Cookie(クッキー)とは、Webサイトをアクセスした際のIDやパスワードといった入力データ、利用環境などの情報を記録したファイルのことです。Web広告などのマーケティングで、よく利用されています。しかし、個人情報を同意なく利用することは、プライバシーの侵害につながるとして、欧米を中心にCookie規制を強化する動きが広がっています。
そこで、対応策として注目されているのがCookie代替技術です。
本記事ではCookie代替技術3選、国内外のCookie規制の現状、Googleの動向について紹介します。
Contents
Cookie代替技術3選
Cookie代替技術とは、サードパーティCookieに代わる技術です。サードパーティCookieは、訪問しているWebサイトと異なるWebサイトが発行したCookieのことです。主にWeb広告で、ユーザーの属性に合わせた広告を配信するのに利用されます。ここでは、Cookie代替技術3選を紹介します。
ファーストパーティCookie
ファーストパーティCookieは、訪問しているWebサイトが発行したCookieのことです。発行したWebサイトだけが利用可能です。ECサイトであれば、ショッピングカート内の情報を保存するといった使い方ができます。
サードパーティCookieとの違いは、複数のWebサイトで利用できるかどうかです。
ファーストパーティCookieは規制の対象外であることから、サードパーティCookieの用途によっては代わりとして利用できます。
共通IDソリューション
共通IDソリューションは、ユーザーのデバイスやブラウザにIDを付与する仕組みです。
付与したIDと行動履歴などのデータを紐づけることで、Web広告の精度を高められます。
IDには確定IDと推定IDの2種類があります。
- 確定ID
同意を得たユーザーのメールアドレスや電話番号などから生成したIDです。ユーザー固有の情報をもとにIDを生成するため、マーケティングの精度を高められるのがメリットです。例えば、確定IDに紐づけた情報をもとに広告を配信することで、趣味嗜好にマッチした商品を訴求できます。一方、ユーザーの同意を得る必要があるため、ID生成のハードルが高いのがデメリットです。
- 推定ID
推定IDは、デバイスやIPアドレス、ブラウザの種類といった一般的なデータを組み合わせて生成するIDです。メリットは、すべてのユーザーにIDを生成できることです。しかし、確定IDと比較してマーケティングの精度が低くなります。
コンバージョンAPI
コンバージョンAPIは、Meta(Facebook)広告が利用しているCookie代替技術です。コンバージョンは、ユーザーが商品の購入や資料の請求といったWebサイトの目標であるアクションを実行することです。Web広告から流入したユーザーのコンバージョン数を調べるのに、従来の計測方法ではCookieを利用していました。
サードパーティCookieの利用が規制されたことから、Meta広告では広告主のサーバーからMeta社のサーバーに、「顧客による商品購入」などのイベントデータを送信することで、コンバージョンを計測する仕組みを構築しています。
国内外のCookie規制の現状
Cookie代替技術が注目されている背景には、国内外でのCookie規制の強化があります。ここでは、日本・ヨーロッパ・アメリカのCookie規制の現状について紹介します。
日本
日本のCookie規制に関係する法律は、以下の2つです。
- 改正個人情報保護法
- 改正電気通信事業法
2022年4月に施行された改正個人情報保護法では、個人関連情報の概念が創設され、サードパーティCookieを第三者へ提供する場合は本人の同意が必要となりました。2023年6月に施行された改正電気通信事業法では、以下に該当する場合、個人情報を外部送信するプログラムを利用する際はユーザーの同意を得ること、後から同意を拒否できる仕組みを構築することが定められています。
●以下のサービスで、ブラウザ又はアプリケーションを通じて提供されるもの。
- 利用者間のメッセージ媒介等
- SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等
- オンライン検索サービス
- 各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)
引用:総務省 総合通信基盤局 電気通信事業部「電気通信事業法施行規則等の一部改正について」
ヨーロッパ
ヨーロッパのCookie規制に関する法律は、2018年5月に施行されたGDPR(EU一般データ保護規則)です。
GDPRは、EU加盟国及び欧州経済領域(EEA)の個人データ保護や取り扱いについて定めた法律です。具体的には、氏名・メールアドレス・クレジットカード番号などの個人データをEEA域外に移転することを原則禁止しています。
また、EEA内でCookieを取得する際は、ユーザーの同意が必要になりました。
GDPR違反の罰金は高額なため、日本企業においてもEEA内で個人情報を収集する場合は注意が必要です。実際に、NTTデータの海外子会社が6万4,000ユーロ(約900万円)の罰金を科せられた事例があります。
参考:Forbes Japan「ついに日本企業にGDPR違反、個人情報漏洩が制裁の理由ではない」
アメリカ(カリフォルニア州)
アメリカのカリフォルニア州のCookie規制に関する法律は、CCPA(カリフォルニア州消費者プライバシー法)です。
CCPAは、2020年1月に施行された法律で、カリフォルニア州の住民の個人情報に対する保護を定めています。個人情報にはCookieなどのWeb上の履歴も含まれており、Cookieを収集する際はどのようなデータを収集して、どのように使用するのかをユーザーに知らせる必要があります。
違反すると高額な罰金を請求されるリスクがあるため、日本企業においても注意が必要です。
実際に、CCPA違反により、アメリカの化粧品メーカーのセフォラが120万ドル(約1.7億円)の罰金を支払った事例があります。
参考:JETRO(日本貿易振興機構)「米カリフォルニア消費者プライバシー改正法の最終規則に基づく執行、2024年3月29日まで延期」
Googleの動向
近年、Cookie代替技術分野で注目を集めたGoogleの動向を紹介します。
同社は開発しているブラウザのGoogle Chrome(クローム)において、2022年までにサードパーティCookieの廃止を予定していました。そのための代替技術として、「Privacy Sandbox(プライバシーサンドボックス)」を開発していました。
しかし、再三にわたり期間を延長し、2024年7月には廃止を撤回することを表明しています。今後は、サードパーティCookieの仕組みを維持しながら、代替技術の開発も進める予定とのことです。
参考:The Privacy Sandbox「A new path for Privacy Sandbox on the web」
Cookie代替技術に注目しよう
欧米を中心に、プライバシー保護の重要性が高まっています。特に、サードパーティCookieを利用する際は、日本企業であっても高額の罰金を科せられるリスクがあるので注意が必要です。そのようなリスクを避けるためにも、Cookie代替技術に注目してみましょう。