Webサイトの訪問者の利便性向上や情報収集において重要な役割を果たしているクッキーですが、ここ数年の間でクッキーの利用には大幅な制限が設けられるようになりました。
とくに、サードパーティクッキーと呼ばれる種類のクッキーでは、GDPRや個人情報保護法による規制の他にも、大きなシェアを占める主要ブラウザからも、厳しい利用制限が設けられています。
このような状況の中、Webサイトを通じて利用者の情報収集や分析を行う企業にはどのような対応が必要なのでしょうか?
この記事では、サードパーティクッキーに関する基礎知識や状況を整理し、企業にとって有益な対策を紹介します。
目次
サードパーティクッキーの仕組みとは?わかりやすく解説
まず、サードパーティクッキーとはどのようなものなのかを解説します。
サードパーティクッキーとは
閲覧者が訪問しているWebサイトのドメイン以外から発行されるクッキーを「サードパーティクッキー」と呼びます。自社サイトだけでは無く、他社サイトでユーザがどのような行動をしていたのかを把握できる点がサードパーティクッキーの特徴です。
ファーストパーティクッキーとサードパーティクッキーの違い
ファーストパーティクッキーは、ユーザが訪れたWebサイトから直接発行されるクッキーで、そのWebサイト内での情報を保存しています。
それに対して、サードパーティクッキーは、自社サイトとは異なる外部のWebサイトから発行され、ドメインが異なるWebサイトの間でデータの共有や広告ターゲティングに使用されるクッキーです。
サードパーティクッキーの活用シーン
サードパーティクッキーを利用することで、主に下記のようなことが実現できます。ユーザの利便性向上や精度の高い情報収集に役立っています。
1. 外部ドメインから表示される広告のコンバージョン率の測定
外部サイトから表示された広告であっても、コンバージョン率を測定することができるため、効果をより正確に把握できます。
2. 異なるドメインを跨いだユーザの行動追跡や傾向分析
正確な分析を行える為、ターゲティングの精度が向上します。コンバージョン率の向上やコンテンツ改善のインサイトが得られます。
3. パーソナライズ化したコンテンツや広告の提供
ユーザの行動や趣味嗜好に応じて表示するコンテンツや広告をコントロールすることで、コンバージョン率の更なる向上が見込めます。
サードパーティクッキーが規制される背景
サードパーティクッキーの規制が強化される主な背景としては、GDRPや関連するプライバシー関連法の制定・施行、法律に追従した主要ブラウザ各社による反トラッキングポリシーに基づくサードパーティクッキーの利用を制限する仕様の実装と強化があげられます。
また、利用者のプライバシーやセキュリティに対する意識の向上、プライバシー保護やコンプライアンスに対する社会からの監視やガバナンス強化への圧力などの影響も考えられます。
GDPRをはじめとしたプライバシー関連法の施行
2018年に施行されたEUの一般データ保護規則(GDPR)は、サードパーティクッキー規制の大きな転換点となりました。GDPRは、個人データの収集と処理に厳格な規則を設け、企業に対してユーザの同意取得を義務付けています。これにより、多くの企業がクッキーの使用方法を見直す必要に迫られました。
GDPRはEU圏の規則ですが、EU圏外の企業が公開しているWebサイトへEU圏の居住者がアクセスした場合はGDPRの適用対象となります。そのため、日本企業であっても、場合によってはGDPRを遵守するための対応が必要となります。
日本国内においても、個人情報保護法や電気通信事業法の改正によって、ユーザのプライバシー保護の強化が着実に進められています。
GDPRについてはこちらの記事で詳しく解説しています。
【関連記事】:GDPR対応のポイントは、利用者の利便性の確保とプライバシーの保護!
デジタル社会の進展に伴う危機意識の変化
近年、企業や行政の情報漏洩や悪意のあるサイバー攻撃、Web上での不正な情報の盗取、盗取したデータを漏洩する脅迫や身代金の要求など、ユーザ自身のデータやプライバシーが第三者によって侵害される事件が連日のように報道されています。デジタル社会の進展に伴い、便利になった一方で、負の面であるこれらのサイバーリスクは、現在、社会に広く認知されています。
多くのユーザは、自分自身の個人情報がどのように扱われているのか?どのように保管されているのか?自身のデータは果たして安全なのかといった点を注視するようになってきており、企業はユーザからの厳しい要求にきちんと応えることが求められています。
このような背景から、サードパーティクッキーの使用を規制する流れが世界的に起こっています。
サードパーティクッキーの現状と廃止による影響とは?
幅広い用途で活用されてきたサードパーティクッキーですが、2018年のGDPRによる法規制の開始以降、次第にその厳しさを増す状況となっています。
主要ブラウザではサードパーティクッキーの利用を制限
各社によって詳細は異なりますが、SafariやEdge、Firefoxなどの主要ブラウザではサードパーティクッキーをデフォルトで拒否する仕様でアップデートが進んでいます。
ユーザがサードパーティクッキーを許可する設定に意図的に変更しない限りは、サードパーティクッキーは拒否されるため、Webサイト側ではサードパーティクッキーに依存した仕組みでの情報収集は難しくなっています。これは、事実上廃止に向けて進んでいる状態と言えます。
サードパーティクッキーと生存時間
クッキーはユーザのブラウザに保持され、そのユーザのステータス管理などに使用されています。クッキーの値がブラウザに保持され、次回サイトに来訪したときに同一ユーザであることが判断できる仕組みになっています。クッキーの値が変わらない、いわゆる生存期間は、クッキーの発行元によって定義されています。
Safariではデフォルトの設定でサードパーティクッキーを即時破棄するため、ブラウザにクッキーは保存されません。よって生存時間は0ということになります。同様に、EdgeやFirefoxなどをサードパーティクッキーを拒否するデフォルトの設定のまま使用している場合も、ブラウザにクッキーは保存されません。
Chromeでは、シークレットモードでの使用時のみ、サードパーティクッキーを拒否する設定がデフォルトとなっています。よって初期値から設定を変更していないユーザは、通常のブラウジングにおいては、サードパーティクッキーを許可している状態になっています。
クッキーの生存期間は、各発行元の定義に依存しますが、場合によっては年単位などかなりの長期間で設定されている可能性もありえます。クッキーが生存している間のWeb上のユーザの行動は、クッキーを明示的に消去しない限り、トレースされ続けていることになります。
Chromeは、サードパーティクッキーを段階的に廃止する方針を発表していましたが、2024年7月にこの廃止の方針自体を撤回しました。(後述)
サードパーティクッキーによる第三者提供情報の取得には同意が必要
サードパーティクッキーによって、第三者に提供する情報を取得する場合、ユーザの同意が必要になります。Webページ上でクッキーの利用目的と取得しているデータ、データの提供先を明示し、ユーザの同意を得なければなりません。
サードパーティクッキーの同意取得については、範囲があまりにも多岐にわたるポータルサイトなどでは、使用しているクッキーをカテゴリ別にWebサイト上に明示した上で、アクセス先によってはこれらに含まれていない可能性もあるとしつつ、「このサイトにアクセスするとクッキーの使用に同意したことになります」といったアラートを表示することによって、同意を得ている体裁を整えているところもあります。
また、同意取得ツールを使用する場合は、ユーザが同意しない可能性、同意を保留したまま閲覧を進めてしまう可能性、同意取得のポップアップ通知そのものを煩わしく感じ、Webサイトから離脱してしまう可能性などが懸念されます。
サードパーティクッキーに対するGoogleの方針
2020年当初、サードパーティクッキーを段階的に廃止する方針を打ち出していたGoogleは、数年にわたり廃止の実施を延期し続けた結果、2024年7月に突然、廃止の方針自体を撤回すると発表しました。競合他社や現在のマーケット、グローバルな法規制のトレンドとは異なる方針を示した形となっています。
当初の発表から4年以上が経過し、Googleらしからぬスピード感で開発を進めていたサードパーティクッキーの代替技術である「Privacy Sandbox」に対して、関係各所から様々な問題点が指摘されていた中での発表でした。
2024年9月現在、具体的な方針は示されていませんが、「ユーザが選択し、その選択をいつでも調整できるようにする」といったコメントを発表しており、EdgeやFirefoxに近い仕様とする可能性を示唆しています。
主要ブラウザ各社によるサードパーティクッキー規制は、現在、「即時廃棄かユーザによる選択制(ただし、デフォルトの設定は拒否)」といった二極化の様相を呈してきています。
Safariが方針転換するとは到底考えられず、Edge, Firefoxもデフォルトが拒否であることを考えると、現実的には今後もサードパーティクッキーの活用は、困難であり続ける事実に変わりはないと言えるでしょう。
また、Googleの動向は、今後も引き続き注視する必要があります。
【参考】日本経済新聞:Google、サードパーティークッキー廃止方針を撤回
【参考】:A new path for Privacy Sandbox on the web
なぜサードパーティクッキーが特に問題視されるのか?
サードパーティクッキーは、2000年初頭から次第にデジタルマーケティングで広く使われるようになりました。利用者のプライバシー保護やセキュリティ確保の考え方は、現在では、当時の常識から大きく変化しており、サードパーティクッキーの仕様そのものにユーザのプライバシーを侵害する問題を内在しています。
サードパーティクッキーの規制が強化されている理由を詳しく見ていきましょう。
クッキーが保持する情報
クッキーには、ログインIDなどの特定の識別情報が含まれる場合がありますが、直接的に個人を特定する「個人情報」は保持しません。しかし、GDPRが保護対象と定める「個人データ(Personal Data)」には、IPアドレスや端末ID、ログインIDなど、これらの識別情報が含まれており、これらのデータは法令を遵守して適切に取扱う必要があります。
サードパーティクッキーは、上述の情報を異なる事業者間やWebサイト間で共有する仕組みです。ユーザ本人が知らないうちにこれらの情報が共有されていることが特に問題視され、プライバシー保護に反するという見方が一般的になり、ユーザの同意取得を義務付けた法令の施行など、厳しい規制が行われるようになっています。
利用者のプライバシーに関する課題
サードパーティクッキーは異なるドメインから発行され、利用者に関する情報がドメインを跨いで共有される仕組みです。ユーザ本人が知らない間に本人の閲覧履歴や興味関心の移り変わりなどの履歴情報が、異なる事業者やサービスの間で勝手に共有され、広告配信のターゲティングなどの最適化に使用されています。
サードパーティクッキーの生存期間中、際限なく追いかけてくる広告を不審に思い、不快に感じるユーザは相当数おり、予算をかけて広告を掲載した企業としても、望ましい結果とは言えません。
かつてはコンバージョン率が高いともてはやされたこれらの広告配信手法は、利用者のプライバシー保護や利益保護の観点において、重大な問題と認識されるようになっています。
パーソナライズへの不信感
ユーザが自身の情報を提供した覚えがないにも関わらず、過去に検索した情報や閲覧したコンテンツに関連するコンテンツがポータルサイトやWebサイトの見やすい場所に上位表示されていることに対して、不審や疑問を感じた経験は、誰にでも一度はあるのではないでしょうか?
ユーザが能動的に検索し、調べた情報であっても、実は事業者間で共有された情報によって、事業者側で勝手にコンテンツの内容を選別し、表示している可能性があります。ユーザが認識していない状態で表示する情報を選別し、事業者が勝手にコントロールすることは、利用者の利益を逸失し、信頼を損ねるリスクに繋がりかねません。
サードパーティクッキーの廃止については、以下の記事でも詳解しています。
合わせてご参考下さい。
【関連記事】:サードパーティクッキーは事実上の廃止?現状と今後の対応を解説!
サードパーティクッキーに頼らないアクセス解析の代替策とは?
これまで見てきたように、サードパーティクッキーに対する規制は強化され、実質的に活用が困難になってきています。そこで、サードパーティクッキーに頼らないデジタルマーケティングの代替策を見ていきましょう。
ファーストパーティクッキーの活用
ファーストパーティクッキーは、利用者がアクセスしているWebサイトのドメインから発行されるクッキーです。主要ブラウザ各社のファーストパーティクッキーへの対応については、各社で温度差がありますが、拒否や即時破棄といった厳しい対策はまだ実施されておらず、一定期間は利用することが可能です。
クッキーを利用するのであれば、ファーストパーティクッキーを選択することが、有効な選択肢であると考えられます。
クッキー以外のアクセス解析
アクセス解析を行う方法は、ビーコンタグが発行するクッキーを利用する以外にもWebサーバのログ解析やパケット解析の方法もあります。
ビーコンタグのクッキーは、JavaScriptで発行されるため、トラッキング目的のクッキーと判定されますが、パケットやログに含まれているクッキーは、必須クッキーとみなされ、主要ブラウザの各種規制に抵触しない点も大きなメリットです。
1. Webサーバのログ解析
通常、Webコンテンツを公開しているWebサーバは、閲覧者がアクセスした日時やIPアドレス、通信している機器などの情報をログとして記録しています。このログを分析することで、閲覧者がWebサイト上でどのような行動を取ったのかを把握することができます。
2. パケット解析
閲覧者のブラウザとWebサーバ間のHTTP(s)通信では、パケットと呼ばれる単位でデータのやり取りを行います。パケットにはリクエストやレスポンスのheaderやbodyが格納されており、どのような通信をしたのか、詳細な情報を得ることができます。
クッキーの利用は制限されますが、それを補う方法を採用することで、今後も精度の高いデジタルマーケティングやアクセス解析を行うことが可能です。
サードパーティクッキーの規制の影響を受けにくい仕組みが必要
サードパーティクッキーは、事実上廃止に向かっており、ファーストパーティクッキーについても、一定の制限が設けられている上、その制限は今後ますます厳しくなることが予想されます。これらを受け、Webサイトを公開し、アクセス解析を実施している企業においては、それぞれの実情に合わせたシステム構成や対応を検討する必要があるでしょう。
サードパーティクッキー廃止の流れは、2018年以降のGDPRをはじめとした各国のプライバシー保護関連の法規制の施行に端を発して、現在に至ります。法が制定・施行される国は増加の一途を辿っており、グローバルな法規制の方向性が変わらない現状においては、残念ながらこの流れは不可逆であると言えるでしょう。
ユーザのプライバシー保護の観点からも、企業としてのサステナブルなデジタルマーケティングの観点からも、サードパーティクッキーに依存したデジタルマーケティングを継続することは望ましい解決策とは言えません。
自社のデジタルマーケティングがサードパーティクッキーを前提とした設計であれば、今後どのような仕組みを採用するのか、検討することが必要です。また、Googleについては、廃止の方針を撤回した後、将来的にどのような方向性を打ち出すのか、今後の動向には引き続き注視が必要です。
RTmetricsは、ファーストパーティクッキーを活用し、さらにWebサーバのログ解析やパケット解析も選択できるアクセス解析ツールです。ブラウザ各社のサードパーティクッキー規制に抵触しない仕組みを標準機能で構築できるソリューションです。
サードパーティクッキー規制への対策を模索している方は、ぜひご検討下さい。