インターネット広告やWebアクセス解析で広く使われてきた「クッキー」ですが、近年のプライバシー関連法やユーザのプライバシー意識の高まりにより、多くの制限を受けるようになりました。

 

特に、サードパーティクッキー(第三者が発行するクッキー)の利用が実質的に廃止されていることで、企業は従来のデータ活用方法やマーケティング活動の見直しに迫られています。

 

ただし、この状況には良い面もあって、Webサイト側でCookieのセキュリティ属性を見直し、適切な設定とすることで、Webサイトのサイバーセキュリティ対策を向上させることができます。

 

この記事では、クッキーレス時代における課題やそれに対応するための具体的な対策、この状況に付随して実施を検討すべきセキュリティ対策など、いくつかの異なる観点から考察していきます。

クッキーレスとは?背景と現状を知ろう

cookie-less-taisaku-1

w728xh90_1009_A

 

まず、クッキーレスの背景と現状を確認しましょう。

クッキーの概要とサードパーティクッキーの役割

クッキーとは、Webサイトを訪れたユーザの情報を格納するためのデータファイルのことです。クッキーにユーザの行動履歴やコンテンツの閲覧履歴、ログイン状況などを保存し、Webサイトがそれを読み取ることで、そのユーザの属性や趣味嗜好を推測することができます。

 

特に、訪問しているWebサイト以外の第三者が書き込み・読込みを行える「サードパーティクッキー」は、広告配信やユーザ行動の追跡に長年使われてきました。

 

しかし、ユーザ本人の知らぬところでユーザ本人に関する属性や趣味嗜好に関する情報の読み書きが行われ、異なる事業者の間で情報共有されていることがプライバシー保護の観点から問題視され、現在では、法的な規制や主要ブラウザのベンダー規制などにより、継続利用が著しく困難な状況となっています。

 

サードパーティクッキーについて、こちらの記事で詳しく解説しています。

【関連記事】サードパーティクッキーとは?その仕組みと規制、企業に求められる対応を徹底解説

プライバシー保護の流れと規制強化

プライバシー保護の意識が高まる現代では、世界中で個人データの取扱いに関する規制が厳しくなっています。日本国における法令では、個人情報保護法や電気通信事業法が代表的です。

 

EUのGDPR(一般データ保護規則)も日本企業に影響を及ぼす可能性のある法令であり、データ主体のプライバシー保護を目的としたさまざまな厳格なルールを事業者に課し、違反した際の高額な制裁金が特徴となっています。

 

法令以外では、Google ChromeやSafariといった主要ブラウザは、サードパーティクッキーの利用について、それぞれ独自の制限を設けています。現在、各社のブラウザのセキュリティ設定では、サードパーティクッキーの拒否がデフォルトとなっており、Safariにおいては、そもそもサードパーティクッキーは即時廃棄され、使用することができません。

 

従来のサードパーティクッキーを活用した広告やデータ解析では、十分なデータ収集が難しくなるほか、収集するだけで法的なリスクを抱えてしまう事態も考えられます。

 

世界的なプライバシー保護の推進により、従来の主流であったサードパーティクッキーの活用が難しくなったため、新たな情報収集の手段を模索しているのが現状と言えます。

クッキーレス時代の課題と事業者として望まれる対応

cookie-less-taisaku-2

ビジネスを行う上で、ユーザのプライバシー保護は最優先するべき事項のひとつです。しかし、マーケティングの観点からは、従来の手法が使いにくくなることで生じるさまざまな課題があります。

 

ただ、別の観点から見ると若干景色が異なります。サイバーセキュリティです。

 

サードパーティクッキーが使用できなくなっている今、Webサイトの脆弱性や攻撃者につかれる要因となり得るクッキーのセキュリティ関連の設定は、見直すには良いタイミングと言えます。

 

事業者のマーケティング活動における利用者のプライバシー保護の観点と合わせて、大切な利用者が攻撃者の標的とならないよう、サイバーセキュリティ上のリスクを低減し、攻撃者から利用者を守る観点からも、事業者として望まれる対応を考察してみましょう。

マーケティング活動におけるクッキーレスの影響

広告やCTAなどの効果測定が難しくなる

従来はサードパーティクッキーを活用して、自社サイト外であってもどの広告がどの程度の成果を上げたのかを詳細に把握することができました。しかし、現代では詳細な情報を知ることができないケースもあり、予算の最適化や費用対効果の測定が難しくなっています。

ターゲティング精度の低下

ターゲティング広告は、特定の属性や興味を持つユーザに向けて広告を配信する手法ですが、サードパーティクッキーへの制限により、その精度低下が懸念されます。サードパーティクッキーを利用したユーザ分析が難しくなり、ユーザにとって興味のないコンテンツを表示してしまう可能性が上昇していると考えられるでしょう。

 

この状況により、広告のパフォーマンスが低下し、新規顧客獲得やリピート顧客の育成が困難になっている可能性があります。

データの収集と活用の制限

クッキーレス時代には、ユーザの行動データを収集するための手法が制限されます。これにより、主に購入前のユーザについては、行動データからインサイトを得ることが難しくなるため、マーケティング戦略や見込客とのコミュニケーション戦略に影響を及ぼす可能性があります。

セキュリティ対策強化におけるCookieのセキュリティ属性の重要性

Cookieには、さまざまな設定を行う項目がありますが、セキュリティに関する設定を行う項目を「セキュリティ属性」と言います。

 

サードパーティクッキーが使用できなくなっている今、現状に合わせてCookieのセキュリティ属性そのものを見直すことで、Webサイトのセキュリティレベルを向上させることができます。

Cookieのセキュリティ属性には、以下の項目があります。

Secure属性

HTTPS通信を行っている場合のみ、Cookieを受信・送信します。HTTP通信を行っているときはCookieの受信・送信は行いません。

悪意ある第三者からの通信傍受やセッションハイジャックなどの攻撃への対策となります。

HttpOnly属性

JavaScriptからdocument.cookieへのアクセスを禁止します。HTTP通信でやり取りするCookieのみを許可し、JavaScriptによる操作を許可しないことが名前の由来となっています。

クロスサイトスクリプティングなどの脆弱性をついたサイバーセキュリティ攻撃のリスクを軽減させることができます。

SameSite属性

自サイトのドメインとは異なるドメインに対してCookieを送付する・しないを制御します。

Strictは別ドメインにはCookieを送付しない設定、Noneは別ドメインにもCookieを送付する設定です。

まとめ

Secure属性は、検索エンジンがHTTPSに移行した2014年から10年以上が経過し、すでに多くのWebサイトで設定されていますが、意外と設定が見逃がされているケースが見受けられるのがHttpOnly属性とSameSite属性です。

 

Webサイトやマーケティングの現状に即して、どのような設定にするべきか、プライバシー保護とセキュリティ対策強化の両軸で検討することが望まれます。

 

Cookieの属性の設定や管理は、システム管理者の業務範囲であることが多く、マーケティング担当としては範囲外と考える方多いと思います。ただ、Cookieそのものはマーケティング活動で利用しているため、部署間の横の連携が不足していると長期間設定が見直されず放置され、結果的に組織全体としては、セキュリティ上の脆弱性となってしまいます。

 

クッキーレス時代に対応するため、多くの企業は新たな情報収集やユーザ分析の手法を模索している段階ですが、視座をもう一段階上げて、事業者としての対応を部署を跨いで横断的に議論し、検討することも意識すべき大切な観点となります。

 

Cookieの属性管理は、ユーザであるマーケティング部門とシステムを統括・管理するシステム部門の両方に関わる事項であり、主導者があいまいになると対策が盲点となりやすく、特に留意が必要です。部署間の緊密なコミュニケーションにより、どのような設定とするべきか会社全体のポリシーを取決め、対策の実行を心掛けたい課題のひとつと言えるでしょう。

クッキーレス時代に有効な対策とは

cookie-less-taisaku-3

クッキーレス時代に高い効果を見込める対策として、ファーストパーティクッキーやサーバサイドクッキーの活用が挙げられます。

ファーストパーティクッキーの活用

ユーザが訪問しているWebサイトが直接発行するクッキーがファーストパーティクッキーです。規制が少なく、ユーザの詳細な情報を収集することができるため、今後活用が広がっていくことも考えられます。

 

自社サイト(ドメイン)でしか読み書きを行えない制限はありますが、生存期間や書き込みデータの内容などをWebサイト側でコントロールできるため、使い方によっては高い効果を期待できます。

【関連記事】Cookie規制時代、ファーストパーティCookieのアクセス解析への活かし方

サーバサイドクッキーの活用

サーバサイドクッキーは、Webサーバ側で生成・管理されるクッキーで、ブラウザに依存せずにデータを保存することができます。ブラウザの設定やユーザの操作に影響を受けないため、一貫して必要なデータを収集できることが強みです。

 

必須クッキーと呼ばれる「Webサイトの動作に必要不可欠なCookie」を扱うことが多いため、ビーコンタグに頼らないデータ収集とユーザの利便性向上に活用できます。

セキュリティ対策強化におけるメリット

ファーストパーティクッキーとサーバサイドクッキーは、前述のSameSite属性とHttpOnly属性の両方を有効にできる対応であると言い換えることができます。

 

マーケティングの観点からは、従来の手法を用いることが困難になるため、データ活用の新たな対応の検討が必要である一方で、セキュリティの観点からはWebサイトの脆弱性の軽減につながる対策の実施が可能となります。

 

クッキーレス時代においては、プライバシー保護とデータ活用を両立させることが求められます。そのためには、ユーザの同意を得た上で、ファーストパーティクッキーやサーバサイドクッキーを活用することが重要です。そして、これらのクッキーは、Webサイトのセキュリティを向上させる上でも有効な対策です。

 

また、匿名化技術やデータのセグメント化を取り入れることで、プライバシーを侵害せずに有益なデータを収集することが可能になります。

【関連記事】GDPR対策に有効、データの匿名化とは?仮名化との違いや注意点を解説!

クッキーレス時代に備えた企業が取るべき姿勢

クッキーレス時代に対応するためには、課題を認識し、適切な技術的対策を講じることが重要です。活用が難しくなった手法に固執するのではなく、これからの時代にマッチした手法を取り入れていくことで、法的リスクの軽減と合わせて、サイバーセキュリティ上のリスクの軽減にも繋がることを見てきました。

 

クッキー規制への対策として、ファーストパーティクッキーとサーバサイドクッキーを活用し、かつCookieのセキュリティ関連の属性設定を見直すことで、Webサイトのセキュリティ対策を強化し、利用者のプライバシーとセキュリティの両面に配慮しながら、プライバシー法に準拠したアクセス解析ツールの導入を検討することは、有力な選択肢のひとつと言えます。

 

RTmetricsは、サードパーティクッキーを使わずに高度なデータ収集を行えるアクセス解析ツールです。Cookieのセキュリティ関連の属性設定を強化しても、その影響は受けません。プライバシー保護の関連法令に対応した運用を標準機能で構築できるため、既存のWebサイトに組み込むことでデータ収集と法令遵守の両方に対応することができます。

 

クッキーレス時代の情報収集に不安を抱えている場合は、ぜひRTmetricsをご検討ください。

 

w728xh90_1009_B