Cookie規制・ITP2.3に関係する情報(影響・対策等)のまとめ

AppleのITP(現在はITP2.3)による情報収集規制が着々と進み,GoogleもCookie規制に舵を切りました.Web広告だけでなくGoogleアナリティクスなどのアクセス解析にも影響がでています.その影響や対策などの情報をまとめてみました.

 

1.はじめに

ヨーロッパ(EU)での「GDPR(EU一般データ保護規則)」や米国カリフォルニア州の「CCPA(カリフォルニア州消費者プライバシー法)」が施行され,日本でも「個人情報保護法」が改訂され,年々Webでのユーザーのプライバシー保護の意識が高まっています.

改正個人情報保護法が成立!cookieの取り扱いやGDPR・CCPAとの違いは?

改正個人情報保護法のパラダイムチェンジとは? 板倉弁護士が読み解く法規制とビジネス対応(注意:全て読むには会員登録とログインが必要)

このようなWeb(インターネット)でのプライバシー保護の動きは,政府などの公的組織だけなく民間企業,とくにプラットフォーマー(大規模なサービスを提供してインターネットのサービスをリードしているような企業)が主導すると大きな影響がでます.Googleがまさにそのような企業なのですが,ネットにアクセスするデバイスでスマホ(モバイル)が大きな割合となった近年では,Appleもそのような企業です(とくにAppleの端末が多く使われている地域では影響は大きいです).

そのAppleがブラウザによるユーザー行動データの収集を規制してユーザーのプライバシーを守るためとして2017年から導入したITP(Intelligent Tracking Prevention)を着々と強化しています.そしてGoogleも2020年1月にサードパーティクッキーを規制する方向に進むことを発表し,一般でも扱われるほど大きなニュースとなりました.この記事では,このようなプラットフォーマーの動きとそれによる影響などをまとめてみたいと思います.

日経新聞の一面にも取り上げられた「Googleのcookie規制」その影響は?

 

2.ファーストパーティクッキーとサードパーティクッキー

AppleのITPもGoogleの規制も共にブラウザのCookie(クッキー)に対する規制が主です.Cookieとはブラウザに保存されているテキストファイルのデータで,Webサーバーとブラウザの間でデータをやりとりする仕組みの1つで,Webサイトの閲覧おいてもいろいろいと利便性を上げてくれます.例えば,なにかしらログインするサービスを何度も使う場合に,ログインネームとパスワードが保存されている場合が便利なときがあります.そのようなとき,それらを保存していてログインをスムーズに行えるようにしてくれる機能でもCookieが用いられています.

一般に訪れたサイトのサーバー(自社サーバー)から発行されたCookieをファーストパーティクッキー(1st party cookie)第三者サーバーから発行されたCookieをサードパーティクッキー(3rd party cookie)と呼びます.発行したサーバー基準でなく,紐付けられているドメイン名が現在ブラウザで表示しているページのドメイン名と等しいものをファーストパーティクッキー,それ以外のドメインからのものをサードパーティクッキーとも呼びます.例えば,ブログなどのサイト上にアフィリエイトなどの広告がある場合,ブラウザがその広告を読み込むことでサードパーティクッキーが発行されます.

サードパーティクッキーって何だっけ? 今さら聞けないHTTP Cookieのキホン

これ以上の詳しい話は他に譲りますが,つまりWeb広告に使われているものがサードパーティクッキーと考えればOKです.

Google Analyticsの計測でもCookieが使われていて(例えば,新規ユーザーやリピーターかを判断するのに用いられています),それはファーストパーティクッキーの扱いです.ただし,Google AnalyticsのCookieは,自社サーバーから直接発行されたCookieではなく,(紐付けられているドメイン名が現在ブラウザで表示しているページのドメイン名と等しい)JavaScriptで発行されたファーストパーティクッキーであることに注意してください.実はこのJavaScriptで発行されたファーストパーティクッキーがITPの規制対象になっているのです.

 

3.クッキーの規制の現状(20209月)

上記しましたが,Googleが2020年1月に発表したものはサードパーティクッキーの規制です.2年以内にサードパーティクッキーのサポートを廃止し,プライバシー保護を強化した新たな取り組み(「Turtledove(Two Uncorrelated Requests, Then Locally-Executed Decision On Victory)」や「Sparrow(Secure Private Advertising Remotely Run On Webserver)」など)で対応しようという話がGoogle・FacebookやCriteoなどで進められているということです.

Cookie代替策:Google推奨のTurtledove、Criteo推奨のSparrowを紐解く(注意:全て読むには会員登録とログインが必要)

一方で,AppleのITPでは2017年9月のITP1.0からサードパーティクッキーの規制に取り組み,現在は自社サーバーで直接発行されたものでないJavaScriptで発行されたファーストパーティクッキーの規制まで進んでいます.ITPのCookie規制がどのように進んできたのかと,現状に関しては

【最新】3分で分かるITP2.3|広告マーケ担当者が知っておきたいことまとめ

ITP とうとう「フルブロック」の登場(1〜2.x 総まとめ)随時更新!

Safari ITP2.3に関するアドエビスの対応と影響について(AD EBiS サポートサイト)

などが参考になります.

現状(2020年9月)のITP2.3の環境下では,サードパーティクッキーは完全に規制され,自社サーバーで直接発行されたものでないファーストパーティクッキーの有効期間は最大で7日間(JavaScriptで発行されたファーストパーティクッキーは有効期限が1日以内だが,サイト流入後にPV計測をしている別ページに遷移した場合などに有効期限が延長されて最大7日間となる模様.トラッキングを目的としたリンクやリダイレクト時のパラメタおよび識別子等の付与があるランディングページで与えられたものは有効期限が24時間以内),ローカルストレージ等の規制(最後の操作から7日経過したものは強制的に内容削除)も始まっています

ITPが始まった頃,ブラウザのローカルステレージ等に消されるCookieの情報を入れておく対策などの話を見かけました.ただ,それが許されるのも時間の問題だろうという話(Appleはそのような技術も許さずローカルステレージなどもいずれ規制対象となるという話)でしたが,実際にそのようになりました.

 

4.ブラウザエンジンとプラットフォーマーの支配

現在,ブラウザのシェアはGoogle Chromeが圧倒的に大きいのですが,iPhoneユーザーだとおそらくSafariを使う人が多いので,iPhoneユーザーが多い地域においてSafariのシェアは無視できません.そのためITPは,iPhoneを使っているユーザー層がターゲットになる場合,Webマーケティングにおいてことさら影響が大きいと感じます.

WebブラウザシェアランキングTOP10(日本国内・世界)

スマートフォン・シェアランキングTOP10

 

図1.ブラウザのシェア推移(出典Wikipedia)

 

ChromeやSafariのシェアは大きいが,ではChromeやSafari以外のブラウザを使うユーザーならばこのCookie規制が関係ないのではなどと考えるか人がいるかもしれませんが,そうともいえません.たしかにブラウザの基礎技術のレタリングエンジン(ブラウザエンジン)はいろいろありますが,シェアの多くを占めるブラウザはWebKit系のブラウザエンジンに依存していて,WebKitを仕切っているのがAppleです.なおGoogleは,2013年にAppleと袂を分かれWebKitから派生した(業界用語で「フォーク」と呼ぶそうです)Blinkを開発して使っています.

ウェブブラウザの一覧: フリー百科事典『ウィキペディア(Wikipedia)』

WebKit : フリー百科事典『ウィキペディア(Wikipedia)』

GoogleとAppleが争う「WebKit」ってどうして重要?

新Webエンジン「Blink」—GoogleはなぜWebKitを捨てたか?

Chromeと同じブラウザエンジンを使ったMicrosoft Edgeが登場した(インストールが強制的で話題になりましたが)ことで,Firefox(Geckoブラウザエンジン)以外の主要なブラウザエンジンはGoogleとAppleのブラウザエンジンに依存している状況ともいえます(Firefoxもプライバシー保護でCookie規制を進めています.参考「デスクトップ版 Firefox の強化型トラッキング防止」).

つまり,Googleがサードパーティクッキー規制するとは,Googleの開発するブラウザエンジンを使っているブラウザも同様の規制が行われることになります.

そしてAppleも同様というかさらに強権を発動しようとしています.現状はITPが適用されるのはSafariだけですが,Appleの環境では今後(iOS14から)はSafari以外のブラウザやWebビューもITPの規制が適用されるというこうです(iPhoneで動くブラウザエンジンは,WebKitを使わないといけない決まりがあるということなので,まさにプラットフォーマーとしてその力を大いに振るうことになります).

 

5ITPに関するGoogleYahooの対策

Web世界でプラットフォーマーであるGoogleですが,Apple環境下ではITPには従うことになります.Appleと違いWeb広告を大きな収入源とするGoogleでは,ITP登場後すぐに対策としてGoogle広告(旧AdWords)やGoogle Analyticsのタグをグローバルサイトタグという新しいものに変える(Googleタグマネージャーでは「コンバージョンリンカー」タグを追加)などして対応しました.ですが,完璧ではありませんしファーストパーティクッキーまで規制し始めているApple(ITP)のスピードにはなかなか有効な手を打てないように見えました.

ですがGoogle Analyticsに関して,

GTMにサーバーサイドで動作するサーバー用コンテナが登場

爆速サイト構築に挑戦2.サーバーサイドGTMでiTP対応

というように,ITPがCookieやローカルステレージなどの規制をより強化しても対抗できそうな技術,つまりアクセス解析を継続して意味あるものとするための技術を提供し始めました.ただ,現状その導入のハードルは高いです.

ちなみにYahoo! JapanはITPが始まった直後にはその対策などの話などを見たり聞いたりした覚えがなく,どうしているのか?と当時思ったものですが,

Yahoo!タグマネージャーにおけるITP2.0の影響について

Yahoo広告もサイトジェネラルタグと自動タグでITP2.0対応

と,対応はしています(ITP対策のサイトジェネラルタグが2018年の夏頃からとのことなので,2017年9月のITP1.0開始から1年近くたって対策の登場です.Googleがすぐさまグローバルサイトタグ等で対応したのとは違っていますが,資金力・技術力の差からしょうがないのでしょうね・・・).

 

6.おわりに

インターネットのプライバシー保護の強化の流れは変わらないでしょう.Googleは自社の収益源・サービスにWeb広告やアクセス解析があるので,Cookie規制をすすめても代替案が出てくるという希望・期待があります(プラットフォーマーとしての影響力が大きくなることは諦めるしかないでしょう).ですが,Web広告の事業がなく,自社の閉じた環境で商売が成り立つAppleに代替案とか期待するのは厳しいでしょう.もちろんお金をかければITPの影響等を緩和できるサービスも現状ありますが,それがいつまで有効かもわかりません.

Webマーケッターやアクセス解析などに関わる人は,情報のアンテナを高くして自分の環境で実行できることを見つけてやっていくしかないでしょう.

以下に,すでにあげた情報(サイト)以外で参考にした・参考になりそうな情報のリンクを載せておきます.

Google Chromeの「サードパーティCookie終了」まで後1年半。マーケターがとるべき対応とは?

【コラム】アップルがブラウザを支配しつつある面倒な世界

CNAMEを利用したトラッキング方式のご提供(AD EBiS サポートサイト)

【ITP2.1対策】Google Analytics(グーグルアナリティクス/GA)サーバーサイドCookie期限延長にSecure / HttpOnly属性はいらない