GoogleがChromeの3rd Party Cookie廃止の撤回をし、各所で物議を醸していますね。
プライバシートレンドが加速し技術的規制や法的規制が推進される中、国やプラットフォーマーによって対応が異なり、プライバシー保護とWebマーケティングの状況は混迷を深めています。
今こそCookie規制についてその歴史を振り返ると共に、Web広告への影響と対策を整理し、今後の動向について考えてみましょう。
Cookie規制の歴史
昨今語られるCookieの基本的な問題点は、同意なく容易にプライバシーを侵害し得る点にありますが、Cookie規制の歴史はこれに対するプライバシー保護の失敗とその修正の歴史とも言えます。
プライバシー侵害の解決策として今大きな影響力を持っているのが法的規制としてのGDPR/CCPAと、技術的規制としてのITPです。
これらの効力が発揮されるようになってまだ5年と経っていないのですが、実はこれらの規制とほぼ同一の内容が1997年には既にCookieの標準仕様として言及されていました。
つまり30年前の最初の規制はプライバシー保護の役目を果たせず、ここ数年になってようやく別の形で効力を発揮するようになってきたということです。
このCookieの歴史について詳細を追っていきましょう。
-1.jpg)
1990年代: Cookieの誕生と標準仕様の公開
■1994年 Cookieがブラウザに初めて実装される
初めはショッピングカートに商品を保存することを目的としており、広告や分析用の技術ではありませんでした。
しかしこれは瞬く間に様々な広告で利用され始めました。
■1996年2月 フィナンシャル・タイムズがCookieの広告利用の記事を公開する
フィナンシャル・タイムズの”This bug in your PC is a smart cookie”という記事によりCookieの広告利用の実態が衆目に晒されました。
Cookieは危険な存在として世間に知られることになったのです。
■1997年2月 より安全性の高いCookie標準仕様(RFC 2109)が公開される
上記の記事は大きな影響を与え、連邦取引委員会の公聴会の開催や、より安全性の高いCookie標準仕様(RFC 2109)の公開に繋がりました。
実はこの時点でCookie標準仕様は3rd Party Cookieが重大なプライバシーの脅威であると特定しており、Cookieの共有を可能な限り防止することを強く推奨しています(RFC2109 sec 8.3)。
さらに、ユーザーが制御できる通信でのみCookieを設定したり読み取れないようにしなければならないともしています。
しかし、安全性の高いCookie仕様が公開されたにもかかわらず、この後に登場するブラウザは仕様通りには実装されなかったのです。
このため、Web広告は3rd Party Cookieによるトラッキングをベースとしてますます隆盛していきました。
2000年代: Cookieへの法的規制も、機能せず
■2002年7月 EUでePrivacy指令が制定、2009年12月 同指令が改正される
そこからさらなるCookie仕様が公開されました。2002年7月にはEUでePrivacy指令が制定され、2009年12月にはこの指令が改正されました。
これはCookie法としても知られ、3rd Party Cookieの設定に同意取得が義務化されました。
しかしこれはあくまで指令で、同意についてはその詳細は各国の立法に任せるもので、取り締まりとしては有効に機能しませんでした。
3rd Party Cookieは依然としてその全盛を謳歌していました。
ここまでの歴史においてCookie規制は明らかに失敗していました。
2010年代後半以降: 技術的規制と法的規制が有効に機能するように
■2015年 safariとiOSにコンテンツブロッカー導入、2017年6月 ITP1.0発表
そして2015年、AppleがsafariとiOSに広告ブロッカーを導入しました。
ここから技術的規制が始まり、2017年6月にはITP 1.0が発表され、ついに3rd Party Cookieの利用が規制されはじめました。
■2018年5月 GRPR施行、2020年1月 CCPA施行
この頃になると、GDPRやCCPAといった今その効力を発揮している法律が制定されるようになりました。
2020年代以降: 規制の強化や広がり
2010年代後半にEUやAppleが先行してCookie規制を推し進めて行く中、SNSの個人情報の政治利用や就活生の個人情報の不正利用など、国内外のプライバシー侵害事件によってその流れは加速していきます。
■2020年1月 Chrome 3rd Party Cookie廃止スケジュールの発表
Googleもプライバシーと広告配信の両立について模索し始めました。
Cookie規制が進む広告エコシステムにおける新たな広告配信の仕組み「プライバシーサンドボックス(Privacy Sandbox)」をGoogleが提唱し、Chromeでの3rd Party Cookieを2年以内に廃止するという発表をしました。
■2020年3月 Apple ITP2.3 3rd Party Cookieを完全にブロック
ITPの影響下にあるiOSデバイスや、その他デバイスのsafariブラウザで3rd Party Cookieが完全にブロックされました。
この影響は非常に大きく、ターゲティングの中での特に強力なリターゲティングの配信量が大きく減少することになりました。
■2023年6月 改正電気通信事業法施行
日本のCookie規制としては、改正電気通信事業法が存在します。
電気通信役務を提供する企業は、利用者に関する外部への情報送信(Cookieを含む)を規制されます。
■2023年5月 Digital Markets Act施行
Cookie規制以外にも、大手プラットフォーマーに対する規制強化も広告配信における実質的なCookie規制となります。
EUにおいてはDigital Markets Act(DMA)が2023年5月に施行されており、デジタル領域の独禁法となっています。
■2023年5月 EU Cookie誓約
EUでは、プライバシー保護とその同意取得の現実的なバランスについて議論が進んでいます。
GDPRによりCookieの広告利用には原則同意(オプトイン)が必要になりますが、これは別サイトに遷移する度に同意ポップアップに直面する事を意味しています。
これが「Cookie疲れ」という問題として議論の対象になっており、2023年12月にCookie誓約という草案が提出されています
■2024年4月 American Privacy Rights Act 法案提出
既に施行されているCCPA はカリフォルニアのみを拠点とするビジネスに焦点を当てており、Cookie以外にもIP アドレスなどの識別子が含まれています。
これに対しこの法案はアメリカ全土に適用されるもので、データの転送やターゲット広告に対してオプトアウトが可能であることを求めます。
またこの法案では影響力の高いSNS企業に対して特に強い規制を適用しています。
Cookieに限らず広範なデータが規制の対象となっており、大手プラットフォーマーへの規制強化となっています。
■2024年3月 Ad Selection API 発表
2024年3月にMicrosoftによってAd Selection APIが発表されました。
これは、GoogleのPrivacy SandboxにおけるProtected Audience APIに当たる技術で、リターゲティングやカスタムオーディエンスのソリューションです。
Protected Audience APIは広告配信における遅延の増加という構造的な問題を抱えており、この問題の解決がMicrosftの進めるAd Selection APIの利点の一つとなっています。
■2024年6月 スマホソフトウェア競争促進法 成立
日本でも大手プラットフォーマーを規制する法律が成立しました。
スマホ利用に関する特定のソフトウェア(OS/アプリストア/検索エンジン/ブラウザ)を提供する大手プラットフォーマーに対し、競争環境の整備を目的とした法律です。
■2024年7月 Chrome 3rd Party Cookieの廃止を撤回
Googleはプライバシー保護のため、延期を繰り返しつつも3rd Party Cookieの廃止を目指していました。
そんな中2024年7月22日に3rd Party Cookie廃止の撤回をし、3rd Party Cookieの利用を「ユーザーの選択に任せる」という代替案を示しました。
この代替案については世界中の規制当局と協議を続けていくそうです。
一方で、CMAと共にPrivacy Sandboxを調査しているICO(英国のデータ保護機関)はこの撤回についての失望を声明として発表しています。
▼リリース記事
(ICO statement in response to Google announcing it will no longer block third party cookies in Chrome)
また、Webの標準化団体W3Cはブログで「3rd Party Cookieは廃止すべき」という投稿をしました。
▼リリース記事
(Third-party cookies have got to go)
歴史まとめ
ここまで紹介してきた法律や技術的規制が重視しているのは、基本的にインフォームド・コンセントです。
つまり、「人々の明示的かつ積極的な同意なしに第三者の追跡を行うことはできない」という事です。
しかしよく考えてみると、近年ようやくアドテク事業者や人々に共有されるようになったこの重要な原則は、前述したCookie標準仕様において30年程も前に既に言及されていた事と同じ内容です。
しかしながら、Cookieは標準仕様通りにブラウザに実装されませんでした。その失敗を30年にわたって修正し続けてきた失敗と修正の歴史、それがCookie規制の歴史なのです。
Cookie規制によるWeb広告への影響
これまでCookieの歴史について振り返ってきましたが、ここからはCookie規制がWeb広告に及ぼす影響の解説と、今後の動向を予想していきます。
現在のWeb広告がここまで隆盛したのは、Cookieによりユーザーをトラッキングすることで、その効果を高め、可視化できたからです。
しかし昨今のCookie規制により、広告業界はユーザーをトラッキングをすることができなくなってきています。
当然Web広告に与える影響は非常に大きなもので、ゆえにCookie規制がこんなにも騒がれています。
ユーザーをトラッキングができなくなることの影響は、主にターゲティングと計測に現れます。
この2つについて下記で解説します。
ターゲティング
広告配信のターゲティング精度はトラッキングに依存しています。
そしてこのトラッキングは基本的にCookieをベースにしているため、Cookie規制はそのままターゲティング精度の悪化に繋がります。
リターゲティングは3rd Party Cookieに大きく依存しているため、3rd Party Cookieが廃止されることになればリターゲティングの配信自体ができなくなる可能性があります。
計測
広告管理画面におけるCVなどのイベントの計測精度が悪くなり、管理画面の数値が信じられなくなります。
というのもイベント(CV)計測はブラウザでタグが発火し、イベント情報が広告媒体のサーバーに送信され、これを媒体が集計することで成り立っています。
-11.jpg)
この時Cookieを利用することで、「いつ・誰が・どんな」広告をクリックしてイベント(CV)に至ったのかを突合し、集計が可能になります。
ところが、突合はCookie規制により困難なものとなってしまいます。
つまり、イベント計測の精度が悪化するのです。
また、計測は最適化精度やオーディエンスボリュームにも影響を及ぼします。
現状ではITPによりiOSデバイスのCV計測精度が悪化している状況で留まっていますが、このCVデータを元に最適化が行われるため、iOSデバイスが最適化の対象から外れることでボリュームが縮小する恐れもあります。
Cookie規制への対応
Cookie規制によるWeb広告への影響は今後ますます大きくなっていきます。
また、世の中のプライバシーに対する意識とともにコンプライアンスリスクも高まっています。
ここでは、Cookie規制への対応について適切に対応していくためにポイントを整理をしていきましょう。
Cookie規制への対応として、基本的には下記3つのアプローチがあります。
1.個人をターゲティングしない
2.ユーザーの同意を得てターゲティングする
3.計測手法の改善
1つずつ詳しく解説していきます。
1.個人をターゲティングしない
Cookie規制への1つめのアプローチとして、個人をターゲティングせず、コンテキストやグループをターゲティングする手法があります。
■コンテキストマッチ
個人ではなく配信面に対して、配信先のコンテキスト(文脈)を利用してターゲティングを行う手法です。
配信先のコンテキストは、Webページのメタ情報(タイトル・キーワード・画像)を解析することで判定されます。
-5.jpg)
■コホートターゲティング
個人ではなくコホートに対してターゲティングを行う手法です。
コホートとは、同じ属性(興味関心など)を持つユーザーをグループにしたものです。
-4.jpg)
Google ChromeのPrivacy Sandboxに実装されたTopics API, Protected Audience APIや、Microsoft EdgeのAd Selection APIが代表的です。
技術的にはまだ検証中のものですが、各広告媒体で試験的に導入が進んでいます。
2.ユーザーの同意を得てターゲティングする
Cookie規制への2つめのアプローチとして、ユーザーの同意を得てターゲティングする方法がございます。
具体例としては1st Party Dataの活用や、Cookie以外の識別子の活用といったものがあります。
ですが、ユーザーの同意取得には注意が必要です。
どの情報をどのように利用しているかで適切な同意の取得の方法が変わります。
(例えばCookieが第3者に提供されるか、電気通信事業法における電気通信役務を提供しているかなどによって変化します。)
社内の法務担当や弁護士と連携し、プライバシーポリシー・Cookieポリシーに則った適切な対応を検討しましょう。
■1st Party Dataの活用
1st Party Dataとは、企業が収集した自社の顧客やサイト訪問者のデータのことです。
ターゲティングにこれを活用する方法として、オーディエンスの連携や詳細マッチング、拡張コンバージョン等があります。
Cookieの代わりに電話番号やメールアドレスなどのユーザーの情報を取得し、媒体の持つプラットフォームのアカウントと紐づける仕組みです。
例えば会員登録の完了時に、フォームに入力したメールアドレスや電話番号をCVデータと共に広告媒体に提供します。
提供したメールアドレスや電話番号と、元々媒体が所有しているメールアドレスや電話番号と突合することでCV計測の精度を向上させることが可能です。
-3-1.jpg)
■Cookieに依存しない識別子の活用
Cookieに依存しない識別子は大きく分類すると、確定IDと推定IDの2つに分かれます。
・確定ID
確定IDとは、個人を特定する情報と確実に紐づくIDのことです。
サイトに登録するIDやGoogleアカウントID、メールアドレスといったものが該当します。
“1st Party Dataの活用”で前述した通り、広告配信時は個人情報を広告媒体に提供することになります。
・推定ID
推定IDとは、IPアドレスやユーザーエージェントなどのインフォマティブデータ(インターネットの利用にかかるログ情報)から生成されるID、もしくは推定されるIDのことです。
精度は確定IDより劣りますが、確定IDを使えないケースでも導入が可能です。
-2.jpg)
※確定ID・推定IDに関する詳しい記事はこちら
3.計測手法の改善
Cookie規制への3つめのアプローチとして、計測方法の改善が挙げられます。
計測方法の手法として、2つ紹介します。
■ClickIDの活用
多くの広告媒体では、広告のクリックを一意に識別することができるClickIDを1st Party Cookieとして利用し、CV計測の精度を改善することが可能です。
1st Party Cookieはどのブラウザでも利用可能なため、このClickIDの活用は3rd Party Cookie規制に対する簡単かつ効果的な対応になります。
ClickIDは簡単な設定、あるいは設定不要でどのブラウザ環境でも利用可能であるものの、1st Party Cookieとして一定の規制の影響は受けます。
ClickIDを利用するだけでCookie規制への対応を終わりとするのではなく、他の方法と併用しましょう。
-4.jpg)
■ConversionAPIの活用
ConversionAPIは、広告媒体への通信をブラウザからではなくサーバーから送信できるようにするものです。
Cookie規制などの各種プライバシー対応が進む中、ブラウザでの計測通信環境が不安定になってきている状況を打破する手段として開発されました。
-2.jpg)
※ConversionAPIに関する詳しい記事はこちら
Cookie規制の今後の動向予想
ここからは、ここまで述べてきた内容をおさらいしつつ、今後の動向について思いを馳せてみたいと思います。
GDPRなどの法律やITPのような技術的規制が重視しているのは、基本的にインフォームド・コンセントです。
つまり、「人々の明示的かつ積極的な同意なしに第三者の追跡を行うことはできない」という事です。
この記事の冒頭部分でも記載している通り、この基本的な原則は30年前から変わっていないにもかかわらず、原則と現実のすり合わせは未だに上手くいってないように見えます。
例えば、同意疲れや、同意取得(CMP)・顧客データ管理(CDP)などを導入するための難易度の高さ、デジタルエシックス(デジタル倫理)、法的規制を体現するガイドライン・ガイダンスの整備など、枚挙に暇がありません。
基本的な指針はすでに示されているので、この指針に適応していく事がこれからの重点となるのではないでしょうか。
プライバシー対応は一朝一夕には行きません。
法律の施行やプラットフォームの規制が実施されてから動くのではなく、常にキャッチアップして出来る準備を先行しておくのが望ましいと言えるでしょう。
理想的にはCDPやプライバシーポリシーの整備による1st Party Dataの資産化が望ましいですが、着手しやすいClickIDやコンバージョンAPI、詳細マッチングや拡張コンバージョンなどから順次検討されてみるのも良いかと思います。
またCookie規制が進むからこそCookie規制対応の手法は脚光を浴び、その利用に対しても議論がされています。
Cookie規制の対応として推定IDやコホートターゲティングは有効な手段となりますが、これらの手段が有効でなくなる可能性も念頭に置いて、多面的に対応していきましょう。
おわりに
この記事ではCookie規制の歴史とその影響、これからの動向予想について解説しました。
ポストCookieは全体像がわかりづらく、その上近頃はChromeの3rd Party Cookie廃止が撤回され、ポストCookieへの対応の必要性があるのか、必要にしても何から手をつければ良いのか迷うことも多い思います。
いずれにせよ、今後も3rd Party Cookieを取り巻く環境からは目が離せません。
これからも継続的な情報収集と発信をしていきます。
この特集が皆さんのポストCookieに立ち向かう一助となれば幸いです。
Twitter
Facebook
LINE
