【マーケター向け】Cookie規制とポストCookieについて、改正個人情報保護法施行前に押さえておきたいこと

テクノロジー

長友 洋介

イメージ:「Cookie規制」や「ポストCookie」という言葉が世の中で騒がれていますが、いまだに正しく理解できていない人も多いように感じます。ここではCookieの仕組みからおさらいして、何が問題とされているのか、具体的にどのような対応が必要になるのかを整理してお伝えします。

「Cookie規制」や「ポストCookie」という言葉が世の中で騒がれていますが、いまだに正しく理解できていない人も多いように感じます。ここではCookieの仕組みからおさらいして、何が問題とされているのか、具体的にどのような影響があるのかを整理してお伝えします。

Cookieとは? 簡単なおさらい

まずは、Cookie(クッキー)についての基本的な情報をおさらいします。Cookieとは、Webサイトを訪れたときにブラウザーに保存される小さなデータのことです。

訪問者のデータを一時的に保存することで、Webサイトのログイン状態や、商品をカートに入れたといった情報をページ遷移しても引き継ぐことが可能になります。Cookieの期間内であれば、次回訪問時も前回の状態を引き継げます。

ファーストパーティCookieとサードパーティCookieの違い

Cookieには、「ファーストパーティCookie(1st Party Cookie)」と「サードパーティCookie(3rd Party Cookie)」の2種類があります。ファーストパーティCookieは「訪問サイト内でのみ利用されるCookie」、サードパーティCookieは「複数サイトをまたいで利用されるCookie」です。

ファーストパーティCookieとサードパーティCookieは相対的な関係にあり、「今見ているサイト」によって変わります。例えば、あるサイトを見ているときにファーストパーティCookieだったものは、別のサイトを見ているときにはサードパーティCookieとなるわけです。

【無料ダウンロード】サードパーティCookie規制とゼロパーティデータ活用についての資料はこちらから

資料ダウンロード

Cookie規制の目的とポストCookie

今話題になっているCookie規制は主に「サードパーティCookie」のことを指しています。すべてのCookieを規制したり、置き換えたりする話ではないことを押さえておいてください。

「複数サイトをまたいで利用されるCookie」とは、具体的にどのようなものなのでしょうか。Webサイトには、画像やスクリプトなどほかのドメインの要素が含まれていることがあります。こうした要素を表示することで発行されるCookieが、サードパーティCookieです。ブラウザーの開発者ツールを見れば、どのようなCookieが発行されているかを確認できます。

Cookieの例(画像はファーストパーティCookie)

Cookie規制のおおもとには「個人情報保護の観点から、Cookieによって得たユーザーの行動履歴や趣味嗜好などのデータを利用することは問題がある」という考え方があります。そして、今回この規制の対象になっているのがサードパーティCookieというわけです。

各国で続々と法律が制定

個人情報保護の観点から、各国でも法律が制定されています。日本でも2022年4月から施行される改正個人情報保護法で、Webサイトで取得する個人情報についてより厳格な運用が求められます。

法整備だけでなく、こうした動きと連動してそれぞれのブラウザーも自主的にサードパーティCookieに対する規制を強化する流れにあります。

代替技術としての「ポストCookie」

この規制で特に影響が大きいのが広告分野です。従来のWeb広告は、ユーザーが閲覧したさまざまなWebサイトや行動からその人の興味・関心や嗜好を推測し、広告を表示する判断材料にしてきました。サードパーティCookieが規制されると、そのユーザーがどのような興味を持っているかの判断が難しくなります。

そこで、サードパーティCookieに代わる新たなテクノロジーやソリューションとして話題に挙がっているのが「ポストCookie」と呼ばれる技術です。Googleをはじめ、各社が開発を進めています。

サードパーティCookieが規制されるとどうなる?

サードパーティCookieが使えなくなると、どのような問題があるのでしょうか。例えば、次のような仕組みが利用できなくなります。

2022年現在、Webサイト側がいくらサードパーティCookieを発行しても、すでに多くのブラウザーがそれをブロックして受け取りません。主要なブラウザーの動向を見ていきましょう。

Appleは最も厳しく規制している

Appleは同社のブラウザーであるSafariに「ITP(Intelligent Tracking Prevention)」を搭載し、サードパーティCookieをブロックしています。ITPはバージョンを重ねるごとに厳しくなっており、ファーストパーティCookieについてもほかのブラウザーよりも有効期限が短くなっています。

さらに、iOS14.5からアプリがIDFA(Identifier for Advertisers:端末固有のデバイスID)を送信するにはユーザーの同意が必要となるよう変更しました。Appleは個人情報の保護に対する取り組みに最も積極的といえます。

GoogleはポストCookieの代替技術を並行して開発中

パソコンで大きなシェアを持つGoogle Chromeも、2023年中にサードパーティCookieをブロックするように変更予定です。

一方で、Googleは最大の広告プラットフォームでもあり、サードパーティCookieに代わるポストCookieの技術を並行して開発しています。この仕組みは「Privacy Sandbox」と呼ばれ、これまでサードパーティCookieが実現してきた機能を個人を特定せずに代替しようとする試みです。

Googleの新しい仕組みでは、1人ひとりのCookieのIDをベースにするのではなく、ユーザーをグループにまとめてセグメントします。これにより、個人を特定することなくユーザーの興味・関心といった情報を活用しようとしているわけです。

Firefoxの規制機能もより強化

オープンソースのブラウザーとして歴史が長いFirefoxでも、サードパーティCookieを制限する「Total Cookie Protection」をさらに拡張した「Enhanced Cookie Clearing」によって、追跡に利用されないようサイトのデータを漏らさず削除できるようになりました。

こうした状況に合わせて、デジタルマーケティングを行う企業は、サードパーティCookieに依存しない施策を始める必要があります。

SprocketのCookie規制と改正個人情報保護法の影響

ここまで、一般的なCookie規制と広告分野の影響についてお話してきました。Sprocketは、Webサイトにタグを埋め込んで利用するWeb接客サービスを提供しています。SprocketとCookieの関係についても触れておきましょう。

Sprocketは、お客様のWebサイト内でのファーストパーティCookieとして扱われます。従って、サードパーティCookie規制の影響は受けません。

また、2022年4月から施行される改正個人情報保護法では「個人データ」の扱いがより厳格になりました。個人データとは、氏名や生年月日など個人を特定できる「個人情報」を検索できる形で体系的に構成したデータのことを指します。

Sprocketがお客様のWebサイト内でファーストパーティCookieとして発行するデータは、通常は個人を特定できない「個人関連情報」として見なされます。従って、改正個人情報保護法における個人データの制約には該当せず、CMP(同意管理プラットフォーム)などによる事前同意も基本的には不要です。

Sprocketは、問診型のポップアップやアンケートを利用したゼロパーティデータ(ユーザーが意図的に企業と共有するデータ)をもとに接客を行うことも可能です。また、お客様が保持している各種データ(*)と連携すれば、よりパーソナライズした接客を行えます。

日本でもいよいよ改正個人情報保護法が施行されます。この改正が何を目的としていて、具体的にどのような対応が必要なのかをしっかりと確認しておきましょう。

サービス資料ダウンロード

Sprocketの機能、コンサルタント、導入事例、実績、
プラン体系などをご紹介します。(無料)

資料ダウンロード

導入検討の相談・見積もり

新規導入、乗り換えのご相談、Web接客ツールの比較など
お気軽にお問い合わせください。(無料)

お問い合わせ

03-6303-4123(受付:平日10:00~19:00)