プライバシー時代にCookieの話は大切ですけど、なかなか混沌としていて、いまいちイメージがわきづらいですよね。そこで、Xにてお題を募集をしてみたところ、コスギさんからこんなご意見を頂きました。
そこで本記事では「Cookieの今までと、これから」と題して、ざっくりご説明したいと思います。
目次
1. ファーストパーティ?サードパーティ?Cookieってそもそも何?
最近よく聞くCookieですが、実体がどういうものかわからないという方は多いのではないでしょうか?
Cookieとは、ウェブサイトがブラウザ経由で皆さんのデバイスに保存する小さなファイルのことです。つまり皆さんのコンピューターやスマートフォンの中に保存されています。実際にみてみましょう。
Chromeの場合、MacOS上の実体は下記にあります。
~Library/Application Support/Google/Chrome/Default私のパソコン上だと、2.3MBと結構な大きさの1ファイルです。
このファイルには、たくさんのサイトのCookieが保存されており、具体的な中身はChromeの開発者モードで見ることができます。下記はhttps://quarka.orgサイト閲覧時に保存されているCookieの一覧です。
基本的にName(名前)とValue(値)の組み合わせで、様々な情報が保存されています。上記の一番上の行では、cookieyes-consentというName(名前)にconsentid:aFhKWEc2VI…というValue(値)が格納されていることがわかります。多くのウェブアプリケーションは、このCookieの値をうまく使って、様々な機能を提供します。
Cookieの種類
Cookieの仕組み自体は上記のようにシンプルなのですが、最近では、そのドメイン発行元の違いにより主に以下の2つの分類をよく見聞きするようになりました。
| ファーストパーティCookie | サードパーティCookie | |
|---|---|---|
| ドメイン発行元 | ユーザーが訪問しているウェブサイト自体が作成するCookieです。上記ではquarka.orgです。 | 外部ドメインが作成するCookieです。上記では.cookieyes.comです。 |
| 用途 | Googleアナリティクスなどのアクセス解析、ユーザーのログイン情報、カート内の商品の情報などを保存するために利用されます。 | ターゲティング広告の表示や、ドメインを超えた広範囲にわたるユーザーの行動分析に利用されます。 |
2. Cookieの発祥
Cookieの発祥は1994年にさかのぼります。
Netscape Communications社のプログラマーであるLou Montulli(ルー・モントゥリ)が、初めてCookieの概念を開発しました。
ウェブサイトは今でもステートレス(何も情報が保存できない)
ウェブサイトは基本的にステートレス、つまり何の情報も保存できない技術となっており、ページ間でデータを保持することができません。そのため、ユーザーがページを移動するたびにショッピングカートの内容がリセットされる問題が発生ました。
モントゥリは、ユーザーのデバイスに小さなテキストファイルを保存し、その中にショッピングカートのデータを保持する方法を考案しました。これにより、ユーザーがサイトを離れてもカート内の商品が保持され、利便性が大幅に向上しました。このCookieと名付けられた技術はすぐに広まり、さまざまなウェブサイトで利用されるようになり、今でもメインの保存技術として重宝されています(※)。
※現在のウェブ技術では、Cookieより保存に便利なローカルストレージなども追加されていますが、原理はCookieの拡張に近く、特にプライバシー問題においては同等技術と考えて大丈夫です。
3.Cookieのセキュリティ対策
Cookieは便利だったため、ショッピングカートの情報だけでなく、ユーザーの個人情報やログイン情報なども保存されるようになります。従ってもしCookieが誰でも簡単にアクセスできる場合、大きなセキュリティリスクになってしまいます。
Same-Origin Policy(同一生成元ポリシー)の誕生
Cookieを誰からも覗けないようにするため、実際にNetscape CommunicationsがCookieを実装した1994年にはあるドメインが設定したCookieは、そのドメインからのみアクセスできることを保証しました。これをSame-Origin Policyとよび、他サイトからデータののぞき見を阻止しました。これらセキュリティ技術は1990年代後半には定着し、その後も進化し続けています。
ファーストパーティ・サードパーティの区分が生まれる
Same-Origin Policyにより、自然とファーストパーティとサードパーティの違いが生まれました。先ほどの表を再掲します。
| ファーストパーティCookie | サードパーティCookie | |
|---|---|---|
| ドメイン発行元 | ユーザーが訪問しているウェブサイト自体が作成するCookieです。上記ではquarka.orgです。 | 外部ドメインが作成するCookieです。上記では.cookieyes.comです。 |
| 用途 | Googleアナリティクスなどのアクセス解析、ユーザーのログイン情報、カート内の商品の情報などを保存するために利用されます。 | ターゲティング広告の表示や、ドメインを超えた広範囲にわたるユーザーの行動分析に利用されます。 |
Cookieに関わらずファーストパーティとサードパーティは一般的な用語で「製造元は誰か?」ということを表しています。たとえばSwitch用のゲームを任天堂が作ればファーストパーティ製、コナミが作ればサードパーティ製と言われます。
外部ドメインが作成するサードパーティーCookieとは?
普通に考えると、ファーストパーティCookieだけで事は足ります。それなのに、なぜサードパーティCookieは生まれたのか?これこそが現代の広告技術、およびプライバシーに関連し、サードパーティCookieの廃止にも繋がる流れとなります。
(余談)「○○パーティデータ」という造語
最近ではプライバシーの文脈で、データについて○○パーティデータという言葉がよく利用されます。定着しそうなのでご紹介しますが、これらはCookieとは無関係の造語ですので、混同しないようにしましょう。
- ファーストパーティデータ
- 企業が直接収集する顧客関連データのことです。顧客の購入履歴など。
- ゼロパーティーデータ
- 顧客が進んで企業に提供するデータのことです。プレゼントと引き換えに個人情報を提供するなど。
4. ユーザー追跡で使われるようになったCookie
Cookieは次第に広告業界やアクセス解析のためにユーザー追跡の手段として利用されるようになりました。 特に広告業界では、Cookieを利用してユーザーのオンライン行動を追跡することで、個々の興味や関心に基づいたターゲティング広告を表示します。これにより、広告の効果が大幅に向上し、広告主にとっても費用対効果が高まります。
広告でのサードパーティCookieの利用
ユーザーは、毎日どのようなサイトを閲覧し、どのような行動をとっているのか?このデータが手に入れば、広告の精度は飛躍的に高まります。この目的のためにサードパーティCookieが使われ始めました。イメージ図を下記に示します。
JavaScriptのタグを貼ることで、Googleなどの広告配信サービスと通信を行い、Google.comから読み取れるCookie(サードパーティCookie)を発行してユーザーのブラウザにセットします。これによりサイトを横断してユーザーを追跡することが可能になります。これがサードパーティーCookieのメリットです。
アクセス解析では主にファーストパーティCookieが利用される
GoogleアナリティクスやMicrosoft Clarity、また弊社のQA ZEROもそうですがアクセス解析では、主にファーストパーティCookieを使ったユーザー追跡が利用されます(※)。なぜならアクセス解析は「特定サイトのアクセス」がわかればよく、サイトを横断してデータを取得する必要はないからです。
※サードパーティCookieを利用するアクセス解析ソフトウェアがあるかも知れませんが、私は知りません。サイトを横断する必要がないのに利用するメリットが薄く、逆にブラウザからトラッキングをブロックされる確率があがるなどデメリットの方が多いからだと思います。
クロスドメイントラッキングの問題
アクセス解析ではファーストパーティーCookieを利用するため、サイトを横断した分析は原則不可能です。この問題に対処するため、多くのアクセス解析ツールでは「クロスドメイントラッキング」を用意しています。具体的には、URLパラメーターを使ってIDを引き継ぐことで、複数ドメイン間でユーザーIDを共通化させます。
しかし、これはサイトを横断した分析という意味で、サードパーティCookieと同じ問題を抱えているといえるでしょう。AppleのITPは既にクロスドメイントラッキングを制限しています。
5. Cookie規制の流れ
サードパーティーCookieを利用することで、どんどん広告の精度は向上し、『勝手に広告が追っかけてくる」リターゲティング広告も登場しました。しかし行き過ぎた広告技術により、多くのユーザーが自身のデータがどのように使用されるのかに対して懸念を抱くようになり、各国でプライバシーに関する規制やガイドラインが整備され始めました。またAppleのような広告に頼らないベンダーは、ブランディングの一貫としてもプライバシー重視のメッセージを強化し始めました。
2017年:AppleのITPの登場
2017年、AppleはSafariブラウザに「Intelligent Tracking Prevention(ITP)」を導入しました。ITPは、サードパーティCookieを制限し、クロスサイトトラッキングを防止する機能を持っており、ユーザーのプライバシー保護を強化するもので、その後も、どんどん進化しています。基本的に、無断でユーザーを追跡するような怪しい動きを一切許可しない方向で、メジャーなアクセス解析ツールであるGoogleアナリティクスのCookie有効期限が7日になったり、サードパーティCookieの保存期間が1日になるなど、どんどん匿名性を高くし、追跡させない処置がなされています。下記に紹介する記事のように、なんとか回避しようとする企業側の動きもありますが、もはやいたちごっこで時間の問題になってきています。
例:ITP 2.2以前では、クエリ・パラメータは識別子やその他の情報をURLで直接渡すために使用されていました。たとえば、pub.com?user_id=123のように。ITP 2.2では、Appleはクライアントサイドクッキーの有効期限を24時間に短縮することで、このようなユースケースをターゲットにしました。企業はpub.com?user_id=123に直接リンクする代わりに、redirect.com?user_id=123&dest=pub.comにリンクすることで、これを回避し始めました。ユーザーは、URLパラメータなしでpub.comにリダイレクトされますが、リファラーURL(redirect.com?user_id=123&dest=pub.com)を見ることで、user_idにアクセスすることができます。
Example: Pre-ITP 2.2, query params were used to pass identifiers and other information directly in the URL. For example, pub.com?user_id=123. In ITP 2.2, Apple targeted those use-cases by reducing the time-to-expiry of client-side cookies to 24 hours. Companies began to circumvent this by using a redirect service: instead of linking to pub.com?user_id=123 directly, a company would link to redirect.com?user_id=123&dest=pub.com. The user would be redirected to pub.com without the URL parameters, but could still access the user_id by looking at the referrer URL, which would be redirect.com?user_id=123&dest=pub.com
https://support.permutive.com/hc/en-us/articles/360010633459-Safari-s-Intelligent-Tracking-Prevention-2-3-ITP
2018年:GDPRの施行
2018年5月25日にはEUの一般データ保護規則(GDPR)が施行されました。GDPRは、データ保護に関する包括的な法律であり、企業が個人データを収集・処理する際に厳格な規制を設けています。特に、Cookieの使用に関しては、ユーザーの明確な同意を得る必要があり、多くのサイトでCookie同意バナーが表示されるようになりました。GDPRは、違反した場合の罰則も厳しく、多くの企業がデータ保護の体制を強化するきっかけとなりました。このCookie規制はファーストパーティCookieもサードパーティCookieも両方が対象です。
2020年:CCPAの導入
2020年1月にカリフォルニア州でカリフォルニア消費者プライバシー法(CCPA)が施行されました。CCPAは、消費者が自身の個人データにアクセスし、削除し、第三者への販売を拒否する権利を持つことを保証する法律です。アメリカ版GDPRのようなものです。また当初はカルフォルニア州が先陣を切っていましたが、2024年現在、数多くの州が追随しています。
現在:加速するプライバシー保護とCookie規制
AppleのITPやGDPR、CCPAの影響を受けて、他のブラウザベンダーも同様のプライバシー保護機能を導入し、各国も従う流れとなってきています。Googleも例外ではいられず、2020年にChromeブラウザでサードパーティCookieの廃止を計画し、先日延長は発表されましたが2024年から段階的に実施しています。また、Mozilla Firefoxも「Enhanced Tracking Protection(ETP)」という機能を導入し、サードパーティCookieをブロックする措置を講じています。
6. これからのCookieと代替技術
今までみてもらったように、Cookieはステートレスなウェブサイトにおいて、データを保存できる仕組みであり、様々な用途で重宝されてきました。しかし、特にCookieを使ったユーザー追跡に規制が厳しくなってきたことで、広告、アクセス解析、またウェブ接客ツールなどに多大な影響を及ぼしてきています。本当にCookieがなかった時代にまで遡って考える必要が出てきているのが現在地です。
Cookieレスの影響
サードパーティCookieは完全廃止の方向、そしてファーストパーティCookieも、ユーザーの同意がなければユーザー追跡の目的では使えない未来が迫ってきています。そうなった場合の影響についてまとめてみます。
1.広告効果が悪化
ユーザーを追跡できず興味関心などがわからないので広告精度は必ず落ちます。これはもう逃れる術はないですし、実際にアプリ業界では既に起こった事実でもあります(下記の記事参考)。
2.アクセス解析で記録ができない
ページ遷移を保存できないので、セッションが繋がらなくなります。つまりPVがぶつ切りになったデータになってしまいます。当然、どこの参照元からコンバージョンしたかもわかりません。
3.ウェブ接客ツールの精度が悪くなる
参照元を判断したり、ユーザーを判別した接客はできなくなります。
代替技術は何がある?
エッジ処理
エッジ処理とは、データをユーザーのデバイス側で処理し、サーバーに送信せずにローカルで完結させる方法です。
Googleが提案する「プライバシーサンドボックス」は、エッジ処理の一例です。この技術は、ユーザーのブラウザ内でデータを処理し、個々のユーザーの行動データを匿名化して保持する代わりに、集約されたデータを利用して広告を配信します。広告主はこれらのデータを利用することで、個々のユーザーのプライバシーを保護しつつ広告の効果を維持することができます。
ただし、エッジ処理にはいくつかの課題があります。デバイス側での処理能力やバッテリー消費に対する影響が懸念されます。また、データの匿名化が不十分な場合、ユーザーのプライバシーが侵害されるリスクもあり、実際に米国のIAB TECH LABはGoogleのプライバシーサンドボックスに懸念を示しており、実現までの道のりは遠そうです。
プライバシー・サンドボックスに関するタスクフォースの懸念に変更はありません。私たちは、メディア企業が収益を最大化する能力に対して、ブランドにとっての広告の有用性のバランスをとることによって、強固でオープンなウェブをサポートするために必要なものには程遠いと主張しています。
The Task Force’s concerns with the Privacy Sandbox remain unchanged. We maintain that it falls well short of what is needed to support a robust open web by balancing advertising utility for brands against media companies’ ability to maximize revenues.
https://iabtechlab.com/iab-tech-lab-releases-final-privacy-sandbox-fit-analysis
機械学習による補完
広告効果、アクセス解析、ウェブ接客ツールなど、様々な分野において機械学習を使って、ユーザーを推測する試みがはじまっています。しかしここはプライバシーサンドボックスと同様うまくいくかは未知数です。データというと抽象的な概念になりやすいですが、「証拠」というイメージで捉えると、機械学習やAIでできそうなことがわかってきます。機械学習の推測精度をあげるには、証拠データの質が重要ですが、Cookieが存在しないウェブサイトで使えるデータは限られています。たとえば「Google検索から来て『ゴルフのルール』」というページを見ているユーザーがいる」とわかったところで、機械学習で何が推測できるでしょうか。
Googleが明確にしているのは、Googleアカウントでログインしているデータを活用すること、また上述のプライバシーサンドボックスを活用することですが、プライバシーサンドボックスはまだ承認されてはいません。
おそらく今後、標準で取得するイベントデータを増やして、推測精度をあげる調整がされると私は想定しています。しかし無料でやれる範囲を増やしてもGoogleには利益がないので、主に「コンバージョンも含む広告の最適化(これはGoogle広告だけに限らない)」に向けた部分を強化するでしょうし、おそらくMicrosoftも広告において似たような技術を投入していくると想定しています。
最近GoogleはGA4に関して今後のアップデート計画を出してきましたが、それも上記のような示唆を含んでいると思われます。業界のリーダーであるアタラ杉原さんのツイッターが詳しいのでご紹介します。
サーバーログなどでユーザー識別
Cookieを使わず、サーバーログ分析のようにサーバーサイドの技術でユーザーを識別していく方法があります。QA ZEROはこの方式を採用しています。ただし、ユーザーに識別子を付与をしているわけではなく、あくまでサーバー側で与えられた情報をもとに、同一ユーザーだと推測してセッションの維持をする、という技術です。
キャリアがユーザー識別
Cookieを使わずとも個人の端末を追跡できる可能性が高いのがDocomoなどのキャリアです。彼らは膨大な個人データを保有しており、端末もIPアドレスも全て把握しています。またユーザーから許可も得やすい立場にあるので、広告配信ベンダーと組んで大きな広告配信プロバイダになりうる可能性があり、実際にそういったサービスがリリースされてきています。
7. ユーザー追跡について考え直すタイミングが来ている
ユーザー追跡は、広告の効果を最大化し、UXを向上させるための重要な手段です。しかし、その一方で、ユーザーのプライバシーを侵害するリスクもあります。
行き過ぎたユーザー追跡技術、およびグローバルテック企業に対抗する国家という構図ができあがった結果、ユーザーを追跡するデータを独占する企業が支配するような世界は崩壊し、ゼロリセットされたといえるかも知れません。Cookieがない世界で、ユーザーを完全に追跡する技術は存在しません。
ポストCookie時代の未来予測
今までできてなかったことができなくなると、少し怖くなるかも知れません。
しかし、Cookieレスの世界が目指しているのは「ユーザーに正々堂々といえるサービスを展開すれば安全ですよ!」ということだと思っています。
今後、経済的な短期優先でいえば、ユーザーを騙すような形でユーザー同意をとっていく手法が流行るかも知れません。しかし、海外では無理矢理Cookie拒否をできないようにしたことで250億円の罰金を課せられた事例もあり、リスクを考えると、大手企業ほど二の足を踏むようなっていくでしょう。
私は、Cookieなき未来の予測はシンプルだと思っています。
- 無断でデータをとるなら法的リスクなく、ユーザーも嫌じゃないとり方をする
- サーバーログの取得に文句をいうユーザーはいないでしょう。
- ユーザー追跡をするなら、ユーザーが面倒くさくなく納得のいくとり方をする
- UIの工夫や伝え方の工夫で、情報提供してくれる可能性もあがります。
- Cookieレスの影響を予測し、データを使ってやること、データがなくてもやることの整理
- ビジネスは不確実で無形資産含めまわっており、データはその一部の記録です。
もし自社のウェブサイトで、上記にあわせてどうすべきか?と悩まれている方はご相談ください。状況をお聞きして、オンラインでいろいろお話できると思います。相談だけでも大丈夫です。
また何か他にもCookieについて扱ってほしいテーマがある方は、私のツイッターまでご連絡ください!