強まるプライバシー規制強化の中で、Webデータの継続活用は可能か?

今回が3回目の記事投稿ですが、過去二回とも技術ブログの雰囲気を出せていない長澤です。今回は「Tech」感のあるテーマを少しでも皆さんにお届けして挽回したいと思います。

プライバシー規制の流れ・動向概要

2021年4月に、Meta(旧FaceBook)から約5億人分のユーザーデータ(個人情報)が流出したニュース(※1)が大きな話題になりましたが、普段皆さんが利用する様々なWebサービスやアプリの裏側では、様々なデータが利用されています。その中には個人データも含まれており、ユーザーの許諾を得た上でかつユーザー利便性の向上を目的としたものがほとんどだと思いますが、これらに当てはまらないケースも存在します。

こういったケースの存在を受け、世界各国では個人データ保護法の整備が進められています。EUや米国から始まり、現在は世界の約70%の国(※2)で個人データの保護法が整備されており、この流れは今後さらに加速していくと考えられます。

プライバシー規制に伴うCookieへの影響

この個人を特定しうるデータを規制する流れが強まる中で、大きく影響を受けるWeb技術がCookieです。

EUで施工されているデータ保護法「GDPR」や日本で2022年4月に改定予定の改正個人情報保護法では、改正前と異なり「他の情報に紐付けると個人を識別できる情報」を個人情報として取り扱う必要があります。Cookieもこれらに該当するため、Cookieの収集や第三者提供に明示的な利用者同意が必要となります。最近皆さんがPCやスマートフォンでWebサイトに訪れた際にCookie許諾の同意を得るポップアップが表示されることが多くなっていませんか?それらはいずれも上記背景から各社Webサイトに対応が入った可能性が高いです。

Cookieは「Webページに訪れた際、閲覧者の利用ブラウザに保存されるテキストベースのデータ」です。前述のデータ保護の流れを受け、WebブラウザのデベロッパーもアプリケーションのアップデートによりCookieを規制する動きを強めています。特に、Webブラウザの市場シェアはGoogleが開発するChromeが約65%、Appleが開発するSafariが約20%で合計85%を占め(※3)、ChromeとSafariのアップデートがCookieを利用するWebサービスへ影響が大きいことから、非常に注目されています。

そもそもファーストパーティCookie、サードパーティCookieって?

ここで、今回Cookie規制内容をより詳細にお伝えするために基礎知識をおさらいします。(そんなの知ってるよ!という方は飛ばして下さい。)

Cookieには主に『ファーストパーティCookie(1st Party Cookie)』と『サードパーティCookie(3rd Party Cookie)』の2種類があります。例を用いて説明します。少し複雑な状況ですが、説明に必要なのでお許し下さい・・・。

<例>
・AさんがWebブラウザBを利用してWebサイト「example.com」にアクセスする
・Webサイト「example.com」にアクセスすると、URLが「hoge.com」のWeb広告が表示される

ここで『ファーストパーティCookie』 は以下2つを指します。
1)Webサイト「example.com」から、WebブラウザBに発行されたCookie
2)WebブラウザBから、1)のCookieが「example.com」へ送られるCookie

サードパーティCookie』 は以下2つを指します。
1)Web広告「hoge.com」から、WebブラウザBに発行されたCookie
2)WebブラウザBから、1)のCookieが「hoge.com」のサーバーへ送られるCookie

上記を図で簡単に表現しました。

ポイントは以下です。 

  • 「ファーストパーティCookie」「サードパーティCookie」は「Webサイトアクセス時にCookieをWebブラウザへセットするタイミング」「WebブラウザからWebサイトへCookieを送信するタイミング」のそれぞれで存在する
  • 「サードパーティCookie」はWebサイトに直接訪れなくても、他のWebページに画像やスクリプトとして埋め込まれることで、Cookieの発行や送信が可能である

近年、ブラウザアップデートによりCookie規制を強めているChromeとSafariが規制対象としているのは「サードパーティCookie」です。 つまり、「ファーストパーティ」でサーバーからWebブラウザへCookieをセットしても「サードパーティ」でWebブラウザからCookieが送信される場合はCookie規制の対象に入ります。これらの規制により、主にサードパーティCookieを活用してユーザへリターゲティング等を行うデジタル広告業界へ大きな影響があります。 

最新版のCookie関連の規制内容とは

これまでChromeとSafariの規制内容をお伝えしましたが、正確な規制内容や規制時期が異なります。それぞれCookieに関連した規制内容を抜粋します。 

Google Chrome  

  • Chrome 80安定版(2020年2月) 
    Cookieに付与される属性「Samesite」のデフォルトが変更となり、URLドメインの異なるサイト間でCookieを利用する場合、Cookieをブラウザへセットする時に別途属性付与が必要となる 

■Safari Intelligence Tracking Prevention(以下ITP) 

  • ITP 2.0 (2018年 
    サードパーティCookieがブラウザへのセット後、即時破棄へ変更 
  • ITP 2.1 (2019年2月 
    ファーストパーティCookie(JavascriptによるCookie発行)の有効期間がブラウザへのセットから7日間へ変更 
  • ITP 2.2 (2019年4月 )
    ファーストパーティCookie(JavascriptによるCookie発行)の有効期間がブラウザへのセットから24時間へ変更 
  • ITP 2.3 (2019年9月
    ブラウザに保存されるローカルストレージデータの有効期間が7日間へ変更 


改めて流れで見ると、意外と頻繁にアップデートされていますよね。Chromeは2021年3月にブラウザのアップデート頻度を今までの6週間毎から4週間毎に変更する(※4)など、それぞれのブラウザがシェア獲得の為に機能改善やバグ修正に力を入れていることが伺えます。

また、ご存じの方もいらっしゃるかと思いますが、各ブラウザでは皆さんが利用している「安定版(Stable)」の他に「ベータ版(Beta)」が存在します。Chromeでは「Chrome Beta」、Safariでは 「Safari Technology Preview」として利用可能です。
ベータ版では安定版にリリース予定する内容が前もってリリースされるため、ブラウザアップデートの最新情報をキャッチアップしたい方はベータ版のアップデート内容を確認したり、実際にインストールして利用してみてください。(Chromeではベータ版の他にDev、Canaryが存在します。)

各ブラウザのアップデート内容詳細については下記リンクで参照可能です。

■Google Chrome  更新情報

■Apple Safari  更新情報

プライバシー規制への回避案検討

前章で上げたWebブラウザアップデートのCookie規制により、マクロミルが提供するデジタルログリサーチ「AccessMill」も一部影響が出ると考えられています。 

マクロミルでは、自社で保有する消費者パネル「マクロミルモニタ」の許諾を得た上でCookieを利用し、モニタのWeb回遊ログを計測しているため、改正個人情報保護法の観点で問題はありませんが、WebブラウザのCookie規制の影響を受け、今まで取得できた回遊ログが一部取得できなくなる可能性があります。

上記を回避しマクロミルのサービスを継続していくために、現在様々な手段を検討しています。 

  • 各プラットフォーマー(Google、Amazon、Facebook)と共同でマクロミルモニタのデータ活用をできる仕組みの構築 
  • Cookie規制後の世界で利用可能な代替エコシステムの活用検討 
    • Google Privacy Sandbox
    • Safari Private Click Measurement
    • Google Tag Manager (Server-side Tagging)

おわりに

今回の記事ではプライバシー規制が進められている理由、規制内容の具体例、規制による影響をお伝えしました。このテーマの続編として次回は、今回お伝えした回避案の具体的な活用余地、社内検証内容についてお伝えしたいと思います。今回も最後までご覧頂きありがとうございました。次回もお楽しみに!

<参考URL>
※1 「The Facts on News Reports About Facebook Data」

※2 「Data Protection and Privacy Legislation Worldwide」

※3 「Browser Market Share Worldwide」

※4「Speeding up Chrome’s release cycle」