Cookieとその今後についてまとめてみた

※仕事柄Cookieを扱うことはあるものの、専門性は高くないため、誤りや追記すべき点がございましたら、コメント頂けますと幸いです…！
なお筆者は広告事業者でもWebマーケターでもありません。

1.　Cookie規制について

Cookie利用の規制が進んできている背景は、Cookieが個人情報と見なされるようになってきたから、になります。
Cookieそのものは、ただのテキストデータです。
しかし、トラッキング技術などの個人を特定する技術が発達してきたため、各国で個人情報と見なされるようになり、扱いが厳しくなってきたのです。

Appleの場合

Appleの提供するブラウザアプリのSafariでは、ITP（Intelligent Tracking Prevention）機能が導入され、3rd Party Cookieについては即時削除、1st Party Cookieについても24時間で削除されます。
ITPの歴史については、下記のQiita記事がわかりやすいため、参考にさせていただきました。

ITP まとめ「3rd フルブロックの次はCNAME対策もターゲットに😱」随時更新！

Googleの場合

Googleの提供するChromeでも、2020年1月には2年以内にCookieを規制する旨を発表しました。

we plan to phase out support for third-party cookies in Chrome.

Building a more private web: A path towards making third party cookies obsolete

その後2021年6月には、2023年に段階的に廃止していく旨を発表しています。その中で代替案としての「プライバシーサンドボックス」にも言及されており、今後の動向が注目を集めています。

6 月 25 日にChrome におけるサードパーティ Cookie のサポートを段階的に廃止する計画のスケジュールを含む、「プライバシーサンドボックス」の最新情報を公開しました。取り組みを進めていく中で、この計画を正しく実施するためには、デジタル広告のエコシステム全体でさらに時間が必要なことがわかってきました。

~~中略~~

Google が発表した方針に即して、Chrome は 2023 年半ばから 2023 年後半までの 3 か月間でサードパーティ Cookie を段階的に廃止します。

サードパーティ Cookie 廃止に関するタイムラインの変更について

2.　3rd Party Cookieと、1st Party Cookieの違い

上記の中で出てきた「3rd Party Cookie」「1st Party Cookie」の違いを解説します。

結論から言うと、アクセスしたWebサイトのCookieが1st Party Cookieです。
そして、アクセスしたWebサイトで表示されている、別サイトのCookieが3rd Party Cookieです。
ブログ等のWebサイトを見ているとよく広告が表示されますが、この広告はサイト運営者以外のものです。第3者によって発行されたCookieなので、3rd Party Cookieと呼びます。

3rd Party Cookieと、1st Party Cookieの違い

同じサイト・別サイトというのは、Cookieに付随する「ドメイン」という情報によって判断されます。

Cookieのドメインについて

Cookieには「ドメイン」という情報が付随しています。
例えばサイトA、サイトB、サイトCにアクセスすると、それぞれのサイトのCookieがユーザー側に保存されます。
結果として、ユーザーのブラウザの中には多種多様なサイトのCookieが保存されるため、「どのWebサイトのCookieなのか？」を判別するために「ドメイン」という情報が付随しています。

正式な言い方をすると、Cookieの「属性」の1つに「ドメイン」があります。

例えばhttps://note.com にアクセスした際のCookieを見てみます。

Chormeのデベロッパーツール

Cookieの確認方法については後述しますが、画像のようにデベロッパーツールを開けば、どなたでも確認できます。

Domainという項目を見ると、note.comとあるのが確認できます。つまりnote.comのCookieということです。note.comを開いている間は、このCookieが1st Party Cookieになります。

3.　3rd Party Cookieによるトラッキング

特に規制の対象となっているのは3rd Party Cookieです。
その3rd Party Cookieを用いた、トラッキングの仕組みについても簡単に解説します。

例えば、WebサイトAの運営者と広告事業者が提携し、WebサイトAに広告を設置したとします。
そうすると、ユーザーAがWebサイトAにアクセスした際に、広告事業者のサーバー（以下、広告サーバー）にもアクセスすることになります。
ユーザーのブラウザには、WebサイトAのCookie（1st Party Cookie）と広告サーバーの発行したCookie（3rd Party Cookie）が保存されることになります。

広告サーバーによる3rd Party Cookieの保存

このとき、広告を設置しているWebサイトAのURLを参照し、広告サーバーはこれを記録します。

広告サーバーは、WebサイトAへのアクセス記録を保存する

次に、ユーザーが先程とは異なるWebサイトBにアクセスしたとしましょう。
もしWebサイトBにも、先程と同じ広告が設置されていたらどうなるでしょうか？
WebサイトBにアクセスすると、先程と同様の広告サーバーにもアクセスすることになります。
アクセス先のCookieをすでに持っている場合、ブラウザはそれをアクセス先に送ります（理由は後述）。
つまり、WebサイトAで発行されたCookieが広告サーバーに送られることになるのです。
そのため、広告サーバーは「WebサイトAにアクセスした人が、WebサイトBにもアクセスした」という記録を残すことができるのです。

WebサイトBにアクセス、WebサイトAで発行されたCookieを広告サーバーに送信

広告サーバーは、WebサイトBにアクセスした記録を追加する

これを繰り返すことで、広告サーバーにはどんどんユーザーのアクセス記録がたまっていきます。

Webサイトにアクセスするたびに、広告サーバーに記録されていく

Cookieをもとに、Webサイトのアクセス記録を追跡できる

このように、ユーザーがどのWebサイトにアクセスしたのかを収集・追跡することをトラッキングといい、トラッキングデータを分析することでユーザーの嗜好性などを把握することができるのです。
このトラッキングの仕組みを実現しているのが、3rd Party Cookieになります。

4.　Cookieはなぜ存在するのか

広告のトラッキングにおける3rd Party Cookieの利用方法を、ここまで解説してきました。
一方で、Cookieは広告のために生まれたものではありません。

そのため、次は下記を説明します。

「そもそも、なんでCookieって存在するの？」

これを知ることで、Cookieの考え方そのものはインターネットにおいて必要なものであること、自分たちでやるべきことも少し見えてくると思います。

Cookieとは

Webサーバーが、スマホやPCのブラウザに保存する、小さなデータファイルのことです。
このファイルには「このWebサイトにアクセスしたユーザーを識別するためのテキスト」が記載されています。
ユーザーはWebサイトにアクセスした際に、そのサイトが発行したCookieを送信します。
送信されたCookieをもとに、Webサイトはそのユーザーが過去にアクセスしたことのあるのかを識別することができます。これにSession情報を組み合わせることで、例えば「ログイン済みか？」「買い物かごに入れたままの商品は？」などを知ることが可能になります。

サービスのログイン時に、「次回からパスワードの入力を省略する」といったチェックボックスを見ることがあると思います。
これをCookieによって実装しているサービスも多いのではないでしょうか。

Webサイトへの初回アクセス時は、ログインが必要

次回は、Cookieを用いてログイン状態を確認し、ログインをスキップ

Cookieがないとどうなるの？

Cookieがないと、上記のようにユーザーを識別することができません。
なぜなら、Webサイトをアクセスする際の通信手段であるHTTPは、ステートレスという特徴を持っているからです。

ステートレスとはどういうことでしょうか？
ステートレスとは、直前までの状態を保持せず、あるリクエストをしたら必ず同じ結果になるものです。
先程のログインの例で言えば、次回アクセスにおいてログインの状態が保存されません。そのため、Webサイトにアクセスするたびにログインが必要になります。
試しにnoteにログインした後、Cookieを削除してから、ブラウザをリロードしてみてください。ログイン前の状態に戻るはずです（Cookie削除の方法は後述します）。
また、ECでの買い物の例で例えると、お買い物かごに商品を入れてもその中身を確認することができません。

Cookieを使ったお買い物

ステートレスなお買い物

このように、ステートレスだと不便な点が多いのです。
これを解決するための仕組みがCookieであり、Cookieを用いてユーザーの状態を管理する仕組みをSessionと言います。

Cookieの確認方法

Google Chromeのケースでご紹介します。

Chormeのデベロッパーツール

先程と同じ画像ですが、Chromeのデベロッパーツールを開くと、今アクセスしているWebサイトのCookieを確認することができます。
キーボードの「F12」を押すことで、デベロッパーツールを開くことができます。

Expiresとあるのは、Cookieの有効期限です。
有効期限が切れると、そのCookieは無効となるため、例えばログイン状態などが解除されます。
再びログインをすれば、新しいCookieが発行され、次の期限まではログイン状態が維持されます。

なおCookieは書き換えることができます。
上記画像では勝手に書き換えています。この状態で画面をリロードすると、自動でログアウトします。
理由は簡単で、Cookieを元にユーザーを識別しているからですね。書き換えてしまうと、識別できないため、ログイン前に戻るわけです。
またchrome://settings/cookies から、自身のCookieに関する設定や、保存されているCookieの一覧の確認、変更ができます。

補足:Cookieの保存先

筆者も混乱していたのですが、Cookieの保存先はPCやスマホのブラウザアプリケーションです。Google ChromeやSafariなどがそれに当たります。
PCやスマホの端末単位の保存ではありません。

そのため、同じスマホで同じWebサイトにアクセスしても、別ブラウザであれば同じ状態が再現されるとは限りません。
例えるならば、TwitterとFacebookは、同じSNSというジャンルであるものの、違うアプリです。
それと同じで、ChromeとSafariは、同じブラウザというジャンルですが、違うアプリです。
そして、Cookieはブラウザに保存されます。つまりアプリごとに保存されます。そのため別ブラウザを利用した場合には、異なる状況になる可能性があります。

そして、ブラウザを提供する各社ごとに、規制や対処状況も違います。これが、冒頭で述べたAppleとGoogleの対応の違いにつながっています。

ちなみに、DuckDuckGoのような「ユーザーの個人情報を保存しない」「検索履歴も保存しない」というプライバシー重視のブラウザもシェアを広げています。

DuckDuckGo。その匿名性の高さから、ダークウェブへのアクセスにも使われます。

5.　Cookie規制の今後について

Cookie規制への各社対策

上述の通り、3rd Party Cookieは今後規制の流れになっていきます。
そのため、これまでCookieを用いたトラッキング技術を強みとしてきた企業は大きな影響を受けており、すでに「Cookieレス」に向けた対策に動いています。
例えばCNAMEトラッカーと呼ばれる、CNAMEを利用することで3rd Party Cookieをあたかも1st Party Cookieに見せかけるような技術も用いられてきました。

2021年2月にプライバシーの研究者は「過去22カ月でCNAMEトラッカーが21％も増加しており、トップ1万サイトのうち約10％でCNAMEトラッカーが発見された」と論文を発表しました。このようにCNAMEトラッカーを利用するウェブサイトの95％が個人情報を扱うことも研究者は述べています。

ブラウザの追跡ブロック機能を回避する「CNAMEクローキング」を行うサービス・企業のリストが公開中

またデバイスフィンガープリンティングという、ユーザーの利用している端末のスペックやブラウザの種類・バージョン、利用言語などを組み合わせることで、アクセス元を同定する仕組みもあります。

しかしこれらもITPやGoogleはすでに規制の対象となっており、一時的な対策にしかなりえません。

その中でも動向を追っておきたいのは、Googleの発表しているプライバシーサンドボックスや、共通IDなどになります。

プライバシーサンドボックス

プライバシーサンドボックスとは、GoogleがCookieに代わる広告技術の代替案として提案しているものです。
Cookieを利用せず、ユーザーのプライバシーを守ることを前提に、ターゲティングができるような仕組みです。
プライバシーサンドボックスの導入が進む中で、3rd Party Cookieを段階的に廃止すると言っています。

プライバシーサンドボックスは、いくつかの技術から成り立っています。
その中でも広告技術と関連の強いFLoCでは、ブラウザの閲覧履歴が似ているユーザーを「コホート」としてグループ化し、コホートの単位でターゲティングをする仕組みの検討が進められていました。
なおFLoCはすでに廃止され、FLoCに代わってあらたに「Topics」を発表しています。

Topics は、ブラウザが、閲覧履歴に基づいて、たとえば「フィットネス」や「旅行」などといったその週に関心の高い項目（トピック）を選びます。これらの項目は、 3 週間だけ保存され、古い項目は削除されます。項目の選定は、Google や他の外部サーバーは一切介さず、完全に利用者のデバイス上だけで実行されます。Topics に参加するサイトにアクセスすると、過去 3 週間のそれぞれの週から項目を 1 つづつ、計 3 つ選び、そのサイトおよび広告主に共有されます。

~~中略~~

そしてなによりも、項目は慎重に選別されるため、性別や人種などといったセンシティブなカテゴリは含まれません。

プライバシー サンドボックスの新しい Topics API について

共通ID

共通IDとは、3rd Party Cookieを用いずに、別のIDを付与することで、ユーザーを識別するためのものです。

共通IDでは、まずユーザーの同意をもとに、暗号化された識別子を発行します。
次に、発行した識別子を統合サーバーで管理します。
そして統合管理されているものを、企業間で相互に運用することで、ターゲティングをすることを可能にします。
ユーザーを特定するための識別子も定期的に再作成されるため、ユーザーの個人情報を守ることが可能です。

共通IDは、これまで3rd Party Cookieとして企業ごとに管理されていたものを、統一されたIDに変更し、各企業の1st Party Cookieとして利用することで対策をしていると思われます。
そのため、3rd Party Cookieは用いないものの、1st Party Cookieには大きく依存しています。
共通IDを用いたエコシステムを構築するためには、ユーザーの同意を集められるかどうかが鍵になりそうです。

そんな中、共通IDの1つである「Unified ID 2.0」は、
・開発のオープンソース化により、多くの企業が参加できるようにしたこと
・開発元の企業が、別の企業に運用を引き渡すことで、中立性を担保したこと
によって、エコシステムの構築を進めているようです。

終わり

上記のような、3rd Party Cookieに代わる仕組みはまだ発展途上であり、今後も動向を追っていくことが必須になると思われます。

なお1st Party Cookie、つまり自社のWebサイトでユーザーを特定するために用いているCookieについては、Webの仕組みにおいて必要なものであるため、完全に禁止されることはないと考えています。
そのため、1st Partyのデータの活用によって、自社のWebサイトにアクセスしたユーザーに対してより良い体験を提供することは、今後も一層重要になるでしょう。

この記事の内容は以上になります。
量が多く、話が飛び飛びになっている箇所もあり、読みにくかったかもしれません。
ここまでお読みいただいた方、ありがとうございました。
誤りや指摘などあれば、お気軽にご連絡いただけますと幸いです。