【マーケター向け】Cookie規制とポストCookieについて、改正個人情報保護法施行前に押さえておきたいこと

Cookieとは？ 簡単なおさらい

まずは、Cookie（クッキー）についての基本的な情報をおさらいします。Cookieとは、Webサイトを訪れたときにブラウザーに保存される小さなデータのことです。

訪問者のデータを一時的に保存することで、Webサイトのログイン状態や、商品をカートに入れたといった情報をページ遷移しても引き継ぐことが可能になります。Cookieの期間内であれば、次回訪問時も前回の状態を引き継げます。

ファーストパーティCookieとサードパーティCookieの違い

Cookieには、「ファーストパーティCookie（1st Party Cookie）」と「サードパーティCookie（3rd Party Cookie）」の2種類があります。ファーストパーティCookieは「訪問サイト内でのみ利用されるCookie」、サードパーティCookieは「複数サイトをまたいで利用されるCookie」です。

• ファーストパーティCookie：訪問サイト内でのみ利用されるCookie
• サードパーティCookie：複数サイトをまたいで利用されるCookie

Cookie規制の目的とポストCookie

今話題になっているCookie規制は主に「サードパーティCookie」のことを指しています。すべてのCookieを規制したり、置き換えたりする話ではないことを押さえておいてください。

「複数サイトをまたいで利用されるCookie」とは、具体的にどのようなものなのでしょうか。Webサイトには、画像やスクリプトなどほかのドメインの要素が含まれていることがあります。こうした要素を表示することで発行されるCookieが、サードパーティCookieです。ブラウザーの開発者ツールを見れば、どのようなCookieが発行されているかを確認できます。

Cookie規制のおおもとには「個人情報保護の観点から、Cookieによって得たユーザーの行動履歴や趣味嗜好などのデータを利用することは問題がある」という考え方があります。そして、今回この規制の対象になっているのがサードパーティCookieというわけです。

各国で続々と法律が制定

個人情報保護の観点から、各国でも法律が制定されています。日本でも2022年4月から施行される改正個人情報保護法で、Webサイトで取得する個人情報についてより厳格な運用が求められます。

• 米国カリフォルニア州：CCPA（カリフォルニア州消費者プライバシー法）
• EU：GDPR（EU一般データ保護規則）
• 日本：改正個人情報保護法

法整備だけでなく、こうした動きと連動してそれぞれのブラウザーも自主的にサードパーティCookieに対する規制を強化する流れにあります。

代替技術としての「ポストCookie」

この規制で特に影響が大きいのが広告分野です。従来のWeb広告は、ユーザーが閲覧したさまざまなWebサイトや行動からその人の興味・関心や嗜好を推測し、広告を表示する判断材料にしてきました。サードパーティCookieが規制されると、そのユーザーがどのような興味を持っているかの判断が難しくなります。

そこで、サードパーティCookieに代わる新たなテクノロジーやソリューションとして話題に挙がっているのが「ポストCookie」と呼ばれる技術です。Googleをはじめ、各社が開発を進めています。

ファーストパーティCookieとサードパーティCookieは相対的な関係にあり、「今見ているサイト」によって変わります。例えば、あるサイトを見ているときにファーストパーティCookieだったものは、別のサイトを見ているときにはサードパーティCookieとなるわけです。

Cookieの基本から規制の内容、マーケティング活動への影響を整理した資料を公開中です。ゼロパーティデータ活用のヒントとして、ご参考にしてください。

サードパーティCookieが規制されるとどうなる？

サードパーティCookieが使えなくなると、どのような問題があるのでしょうか。例えば、次のような仕組みが利用できなくなります。

• サードパーティデータを利用したDMP
• リマーケティング（リターゲティング）広告
• ビュースルーコンバージョン計測

2022年現在、Webサイト側がいくらサードパーティCookieを発行しても、すでに多くのブラウザーがそれをブロックして受け取りません。主要なブラウザーの動向を見ていきましょう。

Appleは最も厳しく規制している

Appleは同社のブラウザーであるSafariに「ITP（Intelligent Tracking Prevention）」を搭載し、サードパーティCookieをブロックしています。ITPはバージョンを重ねるごとに厳しくなっており、ファーストパーティCookieについてもほかのブラウザーよりも有効期限が短くなっています。

さらに、iOS14.5からアプリがIDFA（Identifier for Advertisers：端末固有のデバイスID）を送信するにはユーザーの同意が必要となるよう変更しました。Appleは個人情報の保護に対する取り組みに最も積極的といえます。

GoogleはポストCookieの代替技術を並行して開発中

パソコンで大きなシェアを持つGoogle Chromeも、2023年中にサードパーティCookieをブロックするように変更予定です。

一方で、Googleは最大の広告プラットフォームでもあり、サードパーティCookieに代わるポストCookieの技術を並行して開発しています。この仕組みは「Privacy Sandbox」と呼ばれ、これまでサードパーティCookieが実現してきた機能を個人を特定せずに代替しようとする試みです。

Googleの新しい仕組みでは、1人ひとりのCookieのIDをベースにするのではなく、ユーザーをグループにまとめてセグメントします。これにより、個人を特定することなくユーザーの興味・関心といった情報を活用しようとしているわけです。

Firefoxの規制機能もより強化

オープンソースのブラウザーとして歴史が長いFirefoxでも、サードパーティCookieを制限する「Total Cookie Protection」をさらに拡張した「Enhanced Cookie Clearing」によって、追跡に利用されないようサイトのデータを漏らさず削除できるようになりました。

こうした状況に合わせて、デジタルマーケティングを行う企業は、サードパーティCookieに依存しない施策を始める必要があります。

SprocketのCookie規制と改正個人情報保護法の影響

ここまで、一般的なCookie規制と広告分野の影響についてお話してきました。Sprocketは、Webサイトにタグを埋め込んで利用するWeb接客サービスを提供しています。SprocketとCookieの関係についても触れておきましょう。

Sprocketは、お客様のWebサイト内でのファーストパーティCookieとして扱われます。従って、サードパーティCookie規制の影響は受けません。

また、2022年4月から施行される改正個人情報保護法では「個人データ」の扱いがより厳格になりました。個人データとは、氏名や生年月日など個人を特定できる「個人情報」を検索できる形で体系的に構成したデータのことを指します。

Sprocketがお客様のWebサイト内でファーストパーティCookieとして発行するデータは、通常は個人を特定できない「個人関連情報」として見なされます。従って、改正個人情報保護法における個人データの制約には該当せず、CMP（同意管理プラットフォーム）などによる事前同意も基本的には不要です。

Sprocketは、問診型のポップアップやアンケートを利用したゼロパーティデータ（ユーザーが意図的に企業と共有するデータ）をもとに接客を行うことも可能です。また、お客様が保持している各種データ（＊）と連携すれば、よりパーソナライズした接客を行えます。

日本でもいよいよ改正個人情報保護法が施行されます。この改正が何を目的としていて、具体的にどのような対応が必要なのかをしっかりと確認しておきましょう。

• ＊ 個人データと認識される情報をSprocketへ提供する場合は、事前にユーザーの同意が必要になります。