTok
・AppleのSKANに対応、ATT許可ユーザはIDFAを活用、不許可ユーザはモデリングで補完。
・予測ベース、集約ベース、コンテキストベースのターゲティングへ移行。
広告識別子の規制強化がもたらしたもの
AppleのATTの導入は、ユーザのプライバシー保護の観点では大きな前進である一方、広告配信の精度、効果測定の信頼性、広告収益の面で深刻な影響を与えました。
広告配信は、従来のIDベースのターゲティングから、モデルベース、予測ベース、匿名ベース、集約ベース、ファーストパーティデータと連携したセグメント拡張を用いた手法へシフトし、IDFAに依存しない、ファーストパーティデータを活用したターゲティングの重要性が相対的に増しています。
その結果、企業のマーケティング活動においては、ファーストパーティデータの資産化が必要不可欠なものとなってきています。
ファーストパーティデータの収集と活用
企業のマーケティング活動において、ファーストパーティデータの重要性が増す中で、具体的にはどのように広告配信のターゲティングやセグメントに利用されているのでしょうか?
以下に代表的なケースを見ていきましょう。
1. 購買履歴の活用:ECサイトやアプリなど
・過去の購入や商品の閲覧履歴に基づき、レコメンド広告を配信。(例:あなたにおすすめの商品)
・外部DSP(Google Display Networkなど)への配信セグメントとして活用、属性情報(性別、年齢層、地域)も加味。
・ポイント:ユーザはアカウント登録時に同意しているため、合法的にファーストパーティデータとして活用できる。
2. CRMデータと広告の連携: 航空会社、金融機関、小売業など
・顧客の会員情報(メール、電話番号、購買履歴など)をGoogleやMetaにアップロード。
・類似ユーザ(Look alike)や既存顧客の再アプローチに活用。
・ポイント:既存顧客の同意を得て収集したファーストパーティデータを合法的に再利用するモデルの代表例。
3. ソーシャルログインによるパーソナライズド広告: ニュース、動画配信アプリなど
・ソーシャルログイン時に提供される属性情報(年齢、性別、言語、趣味など)を元にアプリ内広告をセグメント配信。
・カスタムオーディエンスの作成。(例:類似ユーザへの拡張配信)
・ポイント:多くの場合、ログイン時にこれらの情報が広告に利用されることについての明示がない or わかりにくい。
4. モバイルアプリ内行動データの広告活用: フィットネス、教育、ゲームアプリなど
・アプリ内での行動(例:学習ジャンル、運動回数、ゲーム内課金)を記録し、セグメント化。(例:〇〇に興味があるユーザ)
・アプリ内の特定の行動(イベント)を活用したターゲティング。
・ポイント:ユーザが初回起動時やポップアップで「広告目的の利用」に同意している必要があるが、不明瞭なケースも。
5. ID連携基盤(CDP/DMP)でのクロスチャネル: 大手メディア、リテールメディアなど
・会員データを一元化し、広告在庫と照合、Web・アプリ・実店舗の行動データを統合、DSPやSSPと連携し、特定セグメントに広告配信。
・ポイント:ファーストパーティデータと外部広告の在庫(オーディエンスエクステンション)を掛け合わせ、広告配信に活用。
利用にあたって大前提は同意範囲の明確化
広告のターゲティングやセグメント配信にファーストパーティデータを活用する場合、ユーザから取得している同意の範囲やその内容が重要になってきます。
・同意文言: 「広告目的でのデータ利用」や「第三者への提供」まで明記しているか?
・オプトアウトの容易さ: 明確かつ簡単に設定変更できるUIを提供しているか?
・説明の透明性: プライバシーポリシーだけでなく、UI上でもわかりやすく伝えているか?
ファーストパーティデータの活用パターンと同意取得範囲
・EC購買履歴:商品推薦が主、外部連携、セグメント配信への活用には追加の同意取得が必要。
・CRMデータ広告連携:オンライン広告との結合には透明性の確保や同意取得が求められる。
・ソーシャルログイン:広告利用については明示が必要。
・アプリ内行動履歴:アプリ起動時に広告目的の利用に対する同意取得が必要。
・ID連携基盤によるクロスチャネル:外部の広告配信基盤との連携には透明性の確保や同意取得が求められる。
アプリやソーシャルログインにおいては、利用目的の説明と選択肢の提示、利用目的ごとの同意取得、ユーザが後から自身が同意した内容を確認・変更・撤回できる仕組みが必ずしも提供されていないケースが散見されます。
こうしてファーストパーティデータの用途を分類してみると特定の企業の利用に同意した自身のデータが、広告配信のセグメント情報として外部連携されることについてまで、同意しただろうか?と疑問を持つ人もいるかもしれません。
利用目的を明示し、真正な同意取得を実践している企業やサービスがある一方で、同意取得が形骸化し、ユーザに選択肢を明示していない、いわゆるダークパターンも数多く見受けられることに改めて気づかされます。
【関連記事】Cookieの利用には同意が必要!プライバシー保護を意識したWebサイト運営を
【関連記事】ソーシャルログインに潜むリスク、知らないうちに個人情報が洩れている?
重要性を増すファーストパーティデータとダークパターン
GDPRなどの法規制の強化により個人データに該当するIDの使用が制限される中、ファーストパーティデータの重要性が相対的に高まり、ソーシャルログインやスマホアプリを戦略的に活用し、ファーストパーティデータを積極的に収集する動きが加速していることをここまで見てきました。
ここで問題となってくるのが、ダークパターンの存在です。
適法にファーストパーティデータを取得する上で大前提となる同意取得における“恣意性”や“ダークパターン”の濫用は、現在のデジタルマーケティングにおける現実的で深刻な問題のひとつとなっています。
▼本来あるべき姿 ▼現実に散見される問題(ダークパターン)
ユーザが目的を理解し、主体的に許可を選択 ➡誘導的、強制的なUIで同意を得る
拒否しても、サービスの機能は制限されない ➡利用不可・機能制限など、同意を事実上強制
同意しなくても、必ず代替手段が提供される ➡他のログイン手段を提供しない・分かりづらい
いかに効率的に合意を取得し、ファーストパーティデータを合法的により多く収集するか、という方向に集中している企業が増加する中、行き過ぎた行動を規制するための法制度が追い付いていない現状が見てとれます。
ダークパターンによる恣意的な同意取得の典型例
1. 「続ける」ボタンで自動的に包括同意を取る
ソーシャルログインで「続ける」を押すとプライバシーポリシーと広告利用にも同意済みの扱いに。
2. 同意と非同意の選択肢に非対称性
同意:「OK」「はい、パーソナライズします」は大きく明るい。
拒否:「設定を変更」は小さくグレーアウト、数ステップを要する。
3. 説明の省略 or 意図的なあいまい化
「あなたの体験を改善するために情報を使用します」→ 広告のターゲティングを含むことが明示されていない。
4. 拒否するとサービスが制限される設計
ソーシャルログインしか手段がない、拒否するとアプリが使えないなど、実質的にユーザに選択の自由がない。
取得したこれらのファーストパーティデータは、多くの場合、外部連携することを前提としています。ダークパターンを活用し、ユーザに目的を明示せず、包括的に同意を得たデータを複数のDMPや外部の広告ネットワークに再提供し、広告のターゲティングに活用しているケースもあります。
こうした手法はファーストパーティデータを用いているものの、用途としては今や使えなくなった「サードパーティクッキー」の代用に近いと言えます。合法的に取得し、ユーザの合意に基づき外部連携している体裁を整えていますが、合意取得の過程に問題点を内包しているケースも少なくありません。
規制強化でIDの活用がますます難しくなり、ユーザの同意に基づくファーストパーティデータでその埋め合わせをする「合法に見せかけたデータ収集」が展開され、ダークパターンが横行するひとつの要因となっています。
【関連記事】ユーザの選択を誘導する手法ダークパターンとは?企業に求められる真正な同意取得
恣意的な同意取得は将来の法的リスクに
今回は、世界的に強まる個人データへの規制と重要性を増すファーストパーティデータ、そして合法的に、より早く、より多く、より効率的にデータを収集したい企業の動機と市場に横行するダークパターンの関係性について順番に見てきました。
ダークパターンに頼ることは、短期的にはファーストパーティデータを獲得でき、企業のマーケティング活動にプラスになったとしても、ユーザの信頼を失うだけでなく、中長期的にはブランドリスクや企業の信用リスクにもつながります。
ファーストパーティデータは、ユーザが利用目的と利用範囲を明示された上で自己の判断で提供した情報であり、「真正の同意」に基づくものであることが大前提です。EUや米国ではダークパターンを用いたUI設計そのものを規制対象とする法律が次々と施行されており、厳しい罰則も規定されています。
日本においても個人情報保護法の改正をひかえ、検討の動向や改正内容を注視することも重要です。自社にダークパターンに該当するプロセスが存在していないか、この機会にチェックしてみるのも良いでしょう。
企業は利益と効率を追求する存在です。その追求が行きついた望ましくないゴール地点のひとつにダークパターンがあります。ユーザのプライバシーがないがしろにされる、十分な情報開示がなされない、一つの目的に合意しただけなのに包括的に同意したとみなされるといった状況は、誰がみても正しいとは言えません。
規制強化は企業のマーケティング活動の自由度を狭めます。世間の目が厳しさを増す中にあって、企業がユーザから真正な同意を適正に得て、データを正しく用いたマーケティング活動を通じて、いかに成果を出すか試行錯誤を続けることが、市場の自由を守ることにもつながっていきます。
RTmetricsは、法令を遵守した企業のマーケティング活動を応援します。ぜひ、ご検討下さい。
