ITPによるサードパーティCookie防止(Google Chromeサポート終了は2023年末に延長)
GoogleはサードパーティCookieのサポートを終了すると発表しました。
サードパーティCookieを制限するのはCookie情報もユーザーの個人情報にあたるので保護が必要なためです。
アドテク系の会社が大打撃を受けますので、Cookie情報に頼らない新しい仕組みの構築が急がれます。
GoogleサードパーティCookieサポート終了延長を発表
Google ChromeのサードパーティCookieのサポート終了期限が2023年末に延長されました。
「本格的に実装するまでにはそれくらいの期間が必要だ」と判断された様です。
これが実施され何も対策がされないままだと、Google Adsenseの広告収入も半減すると言われています。
本記事ではまずこのサードパーティCookie(Cookie)とは何かを解説します。
そしてなぜサポート終了が問題となるなのか、その理由についても詳しく触れていきます。
Cookie(クッキー)とは?
Cookieとは、WEBサーバーと情報交換するためにブラウザ内に保存しているデータを使う仕組みの事です。
見た目には見えませんが、ブラウザにはあなたがサイトを訪れた日時や訪問回数など様々な情報が記録されています。
テキストファイルの様な情報がブラウザに一定期間保存されていて、常にこの情報が参照されているのですね。
快適なWEBサービス利用が可能になる
WEBサービスがスムーズに利用できるのは、このCookie情報がブラウザにあるからです。
2度目のログインが省略できる
例えば一度ログイン済みのサイトを再訪問した時、次はログインせずに入れる場合がありますよね。
これはCookieから本人確認が済んでいるため、ログイン行為が省略できている訳です。
カートに入れた商品が残る
それからショッピングサイトで商品をカートに入れたままログアウトしたとしましょう。
再度同じショッピングサイトに入ったら、カート内商品が消えずに入っていますよね。
これらは全て、ブラウザにCookie情報があるからなのです。
インターネットバンキングサイトの多くも、Cookieが有効になっていないと使用できないシステムばかりです。
Cookie情報に基づくパーソナライズ化
Cookieにはログイン情報以外にも様々な情報が保存されていて、WEBサイトにアクセスした際にWEBサーバーに自動的に送られます。
Cookie情報に基づくパーソナライズ化
この情報はサーバー側の処理に使われ、ページ上のJavaScriptなどからも利用する事ができます。
この情報を活用する事で、ページ内容が「その人専用」のパーソナライズな変化をしたり、SNSとの連携ができたりする訳です。
Cookieにはドメイン先が紐づいている
格納されているCookie情報には、WEBサイトの「ドメイン名」が紐づけられています。
複数の情報を格納できますが、それぞれがドメイン名ごとに保存されている訳です。
ドメイン名ごとにCookieを管理
簡単に言うとドメイン名ごとにCookieが分類・保存されているといって良いでしょう。
・AのCookieはwww.lpeg.jpの情報
・BのCookieはadonoa.netの情報
上記の様にそれぞれドメインで判別して保存・処理をしているのです。
基本的にCookieはオリジンからのみ処理できる
原則としてCookieは、HTML、画像、CSS、JavaScript、Ajaxなど、サーバーからブラウザに送られたリソースに紐付けて扱われています。
その際Cookieは、いま表示中のWEBサイトのドメイン名に属するものしかWEBサーバーに送られません。
特にHTMLやJavaScriptに関しては、そのリソースが存在しているドメイン名以外のCookie情報は処理しない様になっています。
クロスオリジン
これがクロスオリジンと呼ばれる仕組みで、オリジンではない別ドメイン上の情報にはアクセスできないのです。
他のサイトのHTMLソースを読み込んだり、javascriptを使って別サイト内のデータを簡単に引き出す事ができないのはこのためです。
ファーストパーティCookieとサードパーティCookieの違い
ではここで重要な2種類のCookieと、その違いを紹介します。
Cookieの種類
・ファーストパーティCookie
・サードパーティCookie
Cookieには上記の2種類があり、セカンドパーティCookieという名称は存在しません。
前述したように、Cookieはドメイン名に紐付けられています。
Cookieに紐づくドメイン情報が今ブラウザで「表示しているドメインか、そうでないか」によって、呼び方が変わるのですね。
ファーストパーティCookie…今開いているページのドメイン名と同じCookie
サードパーティCookie…今開いていないページのドメイン名と同じCookie
つまり開いているWEBページによってCookie情報の呼び名が常に変わる訳ですね。
ファーストパーティCookie
ファーストパーティCookieは、あなたが訪問したサイトから直接発行されたCookieの事です。
自分がそのサイトを見ている訳ですから、当然その情報が直接ブラウザに記録されますよね。
まさに今あなたが開いているページのCookie情報になります。
サードパーティCookie
それに対し、現在開いているページURL以外のドメイン名に紐づけられた全てのCookieを「サードパーティCookie」と呼びます。
今閲覧していない全ての他社Cookie
例えば「Aサイト」と「Bサイト」があったとしましょう。
Aサイトにいる間、AサイトのCookieはファーストパーティCookieです。
Cookieの紐づけドメインと閲覧ドメインが同じだからですね。
ではAサイトからBサイトに飛んだとします。すると、それまでファーストパーティCookieだったAサイトのCookieがサードパーティCookieになります。
そしてBサイトのCookieがファーストパーティCookieになるのですね。
ユーザーの動向が把握できる
このCookie情報の最大のメリットは、ユーザーのネット行動が追跡できる事です。
例えばユーザーがAサイトからBサイトへ飛ぶ(複数のサイトをまたぐ)行為が把握できる訳ですね。
そのためこのCookieは、解析ツールや広告のCVトラッキング、広告ターゲティングなどに使われています。
どこにいても、各ドメインのCookieをずっと持ち続けるからこそできる技です。
GoogleAdsense広告の場合
本サイト「えるぺぐ」でも、Google Adsenseの広告を掲載しています。
各ページに広告用バナー・テキストが表示されますが、これらは全て別ドメインの広告配信専用サーバーから送られています。
この広告から他社のCookie情報、まさにサードパーティCookieが発行されているのです。
図解
広告バナーを表示しているだけで、第三者のCookie情報がブラウザに保存されます。
この時広告をクリックする・しないは関係ありません。
Google AnalyticsはファーストパーティCookie
有名どころとしてGoogle Analyticsは、ファーストパーティCookieを使っています。
ユーザーの動向をGoogleサーバーへ送信しているのだから、サードパーティCookieなのでは?と思うかも知れませんが、そうではありません。
Cookie情報は全てWEBサイトドメインのもの
Google Analyticsはページに埋め込まれた解析タグにより、そのサイトドメインの中でCookie情報を書き込みます。
ですのでCookie情報の中にGoogle系のドメインが入る事はありません。
Cookie情報が全て「対象ドメイン名に関するもの」な訳ですから、ファーストパーティCookieとなります。
解析情報の通信は確かにGoogleサーバーとやり取りするのですが、その中に対象ドメイン以外のCookie情報は入っていないのですね。
ITP対応(サードパーティCookie削除)
世界ではいち早くこのサードパーティCookieの利用を制限する動きが起きました。
先駆となるのがAppleの「ITP」、Intelligent Tracking Preventionが正式名称です。
Appleがユーザー情報保護の観点から2017年9月に発表した、Safariブラウザでのトラッキング防止の仕組みです。
これまで説明してきたこの「サードパーティCookie」に保有期間を設け、一定期間後に削除するのが目的です。
進むトラッキング防止
Safari11に搭載したITPではサードパーティCookieのデータ利用期間を24時間に制限しました。
2019年9月に発表されたITP2.3では、サードパーティCookieを一切保存せず、JavaScriptからのCookieも1日しか保存しません。
さらにトラッキングのため一部の広告媒体がCookieの代わりに使用していたローカルストレージも7日で削除します。
着実にCookie情報の利用制限が進んでいるのです。
利用制限が進む背景
ITPが誕生した背景には、IPアドレスやCookieを「個人情報」とみなす各国の法規制の存在があります。
それらの情報取得時にはユーザーの同意が必要となり、違反すると巨額の罰金が科せられるものです。
データの利用条件を厳格化していこうという世界レベルの動きが影響しているのですね。
ユーザーを追跡しすぎている
簡単に言うと「ユーザーおよび個人情報を追っかけ過ぎている」という事です。
Cookie情報も個人情報の一種なので、安易に利用できるのはダメ、という考えが軸になっている訳です。
サードパーティCookieのサポートが終了するのはこの個人情報保護の観点が大きく影響を受けています。
全く別サイトの訪問中までユーザー情報を追跡していくのは、プライバシーの侵害に値するという事ですね。
サポート終了による弊害
リターケティング広告
まずリターゲティング広告は一番影響を受けます。
これらの広告は一度アクセスしたWEBサイトのCookie(訪問履歴)をもとに、ユーザーに対して関連広告を配信していく仕組みです。
・訪れたWEBサイトでCookieを書き込む
↓
・他サイト訪問時も、上のサードパーティCookieを常に参照
これにより他のサイト訪問時も広告がずっと追っかけて表示されます。
これは先ほどの「ユーザーの追っかけ過ぎ」につながるため、これをブロックする動きは当然の流れでしょう。
Google Adsense
WEBサイトに広告を配信するGoogle Adsenseも、先ほどの説明の通りサードパーティCookie規制の影響を受けます。
・WEBサイトが表示される
↓
・ユーザーの趣味にあう広告を表示(Google Adsense)
ユーザーに最適な広告が出せない
一番のデメリットは読者に最適な広告が出せなくなるという点です。
ユーザーの閲覧履歴が追跡できないと、パーソナライズ化した広告が出せない事になります。
ユーザーに興味のある広告を出さなければクリックしてくれませんよね。
この影響によりブログやサイトは収益52%減、ニュースサイト(トレンドブログ)は62%減という調査報告もあります。
Google Chromeのサポート終了を延長
Googleは元々2020年1月に、サードパーティCookieのサポート終了を発表しました。
しかし最近になって、サポート終了を2023年末にまで延長しています。
Google Adsenseの収益が下がる事が予想されている訳ですから、ユーザー離れされては困りますからね。
Cookieに依存しない新しいシステムを構築するのに時間が掛かる様です。
アフィリエイトの場合
アフィリエイトの場合は一度ASPサイトにて直接Cookieが書き込まれ、そこからリダイレクトで広告先サイトへ飛びます。
・訪れたWEBサイト(えるぺぐサイト)
↓
・バナークリック時にASPサイトでCookieを書き込む(アフィリエイト判定)
↓
・リダイレクトして広告先のWEBサイトへ
上記の場合、一度ASPサイトで直接書きこまれるのでファーストパーティCookieです。
ですのでこれまではブロックの対象ではありませんでした。
しかし実質的にはユーザーに訪問した覚えが無いサイト(ASPサイト)のCookie情報が書き込まれます。
複数サイトをまたぐ行為と判定
つまり「サイトをまたいでいるクロスサイトトラッキング」と言えるわけですね。
ITPでは「サイトをまたいだトラッキングと判定したCookieをブロックする」と定義されています。
サードパーティCookieの定義が広げられている訳ですね。
ITPへの対応策
ではこのITPに対し、どのような対策があるのでしょうか。
対策1:広告主ドメインでCookieを付与する
まずアフィリエイトに関して言えば、「広告主サイト」側で直接Cookieを書き込む事です。
これによりITPの対象となる「サイトをまたいだ計測」は回避した事になります。
Google Analyticsが採用している計測方法と同じですね。
ASP側でなく広告主側でCookie情報を書き込む
まずアフィリエイトASPを経由する際にCookieではなく、固有の識別番号のようなものをURLに付与します。
その上でASPからリダイレクトして、目的の商品がある「広告主のサイト」に飛びます。
ここで広告主サイトに埋め込まれた専用のタグが、この識別番号に反応してCookieを書き込みます。
こうすればCookie情報の登録ドメインは「広告主サイト」のものになりますよね。
広告主側の全ページに専用タグが必要
この方法の場合、対象となる広告主のページににパラメータに反応するタグを設置する必要があります。
これが商品ページだと全ての商品ページに対してタグ設置が必要になり、対応する広告主側に手間が掛かります。
またCookieはドメインに紐づくため、最終到達ページのドメインが変わる場合は問題が起きます。
しかしこの方法の場合、今までのCookieと同程度の精度が期待できます。
この方法は、A8.net、afb、アクセストレード、JANet、Felmat、WebsyncなどのASPサービス先が採用しています。
対策2:ブラウザ推定技術「ブラウザフィンガープリント」
ユーザーが使っている環境名を組み合わせて固有のプロファイルを作成する方法です。
・端末の種類
・識別番号
・IPアドレスの組み合わせ
例:「iphone13+no5249763.0+192.167.0.1」
これによりCookie情報に頼らずにユーザーを特定する事ができますね。
ブラウザフィンガープリントの技術を用いたトラッキング方法です。
この方法は、afb、バリューコマースなどのASPサービス先が採用しています。
対策3:セッションIDを使ったトラッキング
広告へ飛ぶリンクに固有のパラメータを付与し、そのパラメータをページ遷移ごとに引き継いでいくことでトラッキングする方法です。
lpeg.info/?sesid=0002459srggha62sara2h…
URLの末尾に数値の羅列が出る
この手法は精度は高いのですが、広告主側にサイトにパラメータ設置する技術知識が必要になります。
技術的な負担が大きいので、なかなか普及しにくいのが難点です。
この方法は、ほとんどのASPサービス先が前から採用していました。
Privacy Sandboxによる新しい動き
先ほども言いましたが、GoogleはCookie情報に依存しない新しい仕組みの構築を進めています。
それが「Privacy Sandbox」と呼ばれる、個人情報保護を前提としたシステムです。
サードパーティcookieの代替的な仕組みを作る事は急務ですので、まずは以下の課題解決に向けて開発を進めています。
ユーザー追跡方法
・広告のコンバージョン計測
・広告のターゲティング
まずはどうやってユーザーのアクションを追跡するのか、ですよね。
おおよそは専用のAPIを公開するか、Cookieに頼らずブラウザベースで計測やターゲティングを管理するというのが主な方向です。
Privacy Sandboxにおける広告コンバージョン計測
これまでCookieの情報は、ブラウザが直接アドサーバー(広告管理会社サーバー)やサイト運営者へ渡していました。
そのため受け渡しされる情報は、個人を特定できる「生の識別情報」だった訳です。
これに対しイベントCV計測の専用APIではブラウザ側がCVの情報を集計した後、クリックとCVのみの識別子を送信する様にします。
コンバージョンに関する情報のみを送信するので、個人は特定できない事になりますね。
まだまだ不十分で課題も多い
ただしこのAPIではまだ解決できない課題があります。
・CVユーザーの動きを学習し広告の最適化に活かすモデル
・個別CVに紐づけた成果の承認が必要なアフィリエイト
ユーザーの識別ができない
このAPIは、ウェブ解析ツールや広告トラッキングソリューション、個別ユーザーデータとの紐づけが必要な機能ついては想定がされていません。
そのため「ユーザーの同意による証」がない事業者がこのAPIを通じてCVデータを取得することは難しいと言えます。
基本的にはこの様なAPIではなく、ファーストパーティcookieで同意を取った計測にシフトすることが前提になるでしょう。
Privacy Sandboxにおける広告ターゲティング
プロジェクトの中で、広告のターゲティング手法について主に以下の2つの手法が紹介されています。
1. リマーケティング
2. 興味関心ターゲティング
ブラウザが広告を選択決定するリマーケティング
Privacy Sandboxにおけるリマーケティングの新しい仕様として、「TURTLEDOVE」という新しい手法を提案しています。
TURTLEDOVEでは、従来のようにアドサーバー側でオークションされ広告コンテンツが読込・表示されるのではありません。
ブラウザ側で直接オークションを実施するという形式です。
広告主から提供されたJavaScriptコードを使用して、最も関連性の高い広告をブラウザで直接決定する仕様が検討されています。
ブラウザがユーザー興味関心を機械学習する
興味関心型のターゲティングについては、FLoC(Federated Learning of Cohorts)というものが提案されています。
これはユーザーのサイト閲覧情報をもとに、ブラウザ側で興味関心を分析して機械学習を行うものです。
全てをブラウザに任せる動き
上記はいずれも、アドサーバー側で行っている広告のターゲティング管理をブラウザで行えるように置換しようとする動きですね。
さすがGoogle Chromeという圧倒的シェアのブラウザを持つGoogleならではの考え方ですね。
一方このGoogleの動きは各種アドテク事業者にとって「ユーザーのターゲティング」という最も大きな本文を失う危険があります。
もしその仕様がブラウザの共通機能になってしまえば、アドプラットフォーム独自の特色が出しにくくなる可能性があります。