Cookie規制の背景とその範囲

　PCやスマートフォンでインターネットにアクセスする際に使うブラウザには、Cookie（クッキー）と呼ばれるものに情報を記録する機能を持っております。例えばこれは、FacebookやTwitterなどのSNSに対してログインの際に必要なIDやパスワードの記憶、フォームへの入力情報の記憶やサイトの訪問記録など、CookieはWebへのアクセスや操作を便利にします。このCookieはブラウザの設定で有効にすることで機能しますが、これを無効にするとWebに正常にアクセスが行えないなど不便が生じることもあります。一方、Cookieがテキスト情報として記録される機能であるがゆえ、他人に見られてはいけない情報などの漏洩リスクも潜んでいます。
　Cookieは古くから使われている技術になりますが、いまこのCookieを取り扱う状況が2022年4月に施行される「個人情報保護法」の改正により変わります。具体的には、事業者は利用者に対して趣味・嗜好や閲覧履歴などのデータを収集、利用することを事前に同意を取得しその記録を作成・保存する必要があります。Cookieは行動を細かく監視するという特性があることと、それが「個人情報」と紐づいて個人が特定しやすくなることから、ともすればプライバシーの侵害にもなりかねません。
　ただ、Cookieには2種類あり、「1st Party Cookie」と「3rd Party Cookie」とに大別できます。「1st Party Cookie」は、訪問サイト内でのみ利用されるCookieで、サイト運営企業が発行しております。一方「3rd Party Cookie」は複数サイトをまたいで利用できるCookieであり、閲覧サイトとは異なるドメイン外で第三者が発行しております。今回の規制に関係するのは後者の「3rd Party Cookie」であり、これが法的には個人情報の第三者提供に該当するからです。よって、プライバシーの侵害につながる恐れがあり、今回各事業者にはユーザーに対してCookie利用に対する同意取得が求められております。
　なお、海外でいち早く規制されている例として、2018年に欧州で施行されたGDPR（EU一般データ保護規則）があります。GDPRでは、Cookieをはじめとするオンライン識別子を個人データの一つとして厳格に管理するように規定されております。他にも、アメリカ・カリフォルニア州で2020年に施行されたCCPA（カリフォルニア州消費者プライバシー法）や、2022年11月には中国でも中国個人情報保護法が施行される予定であり、この規制は世界的な動きとなっております。

Cookie規制による影響

　このCookie規制により、ブラウザを提供する企業にも動きが出ております。Apple社のSafariは、2017年にプライバシー保護機能としてITP（＝Intelligent Tracking Prevention）なるものを実装し、ローカル、1st Party Cookie、3rd Party Cookieそれぞれに有効期限を設け、一定期間を過ぎると無効になる機能をアップデートしております。また、Google社も2023年までに段階的に3rd Party Cookieのサポートを廃止することを発表しております。
　3rd Party Cookieが使えなくなるとどうなるか？例えば、Google検索における、オーガニック検索結果のパーソナライズです。 ユーザーがCookieを許可することで、Googleはユーザーの検索キーワードや現在地などを把握しております。それはGoogleの予測能力を高め、そのユーザーが求めるものを導きやすくしております。ただ、Cookieが遮断されることにより、あいまい検索が限定的になり、検索結果もごく一般的なものが表示されることになってしまいます。
　他にも、ターゲティング広告・リターゲティング広告に影響があります。3rd Party Cookieを利用するDMP（＝Data Management Platform）では、年齢やデモグラフィック属性、興味を推測するためのデータ取得をしています。また、DSP（＝Demand Side Platform）では、広告主がより効果的に広告を配信するためのツールであり、これがDMPと連携して緻密なターゲティング広告を配信できるのですが、それも制限されることになります。
　少々混同してしまいかねないのが、マーケティング・オートメーション（Marketing Automation）利用によるデータ取得です。お使いのクラウドサービスにより、1st Party Cookie を使っているか3rd Party Cookieを使っているかはまちまちです。でも、この議論はあくまで技術的なことであり、ドメイン外で第三者が発行しているかどうかに焦点が当てられております。ただ、今後は3rd Party Cookieが拒否されていく傾向なので、1st Party Cookieに対応したものを選び、ドメインを統合していく方向性が良いでしょう。

FLoCやZero Party Dataの考え方

　各社、Cookieを使わずに、どうすれば「顧客理解」ができるか、改めて検討がはじまっております。例えば、Googleでは個人追跡をやめ、個々人を群衆として理解するという、これまでとは異なる考え方があります。Googleが3rd Party Cookieのサポートを廃止することは先述したとおりですが、FLoC（＝Federated Learning of Cohorts）でユーザーをターゲティングする新たな仕組みの開発が進んでおります。1人のユーザーを追うのではなく、似たようなブラウジング習慣を持つブラウザをグループ化（コホート）するというものです。興味ベースでIDが付与され、かつ変化する興味ベースに対応して最適な広告を出せるようにすることで、Cookieを使わずプライバシーが保護された形となります。
　他にも、アメリカの調査企業であるForrester社は、従来の3rd Party Dataへの対比概念としてZero Party Dataを打ち出しております。これは許諾を得ずに収集したデータではなく、ユーザーが同意した上での申告データに基づいたものです。手法としてはアンケートなどに回答してもらい、企業やブランドによる丁寧なコミュニケーションによって1人1人の顧客理解を具体的にします。実際には1st Party Dataと紐づけて比較することで顧客解像度を上げ、ユーザーがより喜ぶようなサービスに向上させることができます。

---

　改めてCookie規制の本質を考えると、プライバシーの侵害にならないための法規制になります。それは技術的にCookieの代替が何なのか、ユーザーにとっては新たな広告配信手段や追跡方法が求められているわけではありません。ユーザーに対しては、適切な方法で同意を取り、行動を追跡・監視する感覚を与えない方法、かつユーザーが求める体験価値に基づいたコミュニケーションを提案することが大切なのではないでしょうか。

（株式会社フジプラス）