AppleのITP(この記事を投稿した段階ではITP2.3)による情報収集規制が着々と進み,GoogleもCookie規制に舵を切りました.Web広告だけでなくGoogleアナリティクスなどのアクセス解析にも影響がでています.その影響や対策などの情報をまとめてみました.さらにITPのCNAMEへの対策やアドブロック企業によるCNAMEに関係する企業やサイトの監視など情報も追加しました.
目次
1.はじめに
ヨーロッパ(EU)での「GDPR(EU一般データ保護規則)」や米国カリフォルニア州の「CCPA(カリフォルニア州消費者プライバシー法)」が施行され,日本でも「個人情報保護法」が改訂され,年々Webでのユーザーのプライバシー保護の意識が高まっています.
改正個人情報保護法のパラダイムチェンジとは? 板倉弁護士が読み解く法規制とビジネス対応(注意:全て読むには会員登録とログインが必要)
このようなWeb(インターネット)でのプライバシー保護の動きは,政府などの公的組織だけなく民間企業,とくにプラットフォーマー(大規模なサービスを提供してインターネットのサービスをリードしているような企業)が主導すると大きな影響がでます.Googleがまさにそのような企業なのですが,ネットにアクセスするデバイスでスマホ(モバイル)が大きな割合となった近年では,Appleもそのような企業です(とくにAppleの端末が多く使われている地域では影響は大きいです).
そのAppleがブラウザによるユーザー行動データの収集を規制してユーザーのプライバシーを守るためとして2017年から導入したITP(Intelligent Tracking Prevention)を着々と強化しています.そしてGoogleも2020年1月にサードパーティクッキーを規制する方向に進むことを発表し,一般でも扱われるほど大きなニュースとなりました.この記事では,このようなプラットフォーマーの動きとそれによる影響などをまとめてみたいと思います.
追加情報(2022年7月28日発表)
ITメディアでChromeでのサードパーティーCookie廃止がさらに延期されるという記事がでました.
追加情報(2022年1月26日)
Googleがサードパーティクッキーに変わる技術として開発を進めている「FLoC」の開発が停止され,新たな技術「Topics」を発表したというニュースがありました.
追加情報(2021年6月24日発表)
Googleはサードパーティクッキーの廃止スケジュールを変更し,2023年後半の3か月間で段階的に廃止すると発表しました.
英語:https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/
2.ファーストパーティクッキーとサードパーティクッキー
AppleのITPもGoogleの規制も共にブラウザのCookie(クッキー)に対する規制が主です.Cookieとはブラウザに保存されているテキストファイルのデータで,Webサーバーとブラウザの間でデータをやりとりする仕組みの1つで,Webサイトの閲覧おいてもいろいろいと利便性を上げてくれます.例えば,なにかしらログインするサービスを何度も使う場合に,ログインネームとパスワードが保存されている場合が便利なときがあります.そのようなとき,それらを保存していてログインをスムーズに行えるようにしてくれる機能でもCookieが用いられています.
一般に訪れたサイトのサーバー(自社サーバー)から発行されたCookieをファーストパーティクッキー(1st party cookie),第三者サーバーから発行されたCookieをサードパーティクッキー(3rd party cookie)と呼びます.発行したサーバー基準でなく,紐付けられているドメイン名が現在ブラウザで表示しているページのドメイン名と等しいものをファーストパーティクッキー,それ以外のドメインからのものをサードパーティクッキーとも呼びます.例えば,ブログなどのサイト上にアフィリエイトなどの広告がある場合,ブラウザがその広告を読み込むことでサードパーティクッキーが発行されます.
これ以上の詳しい話は他に譲りますが,つまりWeb広告に使われているものがサードパーティクッキーと考えればOKです.
Google Analyticsの計測でもCookieが使われていて(例えば,新規ユーザーやリピーターかを判断するのに用いられています),それはファーストパーティクッキーの扱いです.ただし,Google AnalyticsのCookieは,自社サーバーから直接発行されたCookieではなく,(紐付けられているドメイン名が現在ブラウザで表示しているページのドメイン名と等しい)JavaScriptで発行されたファーストパーティクッキーであることに注意してください.実はこのJavaScriptで発行されたファーストパーティクッキーがITPの規制対象になっているのです.
3.クッキーの規制の現状(2020年9月)
上記しましたが,Googleが2020年1月に発表したものはサードパーティクッキーの規制です.2年以内にサードパーティクッキーのサポートを廃止し,プライバシー保護を強化した新たな取り組み(「Turtledove(Two Uncorrelated Requests, Then Locally-Executed Decision On Victory)」や「Sparrow(Secure Private Advertising Remotely Run On Webserver)」など)で対応しようという話がGoogle・FacebookやCriteoなどで進められているということです.
Cookie代替策:Google推奨のTurtledove、Criteo推奨のSparrowを紐解く(注意:全て読むには会員登録とログインが必要)
一方で,AppleのITPでは2017年9月のITP1.0からサードパーティクッキーの規制に取り組み,現在は自社サーバーで直接発行されたものでないJavaScriptで発行されたファーストパーティクッキーの規制まで進んでいます.ITPのCookie規制がどのように進んできたのかと,現状に関しては
などが参考になります.
現状(2020年9月)のITP2.3の環境下では,サードパーティクッキーは完全に規制され,自社サーバーで直接発行されたものでないファーストパーティクッキーの有効期間は最大で7日間(JavaScriptで発行されたファーストパーティクッキーは有効期限が1日以内だが,サイト流入後にPV計測をしている別ページに遷移した場合などに有効期限が延長されて最大7日間となる模様.トラッキングを目的としたリンクやリダイレクト時のパラメータおよび識別子等の付与があるランディングページで与えられたものは有効期限が24時間以内),ローカルストレージ等の規制(最後の操作から7日経過したものは強制的に内容削除)も始まっています.
ITPが始まった頃,ブラウザのローカルステレージ等に消されるCookieの情報を入れておく対策などの話を見かけました.ただ,それが許されるのも時間の問題だろうという話(Appleはそのような技術も許さずローカルステレージなどもいずれ規制対象となるという話)でしたが,実際にそのようになりました.
4.ブラウザエンジンとプラットフォーマーの支配
現在,ブラウザのシェアはGoogle Chromeが圧倒的に大きいのですが,iPhoneユーザーだとおそらくSafariを使う人が多いので,iPhoneユーザーが多い地域においてSafariのシェアは無視できません.そのためITPは,iPhoneを使っているユーザー層がターゲットになる場合,Webマーケティングにおいてことさら影響が大きいと感じます.
図1.ブラウザのシェア推移(出典Wikipedia)
ChromeやSafariのシェアは大きいが,ではChromeやSafari以外のブラウザを使うユーザーならばこのCookie規制が関係ないのではなどと考えるか人がいるかもしれませんが,そうともいえません.たしかにブラウザの基礎技術のレタリングエンジン(ブラウザエンジン)はいろいろありますが,シェアの多くを占めるブラウザはWebKit系のブラウザエンジンに依存していて,WebKitを仕切っているのがAppleです.なおGoogleは,2013年にAppleと袂を分かれWebKitから派生した(業界用語で「フォーク」と呼ぶそうです)Blinkを開発して使っています.
Chromeと同じブラウザエンジンを使ったMicrosoft Edgeが登場した(インストールが強制的で話題になりましたが)ことで,Firefox(Geckoブラウザエンジン)以外の主要なブラウザエンジンはGoogleとAppleのブラウザエンジンに依存している状況ともいえます(Firefoxもプライバシー保護でCookie規制を進めています.参考「デスクトップ版 Firefox の強化型トラッキング防止」).
つまり,Googleがサードパーティクッキー規制するとは,Googleの開発するブラウザエンジンを使っているブラウザも同様の規制が行われることになります.
そしてAppleも同様というかさらに強権を発動しようとしています.現状はITPが適用されるのはSafariだけですが,Appleの環境では今後(iOS14から)はSafari以外のブラウザやWebビューもITPの規制が適用されるというこうです(iPhoneで動くブラウザエンジンは,WebKitを使わないといけない決まりがあるということなので,まさにプラットフォーマーとしてその力を大いに振るうことになります).
5.ITPに関するGoogleやYahooの対策
Web世界でプラットフォーマーであるGoogleですが,Apple環境下ではITPには従うことになります.Appleと違いWeb広告を大きな収入源とするGoogleでは,ITP登場後すぐに対策としてGoogle広告(旧AdWords)やGoogle Analyticsのタグをグローバルサイトタグという新しいものに変える(Googleタグマネージャーでは「コンバージョンリンカー」タグを追加)などして対応しました.ですが,完璧ではありませんしファーストパーティクッキーまで規制し始めているApple(ITP)のスピードにはなかなか有効な手を打てないように見えました.
ですがGoogle Analyticsに関して,
というように,ITPがCookieやローカルステレージなどの規制をより強化しても対抗できそうな技術,つまりアクセス解析を継続して意味あるものとするための技術を提供し始めました.ただ,現状その導入のハードルは高いです.
ちなみにYahoo! JapanはITPが始まった直後にはその対策などの話などを見たり聞いたりした覚えがなく,どうしているのか?と当時思ったものですが,
と,対応はしています(ITP対策のサイトジェネラルタグが2018年の夏頃からとのことなので,2017年9月のITP1.0開始から1年近くたって対策の登場です.Googleがすぐさまグローバルサイトタグ等で対応したのとは違っていますが,資金力・技術力の差からしょうがないのでしょうね・・・).
6.おわりに
インターネットのプライバシー保護の強化の流れは変わらないでしょう.Googleは自社の収益源・サービスにWeb広告やアクセス解析があるので,Cookie規制をすすめても代替案が出てくるという希望・期待があります(プラットフォーマーとしての影響力が大きくなることは諦めるしかないでしょう).ですが,Web広告の事業がなく,自社の閉じた環境で商売が成り立つAppleに代替案とか期待するのは厳しいでしょう.もちろんお金をかければITPの影響等を緩和できるサービスも現状ありますが,それがいつまで有効かもわかりません.(2020年11月追記:実際に,下記のリンクにあるAD EBiSが提供しているCNAMEを利用した方法に関して,AppleはmacOS Big Surへのアップデートで対策をとりました.詳しくはGigazineの記事「Safari 14では裏技を使って規制をくぐり抜けていたサードパーティーCookieが対策される」などが参考になると思います.JavaScriptでのファーストパーティクッキーと同様の扱いにされたようです.おそらく上記のGTMのサーバー用コンテナの使用でも同じ扱いになっているのではなかいと思います.2021年4月追記:アプリ関連ですが,Gigazineの記事「AppleがiOS 14.5で実施予定のプライバシー強化「Application Tracking Transparency」の詳細を明らかに」で,今後のAppleのプライバシーポリシー変更が紹介されていました).
Webマーケッターやアクセス解析などに関わる人は,情報のアンテナを高くして自分の環境で実行できることを見つけてやっていくしかないでしょう.
以下に,すでにあげた情報(サイト)以外で参考にした・参考になりそうな情報のリンクを載せておきます.
【ITP2.1対策】Google Analytics(グーグルアナリティクス/GA)サーバーサイドCookie期限延長にSecure / HttpOnly属性はいらない
補足(CNAME関連)
前節にも追記しましたがITPのCNAMEへの対策などの情報が,AD EBiSマーケティング研究会のnoteで書かれています.
広告ブロッカーを開発するAdGuardが,Cookie対策の回避としてユーザー追跡を行う手法のCNAMEを使ったサービスを提供している企業やサイトを発表しました.
上記サイトのlistのリンクにあるGitHubの
https://raw.githubusercontent.com/AdguardTeam/cname-trackers/master/combined_original_trackers.txt
をみると,CNAME を提供している企業にOracleやAdobeやPardot(セールスフォース)などの世界的な大企業はもちろんあるのですが,A8.netやGMOインターネットグループやAD EBiS(株式会社イルグルム)やGENIEE(ソフトバンクグループ)と日本企業の割合の高さが目立ちました.
なお,CNAMEを利用しているドメイン一覧もあります.
この一覧を見るとものすごい数なのですが,例えば「.jp」を含むドメインだけで500以上あります.もちろん日本企業だからといって「.jp」を必ず使っているとは限りませんし,世界的な有名ブランドなどは日本用のサイトとして「.jp」を使っているなんて場合もあります.使い方によっては,競合がどのようなサービスを使っているかを知ることができるかもしれません.
補足(FLoC関連・・・2022年1月 開発停止)
Googleがサードパーティクッキーに変わる技術として開発を進めていた「FLoC」ですが,上述したように2022年1月に開発を中止するという発表がありました.
公式ブログ:Google Developers「FLoC の概要」
以下は,関連するGIGAZNEの記事を集めてみました.
Googleが導入しようとしている「FLoC」をOracleが酷評、「プライバシー強化を口実に優位制を固めようとしている」
Facebookがユーザーのプライバシーを保ちながら効果的な広告を掲載するための新システム「PETs」を発表
・・・このFacebookの技術はGoogleのFLoCと同じ種類のテクノロジーとのこと.この技術はオープンソースで公開もされています.
