Google Chromeの「サードパーティCookie終了」問題
参考文献/引用文献:
Google Chromeの「サードパーティCookie終了」まで後1年半。マーケターがとるべき対応とは?
https://webtan.impress.co.jp/e/2020/09/03/36910
Google ChromeでサードパーティCookieが段階的に排除されると、2020年1月に発表され話題となった。デジタルマーケティングに影響を与えることは必至であり、今後の対応について悩ましく思っている人も少なくないだろう。
「Web担当者Forum ミーティング 2020 春」に登壇した、プリンシプルの中村研太氏は、Google ChromeでサードパーティCookieのサポート終了による影響や、すでにサードパーティCookiの排除が行われたITP、法律面でGDPR、CCPA、個人情報保護法などについても説明。今後、マーケターがとるべき対応について解説した。
2020年1月、「GoogleがサードパーティCookieのサポート終了を発表した」というニュースが、日経新聞の一面に取り上げられ、大きな話題となった。
情報ソースは、Google Chrome(以下、Chrome)の開発者ブログである「Chromium Blog(クロミウム ブログ)」だ。ブログには、Chromeが今後目指す方向性が示され、サードパーティCookieのサポート終了はその一部として書かれていた。Chromeが目指す今後のインターネットとは、「個人情報保護を前提として、広告に支えられた無料のインターネット世界(ad-supported web)を維持できる」という考えに基づき、「新たなエコシステム」を構築しようというものだ。
After initial dialogue with the web community, we are confident that with continued iteration and feedback, privacy-preserving and open-standard mechanisms like the Privacy Sandbox can sustain a healthy, ad-supported web in a way that will render third-party cookies obsolete. Once these approaches have addressed the needs of users, publishers, and advertisers, and we have developed the tools to mitigate workarounds, we plan to phase out support for third-party cookies in Chrome. Our intention is to do this within two years. But we cannot get there alone, and that’s why we need the ecosystem to engage on these proposals. We plan to start the first origin trials by the end of this year, starting with conversion measurement and following with personalization.
この発表では、サポートの終了時期は明示されていないが、2022年1月頃には、サードパーティCookieのサポート終了が予測されている。つまり、今後1年半をめどにマーケターをはじめ、各担当者はChromeが目指している「新たなエコシステム」へ対応する必要がある。
Google Chromeの開発者ブログ「Chromium Blogの画面キャプチャ
なぜサードパーティCookieのサポート終了が話題になったのだろうか。そもそも、Cookie(HTTP Cookie)とは、Webサーバーとブラウザの間でデータをやりとりする仕組みの1つで、Webサイトが発行する情報をブラウザに保存できる。たとえば、ログインの維持や検索条件の保存、カート情報の維持などだ。
Cookieには、「どのドメイン名のCookieか」という情報が含まれている。たとえば、訪問しているWebページのアドレスバーに表示しているドメイン名と、Cookieに紐づいているドメイン名が同じならば「ファーストパーティCookie」と呼ばれる。このCookieはお気に入り機能やSNS連携、その他パーソナライズなどにも活用されている。
そして、それ以外のドメイン名からのものが「サードパーティCookie」と呼ばれる。これは、複数のサイトを横断して閲覧を追跡記録できる。そのため、解析ツールや広告のCVトラッキング、広告のターゲティングなどに使われてきた。
このサードパーティCookieを「ユーザーのプライバシー保護の観点からサポート停止する」と、Chromeが発表したことにより、CVの計測やリターゲティング広告にCookieが使用できなくなり、リマーケティングやリターゲティングもできなくなるというので話題になった。
ITPとは?
さらにもう1つのキーワードが「ITP(Intelligent Tracking Prevention)」だ。ITPとは、Safariブラウザでのトラッキングを防止する仕組みのことで、Appleがユーザー情報保護の考えのもと2017年9月に発表した。
ITP1.0発表以降、ITP環境でも正確にトラッキングしようと、各社でタグの張り替えなどさまざまな対策が採られた。しかし、しばらくするとITP側も更新し、また各社がトラッキングを試みるという、いわば“いたちごっこ”が続いていた。
2019年9月に発表されたITP2.3は、サードパーティCookieを一切保存せず、JavaScriptからのCookieも1日しか保存しない。さらに、トラッキングするために一部の広告媒体がCookieの代わりに使用していたローカルストレージも7日で削除。CVトラッキングやリマーケティング広告の配信はおろか、解析やA/Bテスト、接客といった各種ツールやCDP・DMPも使えなくなるなど、マーケターにとっては非常に厳しい内容だ。
主要ブラウザにおけるCookie規制の動き
変化する個人情報の法規制。GDPR、CCPAと日本の個人情報保護法
こうしたサードパーティCookieの規制や、ITPが生まれた背景にあるのが各国の法規制だ。その発端となったのが、2018年5月25日に欧州で発効されたGDPR(General Data Protection Regulation)である。
GDPRは一般的なデータの保護規制を定めたもので、データの管理業者と処理業者に対して新たな義務と責任が課されることになった。IPアドレスやCookieは個人情報とみなされ、それらの取得時にはユーザーの同意が必要となり、違反すると巨額の罰金が科せられる。
これに連動して、米国カリフォルニア州でも「CCPA(California Consumer Privacy Act)」というGDPR同様の法律が制定され、カリフォルニア州発の企業としてGoogle、FacebookなどがGDPR/CCPA準拠を前提としようとしている。
そして日本では、2020年3月10日に「個人情報の保護に関する法律等の一部を改正する法律案」が通常国会に提出。6月5日の国会で可決し、6月12日に公布された。
その中で特筆すべきなのは、Cookie自体は個人データでは「ない」という判断だ。ただし、個人データとは別に「仮名加工情報」という新たな考え方ができた。これは、提供元では個人データには該当しなくとも、提供先のデータと照合することで個人データに該当する場合、第3者提供については本人同意が得られているかなどの確認を義務付けるというものだ。
このように、データ利用条件を厳格化するのに伴い、政府の個人情報保護委員会は、罰則に関しても強化した。委員会の命令に違反した場合以前は、6か月以下の懲役または、30万円の罰金だったのに対し、1年以下の懲役または、100万円以下の罰金に引き上げられている。虚偽の報告をした場合も、以前は30万円以下の罰金だったのに対し、50万円以下の罰金に変わっている。
また、これまで個人と同額(50万円又は30万円以下の罰金)だった法人に対する罰金は、1億円以下の罰金に引き上げられている。
参考 個人情報保護委員会(PPC)より
「個人情報の保護に関する法律等の一部を改正する法律」の公布について
https://www.ppc.go.jp/news/press/2020/200612/
個人情報の保護に関する法律等の一部を 改正する法律案について(PDF)
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20200311/200311seicho02.pdf
GDPR
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
進む法整備に合わせた新ルール。「Privacy Sandbox」が目指すこと
個人情報保護の法整備を背景にITPが推し進められ、ChromeでもサードパーティCookieのサポートが終了……となれば、もはやデジタルマーケティングができなくなるのかと不安になるのも無理はない。しかし、中村氏は今後のマーケティングについて次のように語った。
サードパーティCookieなしでも、広告を含めたトラッキングでユーザーに有益な施策を提供し、広告に支えられた無料のインターネット世界(ad-supported web)を維持できるという考え方がある。つまり、新しい個人情報保護ポリシーを前提として、新たなエコシステムを構築しようとしている(中村氏)
新たなインターネットのエコシステムとして、2019年8月から動き出しているのが「Privacy Sandbox(プライバシーサンドボックス)」だ。Privacy Sandboxでは、プライバシーについて以下の3つの原則に基づいて議論がなされている。
個人情報がどのように集められ、どのように広告に用いられているかをユーザーが容易に確認できる「透明性」が維持されていること。
ユーザーに、個人情報の取り扱いや好ましいWeb体験に対する「選択肢」があること。裏で勝手に個人情報が扱われることがなくなること。
ユーザーが、自身の個人情報の扱われている範囲について把握し、提供範囲を「コントロール」できる状態であること。
「Privacy Sandbox」の3つの原則
Privacy Sandboxではこれらを担保し、実現できるCookieについて議論し、技術的に開発しつつあるという。どのようなものが提供されるのかまだ不明だが、少なくともこれら3つの要件は満たされるはずだ。
具体的な開発事項としては、次の3項目が示されている。
・新しいクロスサイトトラッキング手法の開発
・サードパーティCookieをなくす
・対策を回避するための「抜け道」をなくす
新しいクロスサイトトラッキングの開発
これはスパムやアドフラウドなど不正広告をコントロールするAPI、クリックスルーコンバージョンやアトリビューションに関するAPIなど、広告コンバージョン計測のためのAPI開発などがあげられる。さらに、ファーストパーティデータとコンテクスト、サイト内行動に基づいたターゲティングや、興味情報に基づいたターゲティング(FLoC)なども個人情報を特定しない方法が考えられている。また異なるサイトをまたいだ共通ログインなども開発中だという。
サードパーティCookieをなくす
なお、サードパーティCookieの終了については、まずファーストパーティとサードパーティそれぞれのCookieを分け、さらにサードパーティCookieにSameSiteという属性を必須として安全性で分類するという。そして、ファーストパーティセットという概念を作成したうえで、サードパーティCookieが終了するという流れだ。
対策を回避するための「抜け道」をなくす
また、その他の方法で試みられているユーザートラッキングについても、そぐわないものは対応していく予定だという。たとえばFingerprinting(フィンガープリンティング)系やCNAME(シーネーム)方式でのトラッキングなどについてもサードパーティCookieを使わない技術だが、前述の3つの原則にそぐわないという判断から、使えない仕様になっていくと思われる。
Cookieは便利であるために、さまざまなものに使われてきた。しかし、あまりに自由に使われすぎたため、ITPなどによって制限されるようになった。そこでAPIごとに目的を明確化して管理し、ユーザーの合意を前提とした新しいトラッキングへと変えていこうとしている(中村氏)
これらが実現すれば、個人の意思で「広告のトラッキングは許可するが、ターゲッティングには応じない」などの選択も可能になるわけだ。
アフターサードパーティCookieへ対応するために
それでは、サードパーティCookieが終了するであろう1年半後に向けて、マーケターとして何をするべきなのか。中村氏は以下の3つの観点から提言をした。
事業者として
マーケターとして
成果を出すために
それぞれを説明する。
事業者が対応すべきこと
事業者として対応すべきことの筆頭は、「日本の法律準拠」だろう。新しい個人情報保護法が国会を通過した後に、法律に準拠した対応がとれていなければならない。
Cookieは個人データとされないことから、欧米のようにサイト訪問者すべてにプライバシーポリシーへの同意を求める必要はないという見通しだが、個人情報開示要求に対する準備、プライバシーポリシーの更新などは必要になる。また、海外ユーザー向けにも対応している場合は、GDPR、CCPAも踏まえた個人情報取り扱いが必要だ。
マーケターが対応すべきこと
マーケターが現時点で行うべきことには、「ITP対応」があげられる。解析トラッキングツール系の対応や広告施策の各種トラッキングの管理や、既にとれなくなっているデータ(Safariからのコンバージョンなど)があるならば制約範囲を把握する必要がある。
また「個人のデータを前提としたマーケティング活動の方針策定」も重要であり、現在のCookieのSameSite属性の扱いについてエンジニアと連携し、解析ツールなどのCookieレベルのデータ活用や、CDP/CRMなどの個人データ活用について考えることも求められる。
今後はChromiumプロジェクトの動向を把握し、これまで紹介したような「新しいCookie」のWebサービスへの適応が不可欠となるだろう。サイトで利用するCookieは自社のエンジニアや制作会社と、マーケティング関係であれば解析/広告系Cookieについてサービスベンダー、媒体社、代理店と協議して連携する必要がある。
中村氏は、「やることは山ほどあるが、しっかりと背景や動向を理解し振り回されないことが大切」と強調し、以下のように語った。
個人情報の『透明性』『選択肢』『コントロール』を前提に進んでいくことは間違いない。これを前提に施策を判断し、「抜け道」的な施策は中期的にふさがれる可能性があるので手を出さない方が賢明だろう。そうした方針を見据え、先を見据えて、個別の事象は定期的に意思決定しながら進めるのがいいのではないか(中村氏)
成果を出すために
そして「成果を出すために」として、中村氏は「デジタルマーケティングの方向性を予測し、対応することが大切」と語る。
これまで強化されていた「直接個人の行動データに基づいたターゲティング広告」は縮小され、「個人情報ではない形で集計された属性情報をベースにした広告」へとシフトすることは間違いない。それはGoogleやFacebookなどのプラットフォーマーによって提供される可能性が高く、ブラウザにAPIの情報が貯まって新たな広告が登場する可能性もあるという。
さらに「行動データ」に対するターゲティングからコンテキストや、その瞬間のニーズに対する広告やクリエイティブの最適化があるのではないかと、中村氏は予測する。
たとえば既存の技術として検索連動や閲覧コンテンツと連携して最適化が進み、新しい機会としてサイネージやタクシーといったロケーション系の広告も登場してくるかもしれない。モニタやアンケート、会員サービスなどオプトイン型のサービスなどの広がりも考えられる。
最後に、中村氏は「新しいCookieへ移行するには、まずは2つの取り組みが必要」と強調したうえで、以下のように語った。
まず、多くの広告の『コンバージョン』の定義が変わるなかで、『マーケティング戦略とKPIの再設計』が不可欠となる。そして、コンバージョン等のマーケティングデータ、DMPなどの顧客データについて、今後の活用方針の再策定とプラットフォーム(DMP/BI)の再整理や可視化も必要だろう。これまでとは異なるルールでの施策となることを十分に意識することが大切(中村氏)
参考文献 /引用文献
https://cookie.bizrisk.iij.jp/blog/personal-information-protection-law-cookie-regulations
サマリー
改正個人情報保護法による個人関連情報の第三者提供規制は、ターゲティング広告目的のサードパーティ・クッキーなどデジタルマーケティング技術の利用に影響する可能性があるが、正確な規制適用条件は政令、委員会ガイドラインを待たなければならない。
1.改正個人情報保護法が成立
2.ターゲティング広告を規制する方針
3.個人関連情報の第三者提供規制
4.適正な個人データ利用義務の明確化
5.企業に求められる今後の取組
1.改正個人情報保護法が成立
個人情報の保護に関する法律等の一部を改正する法律(以下「改正法」)が6月5日、国会で可決成立しました。改正法は、公布の日から2年以内に施行されます。改正法は多くの重要な改正点を含みますが、その中でも、新設される「個人関連情報」の第三者提供に関する規制は、インターネット利用者のトラッキング、プロファイリング、広告ターゲティングなどに対する規制強化となる可能性があり、デジタルマーケティングに携わる事業者の関心が特に高いところです。
2.ターゲティング広告を規制する方針
個人情報保護委員会は、昨年12月に公表した制度改正大綱で、「端末識別子等の取扱い」に言及し、インターネットにおける行動履歴情報などのユーザデータを活用したターゲティング広告が広く行われていること、個人情報を含まないユーザデータがDMPなど提供先において他の情報と照合することにより個人データとなる場合があること、このようなユーザデータの利用は本人が関与する余地がなく、個人データの第三者提供を規制する現行法23条の趣旨を潜脱するものであることを指摘し、提供元(広告主、メディア)では個人データに該当しないものの、提供先(DMPなど広告プラットフォーム)において個人データに該当する場合、第三者提供を制限する規律を適用する方針を明らかにしました。
成立した改正法の中で、新規制に対応するのは以下の新設条文です。
(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
3.個人関連情報の第三者提供規制
新たな概念として、「個人関連情報」が定義されました。概ね、生存する個人に関する情報ではあるが、それ自身で、または他の情報と容易に照合して、特定の個人を識別することまではできないもの、と考えることができます。個人関連情報の典型例として、ウェブサイトで用いられるHTTP Cookie、モバイル端末のアプリで用いられる端末識別子などを通じて個人に関する情報(典型的には閲覧履歴など)を取得・利用する事業者が、社内で利用可能な他の情報と照合しても当該情報から特定の個人を識別できない状況における当該情報が想定できます。
第三者が個人関連情報を個人データとして取得することが想定されるとは、提供先の第三者が、その合理的に利用し得る他の情報と容易に
照合して、特定の個人を識別することができる場合と考えられます。典型的には、ソーシャルメディアやeコマースプラットフォームを運営し、会員情報を管理する事業者が発行するサードパーティ・クッキーによって取得されるブラウザ識別子や閲覧情報などのデータが、タグを埋め込んだウェブサイトから当該事業者に提供され、当該事業者が会員情報と照合することによって特定の個人が識別できる場合です。また、閲覧者のアカウント管理をしていないウェブページにFacebook共有ボタン、「いいね!」ボタンなどのようなソーシャル・プラグインを埋め込む場合、埋め込み元ウェブページでは特定の個人を識別し得ない場合であっても、開示先のソーシャルメディア運営者は、アカウント情報との照合により、個人を識別できる場合があります。
このような形で第三者提供を行う場合には、(1)提供先が個人データとして取得することについて、本人の同意が得られていること、(2)提供先が外国にある場合は、同意に先立って、当該外国での個人情報保護制度、提供先が講じる個人情報保護措置などに関して情報提供されていること、の2点を開示元事業者が確認することが新たに義務づけられます。このような確認をしないで第三者提供してはならないという条文の文言から、情報提供および同意は、第三者提供に先立って事前に行われなければならない、すなわち事前の情報提供およびオプトイン同意が求められると考えられます。
新たな規制の対象となる第三者提供先の可能性として、プラットフォーマーとして会員情報を管理しつつ、サードパーティ・クッキーを発行し、ターゲティング広告事業も行っている事業者、具体的にはGoogle、Facebookなどのプラットフォーマーが考えられます。これら2社は2018年の世界デジタル広告費の過半のシェアを占め、我が国でも多くの企業がデジタルマーケティングのために利用しています。
個人関連情報の第三者提供について、本人への情報提供および同意が必要とされるのは、「個人データとして取得することが想定されるとき」とされています。「想定されるとき」の具体的内容、開示先が個人データとして取得するかどうかについて、開示元事業者は調査・確認義務を負うのか、開示先は開示元に対して個人データとして取得するかどうかについて情報提供をする義務を負うのかなど、運用の詳細については、今後、個人情報保護委員会のガイドラインなどを待つことになります。また、「個人関連情報データベース等」の正確な定義についても、政令で定めることとされています。
4.適正な個人データ利用義務の明確化
改正法でもう一つ、デジタルマーケティングに影響を与える可能性がある新規制があります。それは、適正な個人データ利用義務の明確化および個人データ利用に関する公表事項の拡大です。個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないとされました(第16条の2)。何をもって禁止される利用態様となるかについての詳細は、今後ガイドラインで示されると思われます。
これと関連して、昨年12月に個人情報保護員会が公表した制度改正大綱では、個人データ取扱事業者がプライバシーポリシーなどで公表すべき事項として、個人情報取扱体制、講じている措置、処理の方法などを追加する方針が示されています。公表事項は政令に委任されているので、今回の法改正には含まれていません。上記の適正利用義務明確化と相まって、プライバシーポリシー等での情報提供範囲と利用の態様について規制が強化されることになります。
上記の個人関連情報第三者提供規制との関連では、個人情報保護委員会が制度改正大綱で言及した提供先であるDMPなど広告プラットフォームを運営する事業者においても、(公表事項を定める政令の内容によりますが、)その個人データ処理の方法などについて情報提供義務が拡大され、適正利用義務が課されることにより、第三者提供規制と相まって、様々な当事者が関与するデジタルマーケティングに関する規制が厳格化される可能性があると思われます。
5.企業に求められる今後の取組
上述の通り、政令、規則、ガイドラインを待たなければ適用条件・適用範囲が確定しませんが、これらの新規制に関して、企業において必要とされる対応は以下の通りです。
(1) 利用するクッキーやプラグインが新規制の適用を受けるかどうか確認
個人関連情報の提供先であるソーシャルメディアや広告エージェンシーがすでに保有する個人データとの照合により、提供に係る個人を識別できるかどうかを確認し、新規制の適用を受けるかどうかを確認しなければなりません。新規制の詳細な適用要件は今後、政令、ガイドラインで決まるので、これらを注視する必要があります。
(2) 施行までの間に自社ウェブサイトで必要な対策を講じること
改正法は公布の日から2年以内に施行されます。具体的な施行日は追って政令で定められます。新たな第三者提供規制の対象となるターゲティング・クッキーなどを利用している場合、改正法施行までに、クッキーバナーツールなどなどを利用して、ウェブサイト利用者に対する情報提供、同意取得、同意管理の準備を進めなければなりません。とくに個人を識別しうる立場にある広告プラットフォーム事業者は、プライバシーポリシーにおける公表事項が拡大されること、適正利用義務が課されることを意識する必要があります。
(3) 事業活動を行う国・地域の規制に合わせた対策を講じること
EUではePrivacy指令に基づく各国法およびGDPR、米国では連邦取引委員会法(FTC法)、児童オンラインプライバシー保護法(COPPA)、カリフォルニア州消費者プライバシー法(CCPA)などの法律により、クッキー等の利用が規制されています。新興国でもデジタルマーケティングを目的とするクッキー等の利用に関する規制が増えつつあります。我が国でも改正法によるデジタルマーケティングの規制強化がやがて始まります。国際的に事業活動を展開する企業は、これらの複数の国・地域の規制にそれぞれ対応した対策を講じる必要があります。
世界のウェブブラウザ市場で6割超のシェアを占めるChromeは、サードパーティ・クッキーの利用をいずれ中止し、広告ターゲティングのための新たな仕組みをオープンな場で開発・普及することを発表し、すでに議論と作業が始まっています。デジタル・マーケティング業界では、サードパーティ・クッキーを利用しない広告ターゲティングの仕組みの開発に向けて取組が進んでいます。今回の改正法はクッキーという特定の技術だけに適用されるものではありません。新たなデジタル・マーケティングの仕組みを採用する場合、改正法を含む世界の主要なプライバシー保護法の規制を遵守するためにどのような対応が必要か、注視を続ける必要があると思われます。
改正法案の要綱、法律案・理由、新旧対照表など(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/
この記事が気に入ったらサポートをしてみませんか?