3rd Party Cookieとは?仕組み・最新の規制を分かりやすく解説
- 「3rd Party Cookieを廃止・規制する動きが強まっている」
- 「Cookie規制の影響で、広告効果が正しく測定できなくなっている」
最近このような内容を耳にした方は多いのではないでしょうか。
近年、プライバシーや個人情報保護の観点から、3rd Party Cookieを規制する動きが強まっています。なぜ3rd Party Cookieは問題視されているのでしょうか?
この記事では、「3rd Party Cookieが規制される理由」を理解するために、図解を用いて詳しい仕組み(流れ)を解説していきます。
Cookieには「1st Party Cookie」と「3rd Party Cookie」の2種類がありますが、主な規制対象となっているのは3rd Party Cookieです。
3rd Party Cookieは今後も更なる規制強化が予想されますが、自社ブラウザで収集した1st Party Cookieはこれまで通り計測することが可能です。
ぜひこの記事を最後までお読みいただき、「Cookie規制が強まるなかで、広告主側の企業が今後すべきこと」のヒントやアイデアを見つけていただければ幸いです。
1. 3rd Party Cookieとは
3rd Party Cookieの意味を正しく捉えるため、Cookieの基礎知識から理解していきましょう。
1-1. Cookieとは
Cookieとは、ユーザーがWebサイトに訪問したときに、ChromeやSafariなどのブラウザに行動ログや入力情報を保管できる仕組みのことです。
Cookieを活用すると以下のようなメリットがあり、ユーザーとサイト運営双方に便利な仕組みといえます。
ユーザー側は、cookie情報が残っていれば住所や電話番号を再入力する手間が省けます。
サイト運営側は、ユーザーの行動をトラッキングできる点がメリットです。閲覧履歴や購入履歴、流入経路などを取得でき、サイト改善やマーケティングに活かせます。
1-2. 3rd Party Cookieは第三者が発行するCookie
1-1で解説した内容は、Cookieの中でも、訪問先のドメインが発行する「1st Party Cookie」についての内容です。
Cookieにはもう1つ、第三者ドメインが発行する「3rd Party Cookie」があります。
3rd Party Cookieは、訪問したサイト以外の「第三者」ドメインが発行します。これを使うと、ドメインをまたいだ広告出稿やトラッキングが可能です。
一方で、3rd Party Cookieは、近年個人情報やプライバシーの観点から疑問視され始めました。
ユーザーからすると「知らない間に第三者に個人情報が活用されている」「プライバシーの侵害ではないか」と感じる声もあり、3rd Party Cookieを規制する動きがあります。
※ 規制については、「4. 3rd Party Cookieの規制・廃止の状況」で後述します。
2. ユーザーから見た3rd Party Cookieの仕組み
ここからは、3rd Party Cookieの仕組みをさらに深く理解するため、具体例を使って流れを解説していきます。
ここでは「リターゲティング広告」を例として、3rd Party Cookieがどのような仕組みか見ていきましょう。
リターゲティング広告とは、自社サイトの訪問履歴があるユーザーを追跡し、別サイト上に広告を出稿できる仕組みです。
ここでは、不動産情報サイトAを閲覧したユーザー(田中さん)に対して、その後に訪問した別のサイトBで「Aの広告バナー」が表示される例を見ていきます。
2-1. ユーザーが不動産情報サイトAを訪問
ある日、田中さんは「そろそろマイホームがほしいな」と考え、不動産情報サイトAを閲覧しました。しかし住みたいエリアのマンション販売価格を見て「まだ購入は難しいかな…」とサイトを離脱しました。
田中さんが訪問した不動産情報サイトAには、リターゲティング広告を表示するための解析タグ(JavaScript)が設定されていました。
田中さんがサイトAに訪問したことを解析タグが検知し、リターゲティングの広告サーバーにその情報が送信されます。これを「タグが発火する」といいます。
2-2. ユーザーのブラウザのCookieにユーザー識別子が保存される
情報を受け取った広告サーバーは、ユーザーを識別するIDを発行し、データベースに保存します。
広告サーバーがブラウザにユーザーIDを送付し、ブラウザがそれをCookieに保存・管理します。
2-3. 別サイトBを訪問にサイトAの広告が表示される
不動産情報を見た翌日、田中さんはいつもチェックしているニュースサイトBにアクセスしました。すると、不動産情報サイトAで見たエリアのマンション情報が、広告バナーとして表示されました。
ニュースサイトBの内容は不動産情報とは関係がないのに、田中さんは「なぜこの広告が表示されたんだろう?」と不思議に思いました。
実は、ニュースサイトBには広告配信スペースが設置されており、ユーザーごとに最適な広告が配信される仕組みとなっていました。
田中さんがニュースサイトBを訪問すると、ブラウザのCookieに保存されていたユーザーIDを元に、広告配信のリクエストが行われます。広告サーバーは田中さんが不動産情報サイトAを訪問していた履歴を元に、この広告スペースにAが出稿している広告を配信したのです。
このように、第三者が発行する3rd Party Cookieによって、閲覧履歴に基づいた広告出稿が可能となります。
3. 広告主から見た3rd Party Cookieの仕組み
今度は、広告主から見た3rd Party Cookieの仕組みを解説していきます。
広告にもいろいろな種類がありますが、ここでは「ディスプレイ広告」をクリックした場合の具体例を見ていきましょう。
3-1. ユーザーがディスプレイ広告から自社サイトを閲覧
ユーザーが外部サイトに表示されたディスプレイ広告をクリックして、広告主のサイトに遷移します。
3-2. 広告サーバにクリックデータが送られる
ユーザーが広告経由で広告主のサイトに遷移した瞬間、クリックデータが広告サーバーに送られます。同時に、広告サーバーからユーザーのブラウザに、ユーザーIDが付与されます。
3-3. ユーザーIDを持ったユーザーがコンバージョンする
ユーザーが広告主のサイト内容に興味を持ち、資料ダウンロードを行ったとします。
Cookieを持った状態でコンバージョンが達成されると、コンバージョンデータとCookie情報が広告サーバーに送られます。
3-4. コンバージョンを達成した広告の成果が上がる
コンバージョンデータとCookie情報が送信された結果、「この広告経由でコンバージョンが1件達成された」ということが広告媒体管理画面で確認できます。
4. 3rd Party Cookieの規制・廃止の状況
3rd Party Cookieは広告主にとっては便利な仕組みですが、ユーザーからすれば「自分の個人情報が勝手に使われている」と感じる原因となります。
例えば、転職サイトを閲覧後、別のサイトにも転職関連の広告が表示されるようになった。―このようなケースでは「自分の行動を追跡されているようで嫌だ」と感じるユーザーも多いでしょう。
プライバシーや個人情報の観点から、近年3rd Party Cookieに対する規制が強まっています。
4-1. 法律による3rd Party Cookie規制
国内外では個人情報保護を目的とした法律の整備が進んでおり、Cookieに関わる具体的な対応が求められています。
EU(欧州連合)では、Cookie規制をEU域内で統一するための整備を進めているところです。以下の表は、EUにおける主な法規制をまとめたものです。
▼ EUにおけるCookieに関わる法規制の内容
| 2002年施行 2009年改正 | ePrivacy指令 | ・EUにおける電子通信サービスにおける個人データ処理とプライバシーの保護に関する指令であり、加盟各国において同指令に基づいた国内法Cookieを除き、Cookie利用時の明確かつ包括的な説明及び同意取得を義務化 |
|---|---|---|
| 2018年施行 | GDPR (一般データ保護規則) | ・EU域内の個人データやプライバシーの保護に関する規則 ・Cookieに拠り得られるデータを含む個人データの処理時の条件や同意取得の要件等がより厳格化 |
| 2024年 | ePrivacy規則 | ・制定に向けて議論中 |
米国では州法レベルで包括的な個人データ保護法を制定する州もあります。以下の表は、米国における主な法規制をまとめたものです。
▼ 米国におけるCookieに関わる法規制の内容
| CCPA (カリフォルニア州消費者プライバシー法) | ・カリフォルニア州の個人情報保護に関する法律 ・Cookieデータを含む個人情報の収集時または収集前の情報提供義務を課している ・ユーザーが個人情報を第三者に販売されるのを止めたいときに利用停止(オプトアウト)できる仕組みを義務化 |
|---|---|
| CPRA (カリフォルニア州プライバシー法) | ・カリフォルニア州の個人情報保護に関する法律であり、CCPAの改正法と位置付けられる ・CCPAよりも厳格な基準で個人情報収集時の情報提供の規則を設けている ・個人情報の第三者への販売のみならず共有する場合にもオプトアウトする権利を制定 |
| VCDPA (バージニア州消費者データ保護法) | ・バージニア州の個人情報保護に関する法律 ・管理者が個人データを第三者に販売する場合等のオプトアウト権の行使方法について明確かつ目立つように開示するように義務化 |
| CPA (コロラドプライバシー法) | ・コロラド州の個人情報保護に関する法律 ・管理者が個人データを第三者に販売する場合等のオプトアウト権の行使方法について明確かつ目立つように開示するように義務化 |
日本では2022年4月に「改正個人情報保護法」が、2023年6月に「改正電気通信事業法」が施行されています。改正電気通信事業法では、主に3rd Party Cookieを活用する場合を想定した規制が設けられました。
▼ 日本におけるCookieに関わる法規制の内容
| 改正個人情報保護法 (2022年4月施行) | ・「個人関連情報」という概念が新設され、Cookieデータも個人関連情報に含まれる可能性がある ・ある事業者(提供元)が第三者(提供先)に個人関連情報を提供する際、当該第三者(提供先)が提供された個人関連情報を自社(提供先)で保有する個人情報等と組み合わせることで、特定の個人を識別できるかたちで提供を受けることが想定される場合、提供元に「本人同意が得られていること」を確認し、記録することが義務付けられた。(本人同意を得るのは提供先。ただし、提供元による同意取得の代行も可能) |
|---|---|
| 改正電気通信事業法 (2023年6月施行) | ・3rd Party Cookieデータを含む利用者情報を第三者に提供する場合に「所定の事項を事前にユーザーに通知」「事前にユーザーの同意を取得」「外部送信を後から拒否できる仕組みを導入し、ユーザーに周知・公表」のいずれかに対応することを義務化 |
このように、3rd Party Cookieデータの活用は、国内外ともに法律に基づき、規制されつつあります。
4-2. ベンダー企業による規制(Apple・Googleなど)
法律の規制とともに、ブラウザ側の規制も進んでいます。
特に規制が厳しいApple社の「Safari」ブラウザでは、既に3rd Party Cookieは全面ブロックされています。つまり、Safariブラウザ利用者に対しては、3rd Party Cookieを使った広告配信やトラッキングはできない状況となっています。
| 日本での シェア(※) |
サードパーティ Cookieの規制 |
ファーストパーティ Cookieの規制 |
|
|---|---|---|---|
| Safari (Apple社) |
24.39% | 全面ブロック (使用できない) |
サーバー発行以外で付与の場合は最大7日で削除 |
| Chrome (Google社) |
55.42% | ー | 最大400日で削除 |
| Edge (Microsoft社) |
13.12% | トラッカーは規制対象 | 最大400日で削除 |
| Firefox (Mozilla社) |
3.81% | トラッカー以外はサイトごとに隔離 | ユーザー操作がないトラッカードメインの場合には定期的に削除 |
| その他 | 1.57% | ー | ー |
Cookie規制についてさらに詳しく知りたい方は、こちらの記事もお読みください。
5. 3rd Party Cookie規制による影響
ここまで解説してきたように、ブラウザや法律による3rd Party Cookie規制は進んでいます。
その結果、3rd Party Cookieを利用した下記のようなWeb広告配信や効果測定にも、影響が出始めています。
| ドメインを横断した トラッキング | 自社ドメイン外を含むユーザーの行動を追跡(トラッキング)する仕組み |
|---|---|
| リターゲティング広告 | 自社サイトの訪問履歴があるユーザーを追跡し、広告を表示できる仕組み |
| 行動ターゲティング広告 | ユーザーの行動履歴を分析して個人属性を推論し、ユーザーが興味を持ちそうな広告を出稿する手法 |
| アフィリエイト広告 | 個人ブログなどで商品やサービスを紹介してもらう仕組み。3rd Party Cookieを利用すると、どのアフィリエイトリンク経由でコンバージョンしたかを判別できる |
Web広告配信や効果測定に影響が出ると、マーケティング施策において正しい意思決定ができなくなります。
では、マーケターはどのような対策を実施すればいいのでしょうか。次の章では、3rd Party Cookieが規制・廃止されるまでにやるべきことをご紹介します。
6. 3rd Party Cookieが規制・廃止されるまでにやるべき3つのこと
ここでは、3rd Party Cookieが規制・廃止されるまでにやるべき3つのことをご紹介します。
- 3rd Party Cookieの代替技術を理解する
- 効果計測には1st Party Cookieを利用する
- 広告配信にはコンバージョンAPIを活用する
「広告配信」と「効果測定」の2軸で対策できる方法に触れているので、参考にしてみてください。
6-1. 3rd Party Cookieの代替技術を理解する
3rd Party Cookieの規制が強化されても、代替技術を活用できるケースがあります。
3rd Party Cookieの代替技術には、以下のようなものがあります。どの方法も、広告配信や効果測定に活用できます。
| ファーストパーティデータ | 第三者を介さずに自社で収集し、保有しているデータ。自社のWebサイトで収集した顧客の氏名、メールアドレス、住所、購入履歴、閲覧履歴などが挙げられる。 |
|---|---|
| 共通IDソリューション | 様々なサービスやシステム間で利用できる共通のIDの総称。メールアドレスなどの情報を暗号化する「確定ID」と、Web上でのユーザー行動やデバイスの種類などから似たような行動をするユーザーに特定のIDを振り分ける「推定ID」の2種類がある。 |
| フィンガープリンティング | Webブラウザから取得可能なデータ(IPアドレスやOSなど)を組み合わせてWebサイトを訪問したユーザーが同一人物であると推定する技術。 → Apple・Google・Mozillaがフィンガープリンティングの規制を公表している |
| ブラウザのAPI | Cookieに依存せずターゲティングや広告配信、効果測定を行うブラウザのAPI。Google社の「Privacy Sandbox」などで検討されている。 |
例えば、広告の配信では共通IDソリューションを活用することで、特定のユーザーに向けたターゲティング広告が実現できます。
また、Google社がCookie規制の代替策として提供を予定している「Privacy Sandbox」にも注目が集まっています。このように、3rd Party Cookieに依存せず広告配信や効果測定ができることも理解しておく必要があるでしょう。
ただし、代替技術は上記でご紹介した以外にも数多くあり、設定や運用に専門知識が必要です。マーケティング担当者が使いこなすには、ハードルが高いかもしれません。そこで、次に紹介する「1st Party Cookie」と「コンバージョンAPI」の活用を検討してみてください。
6-2. 効果計測には1st Party Cookieを利用する
3rd Party Cookieの規制が強化されると、正確なコンバージョン数を計測できず、広告の費用対効果を把握することが難しくなります。
そこで、3rd Party Cookieへの依存から脱却し、1st Party Cookieを活用した計測・分析環境を整備することが、広告効果を正確に測定するためには大切です。
1st Party Cookieは、ユーザーが訪問したサイトのドメインが発行したCookieです。2024年時点ではサーバー発行の1st Party Cookieへの規制はないため、問題なく使用できます。
| 1st Party Cookie (規制対象ではない) |
3rd Party Cookie (規制が進んでいる) |
|
|---|---|---|
| 発行元 | ユーザーが訪問したサイトのドメイン | ユーザーが訪問したサイト以外のドメイン |
| 主な用途 |
・ログイン状態の維持 ・入力情報の保持 ・カート情報の保持 ・サイト内のユーザー行動をトラッキング |
・リターゲティング広告(アクセス履歴のあるサイトの商品を別サイトに広告として表示) ・ドメインを横断したユーザー行動のトラッキング |
※アドエビスではデフォルトで1st Party Cookieを使った計測を行っていますが、
ITPによるCookie規制に対応した計測を実現するITP対応プログラムも提供しています。設定方法はこちら
6-3. 広告配信にはコンバージョンAPIを活用する
3rd Party Cookieの規制が進むと、従来のCookieを用いた広告効果計測ではコンバージョンデータの欠損が増えます。すると、精度の低いデータをもとに広告配信の判断を行うことになります。広告媒体の機械学習の精度も低下するので、広告の成果が悪化する可能性もあるでしょう。
3rd Party Cookieを使用せず広告配信の最適化をするためには、「コンバージョンAPI(CAPI)」の活用がおすすめです。
コンバージョンAPIとは、サーバー経由でコンバージョンを計測する方法です。
Cookieを使用するデータ計測方法では、Cookieを発行し必要なデータを広告媒体サーバーに送信していました。一方のコンバージョンAPIでは、広告主のサーバーから広告サーバーへ直接イベントデータを送信できます。このイベントデータには、広告主が保有する顧客の個人情報や行動履歴などのファーストパーティデータが含まれます。ファーストパーティデータを機械学習に活用するため、3rd Party Cookieの規制の影響を受けません。
複数媒体を網羅できるコンバージョンAPIなら、リターゲティング広告などのターゲティング精度の維持・向上も期待できます。近年はコンバージョンAPIに関するサービスがいくつも出ていますが、簡単な設定で運用できるツールを選択すると良いでしょう。
アドエビスでは、コンバージョンAPIツール「CAPiCO」を提供しています。製品紹介をまだご覧になっていない方は、下記よりぜひ一度ご覧ください。
月額1.5万円でだれでもカンタンに使える!
コンバージョンAPIツール「CAPiCO」とは
7. おわりに
本記事では3rd Party Cookieの概要や規制内容、対策など3rd Party Cookieに関する基礎知識をまとめて解説しました。
3rd Party Cookie規制が進む中、3rd Party Cookieに依存した広告配信や効果測定では、正しい意思決定がしづらくなります。だからこそ、3rd Party Cookieに頼らない環境を整えていくことが大切です。
本記事で紹介した対策を実施し、1st Party Cookieを活用した精度の高い効果測定に広告運用のPDCAを正しく回せるようにしていきましょう。
