2023.06.26

【2023年最新版】Cookie規制とその対策とは ── 改正電気通信事業法を含む影響とポストCookie時代を考える

イメージ写真

Cookieを規制する動きが、ますます強くなっています。規制によってどのような影響が考えられ、対策が必要なのか、法改正など直近の動向はどうなっているのか、そしてポストCookieの時代にあたってどのようにマーケティング施策を進めていくべきかなど、最新情報をもとに解説していきます。

Cookie規制とは

Cookieとは、WebサーバーやJavaScriptからユーザーのブラウザへ送られて保存される、小さなテキストファイルを指します。CookieにはIDが記載されており、そのIDを用いてユーザーの識別を行うことで、そのWebサイトを閲覧したことがある再訪者か否かなど、さまざまな行動履歴を判断することができます。

そしてCookie規制とは、「Cookieによって得られたユーザーの行動履歴や趣味嗜好などのデータを利用することが、個人情報保護の観点から問題がある」という考え方で、Cookieのしくみに規制をかけて個人情報を守ろうという動きを指します。

Cookieを利用したWEB広告を活用している企業は、Cookieが規制されることで、ユーザーの属性や興味分野などのデータをもとに広告配信することができなくなり、その対応策を考える必要が生じます。

クッキーの写真

Cookieのしくみ

ユーザーが初めてWebサイトへ訪れると、ページを閲覧した履歴やログイン情報などを記録したCookieが送信され、ブラウザに保存されます。そして同じユーザーが再度発行元のWebサイトへ訪れると、今度はブラウザからWebサイトにCookieが送信され、サイト上のユーザー情報と照らし合わせてユーザーを識別し、さらにその後の行動などの情報を読み取ります。以後もWebサイトへ訪問する度にCookieに行動履歴が書き込まれ、データとして蓄積されていきます。

書き込まれたこのCookie情報は、ECで以前カートに入れた商品をそのまま残したり、SNSでログインの手間を省いたり、動画サイトで一時停止した動画を途中から再生する働きをしたりと、ユーザーの利便性の向上に寄与しています。Cookieは私たちが快適にWebサイトを閲覧するために欠かせないものとなっています。

サイト運営側にとっても、Cookieには大きな活用メリットがあります。

Cookieによってサイト訪問者のユーザー属性や閲覧履歴、買い物履歴などが把握できるようになります。それらは見込み顧客の発見など、マーケティング施策を実施する上での重要な手がかりとなります。

ユーザーとサイト運営者の双方に活用されているCookieですが、なぜそれが規制される動きになっているのでしょうか。それには「サードパーティーCookie」が影響しています。

ファーストパーティーCookie

Cookieデータには、主に「ファーストパーティーCookie」と「サードパーティーCookie」の2種類があります。

ファーストパーティーCookieとは、訪問しているWebサイトのドメインから直接発行されたCookieを指します。ファーストパーティーCookieは、訪問ユーザーに対して精度の高いトラッキング(行動の追跡)が可能ですが、他のサイトを横断してトラッキングすることはできません。

サードパーティーCookie

サードパーティーCookieとは、訪問しているWebサイトとは異なるドメインから発行されたCookieを指します。

Webサイトに訪れた際には、訪問したWebサイトからファーストパーティーCookieが発行されます。それだけでなく、Webサイト内に広告バナーが設置されている場合などは、同時にその広告の配信サーバーからもCookieが発行されることがあります。この広告配信サーバーがWebサイトとは異なるドメインで運用されている場合、サードパーティーCookieとして発行されたことになるのです。

直前に閲覧していたショッピングサイトの商品が、異なるサイトでバナー広告として表示されることにお気づきの方も多いでしょう。この現象は、そのサイトでサードパーティーCookieを活用した広告配信を行っていることによります。

サードパーティーCookieは複数のWebサイトを横断し、ユーザーの行動履歴を収集したうえで、その関心に合わせた広告を配信するなどの働きをします。

ファーストパーティCookieとサードパーティCookieの比較表

ファーストパーティCookieとサードパーティCookieの比較表

このようにサードパーティーCookieは、ユーザーが意識していないところで行動履歴や趣味嗜好のデータを収集し、さまざまな形で利用へと回されます。個人情報保護の観点からこれに着目した結果、規制をするべきだという声が強まったのです。

そして、各社が提供するWEBブラウザでも、Cookieへの対策が進んでいます。

各社ブラウザにおけるCookie対策

Apple

AppleのブラウザであるSafariは、2020年3月からサードパーティーCookieを全面的にブロックしています。Appleはドメインを横断したトラッキングを防止する機能があるITP(Intelligent Tracking Prevention)をSafariに搭載し、それをさらにアップデートしてして個人情報のトラッキングを防ぐという、強いプライバシー保護の姿勢を示しています。

Google

Googleは当初、ChromeにおけるサードパーティーCookieのサポートを2022年1月までに打ち切る計画を発表しました。しかし、しばらく後に2023年後半までに延長するとし、さらにまたその後、2024年まで延長することを発表しています。

Googleでは、サードパーティーCookieを使用しない個人情報保護を前提とした新しいシステムを開発することを目標に掲げています。この新しいシステムでは、広告主が個人情報を取り出すことなくターゲティングができるようにする考えですが、その技術のテストに時間がかかっていると見られます。

Firefox

Firefoxでは、すでに強力なトラッキング規制が行われています。ブロックリストによって、あらかじめクロスサイトトラッキングやいくつかのトラッカーのリソースが読み込まれないようにするブロック機能などが搭載されています。

Cookie規制によって発生する主な影響と課題

リターゲティング広告

Cookie規制によって最も企業への影響が大きいとされる分野が広告活動です。

サードパーティーCookieを活用したリターゲティング広告は、効率的に顧客獲得が可能な施策として、広く企業に利用されてきました。リターゲティング広告は、サードパーティーCookieを使用してブラウザごとに購買履歴や閲覧行動を把握し、最適な広告を出し分けするしくみです。しかし、Cookie規制によってこのしくみ自体が機能しなくなっているケースが増えています。

リターゲティング広告によって収益化を図っていた企業は、大幅に効果が下がってしまう可能性があるため、新たな広告配信方法などによって広告戦略を考え直す必要性が高まっています。

Google Analyticsなどのツール計測

AppleのITPは、サードパーティーCookieだけでなく、ファーストパーティーCookieへの制限もかけており、Google Analytics(UA)を始めとしたWeb解析ツールなどにも影響が出ています。特に日本ではスマホにおけるSafariのシェアが高いため、ITPの影響を受けないような対策を実装している広告効果測定ツールの導入を考えるべきケースも増えています。

Google Analyticsの最新版であるGA4は、Cookie規制の影響を受けないという売り文句ですが、実際には規制により取得できないデータはAIにより数値を補完し近似値を出しているとされています。

世界中で高まるCookie規制

次に、海外と日本におけるCookie規制の動きがどのようになっているのか、また特に日本において、2023年からの改正法施行にともなう変化について、詳しく確認していきましょう。

ご存じの方も多いと思いますが、グローバルではすでに各地域において個人情報に関する一定の規制が行われています。EUでは2018年からGDPR(EU一般データ保護規則)が、アメリカでは2020年のCCPA(カリフォルニア州消費者プライバシー法)からそれに換わり23年からスタートしたVCDPA(バージニア州消費者データ保護法)といった規制によって、事業者が別の事業者に情報を送信させたり渡したりすることを規制しています。

日本の最新動向ー改正電気通信事業法のポイント

日本のcookie規制に大きく関わってくるのが、2022年4月に施行された「改正個人情報保護法」、そして2023年6月16日に施行された「改正電気通信事業法」です。
まず改正個人情報保護法では、個人関連情報に関して以下のような規定が設けられました。

  • 氏名と結びついていないインターネットの閲覧履歴、趣味・嗜好、位置情報などのデータが、特定のCookieなどに紐付けられた情報を「個人関連情報」と名付け、企業が他社に提供する場合に新たな規制を設ける
  • Cookieを提供された企業から見た場合に、誰の個人情報なのかが特定できる「個人データ」となることが想定されるときは、本人の同意を得たことを確認できるよう提供元の企業に義務づけ、この記録を保存する

つまりこの改正の段階では、Cookieは個人情報には値しない「個人関連情報」と定義され、個人データと紐づく場合に規制の対象となる、とされていました。

では、2023年6月に施行された改正電気通信事業法ではどのようなcookie規制となったのでしょうか。

改正電気通信事業法は広範囲にわたる改正ですが、Cookie規制と関わるのは「外部送信規律」と呼ばれる部分です。外部送信とは、パソコンやスマートフォンなどの端末に記録されたユーザーの行動履歴などの情報を、事業者のWebサーバなど外部に送信することです。つまり外部送信規律は、ユーザーの行動履歴情報がどこに、どのような形で送信されているのか、ユーザー自身が確認できるようにするルールです。

そしてその対象の事業者が行わなくてはならない義務とは、

  1. 送信されることとなる利用者に関する情報の内容
  2. 1の情報を取り扱うこととなる者の氏名又は名称
  3. 1の情報の利用目的

通知(ポップアップなどで表示)または公表(容易に到達できる画面に置く)するか、あるいはユーザーが同意またはオプトアウトの行動が取れるようにする、ということになっています。

さらにそれは、日本語で記載/専門用語は使わない/平易な表現を使う/拡大・縮小等の操作を行うことなく文字が適切な大きさで表示されるようにする など、細かな部分まで規定されています。

改正電気通信事業法では、この外部通信規制の対象事業者についての記述があります。これに該当すると前記の義務が発生しますので、企業としては非常に気になるところでしょう。対象事業者は以下の4つとされています。

1. 他人の通信を媒介する電気通信役務
>携帯キャリアなどをはじめとした通信事業者です。それ以外にはメールサービス、ダイレクトメッセージサービス、ウェブ会議システムなどが該当します。

2. 不特定多数との情報のやりとりが発生するサービス
SNSをはじめとして、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービスなどが該当します。

3. 検索サービス
Googleなどのいわゆる検索サービスです。自社サイト内に検索機能がある場合などは該当しません。

4. 各種情報のオンライン提供サービス
もっとも判断しにくいのがこのカテゴリーです。総務省からの文書によれば「電気通信設備(サーバ等)を用いて、天気予報やニュース等の情報を、インターネットを経由して利用者に提供するものをいう」と記載されています。
ただ同じ資料で、「企業・個人・自治会等のホームページ運営」「自己の情報発信のために運営する場合は、『自己の需要のため』に実施しているもの」はこの事業に該当しないとされています。
つまり、会社概要など自己の情報発信のためのWEBサイトであれば該当せず、他者のニーズに答える場合は該当するということです。

外部送信規律の対象者と必要な対応 総務省パンプレットより

外部送信規律の対象者1

外部送信規律の対象者2

とはいえ自社の情報発信ための企業ホームページでも、ブログなどのオウンドメディアでニュースを紹介するようなケースはよくあり、どう判断すべきか迷うところでした。
しかし2023年5月18日に総務省から示された例から、「利益獲得や集客のためのオウンドメディアは対象となる」とするのが妥当であるようです。

Cookie規制への対応をどうとらえるか

Cookie規制に対応するということは、「データ取得の許可を得て許諾の範囲で利用する」という正しいデータの取得・活用を行うということです。さらに突き詰めれば、ユーザーと真摯に向き合い、寄り添ったデータ活用を意識することでもありますす。

Cookieの問題は、そもそも「データは誰のものか」という部分があいまいになっていたことにありました。

企業がテクノロジーによって生活者の住所や氏名、電話番号などを取得したとき、データの主権はその企業ではなく、あくまでそのサイトを訪問したユーザーのものですが、いつしか「自分たちが取ったデータだから自分たちのものだ」と感じるようになっていったのではないでしょうか。

Cookie規制を機に多くの企業がそれに気づき、正しいデータ活用について模索しはじめています。

これまでのリターゲティング広告は、テクノロジーが一方的に「この人はこのページを閲覧したから、この商品やサービスに関心がある」と決めつけて、広告を自動的に表示していました。しかしいつまでも追いかけられることに、ユーザーはいつしか嫌悪感を覚えるようになります。そうなれば、信頼関係は失われ、ブランドイメージも大きく毀損してしまいます。

法律や制度でプライバシーの規制が進んでいくのと同時に、企業は「なぜCookieが規制されるのか」という背景をきちんと理解し、顧客とのよりよい関係構築のためにデータを使っていかなければなりません。

ゼロパーティデータの重要性

Cookie規制によってはじまる「ポストCookie」時代は、マーケティングのあり方をこれまでのような「狩猟型」のデータ活用から、「つながり型」のデータ活用に変えていくポジティブな機会となり得るでしょう。

つまり、「生活者と良好な関係を構築できないとデータを取得できない」時代だからこそ、顧客との新しいつながり方が生まれる、という考えかたです。
そこで重要となるのが、自社で取得した「ファーストパーティデータ」、そして「ゼロパーティデータ」の活用です。

この「ゼロパーティデータ」は新しい概念で、「顧客が意図的・積極的に企業と共有するデータ」と定義されます。ファーストパーティデータもゼロパーティデータも、どちらも自社収集のデータである点では同じです。わかりやすくいえば「よりパーソナルなファーストパーティデータ=ゼロパーティデータ」ですが、本質的な違いはデータの主権、つまりそのデータ利用が誰目線なのか? という点です。

ファーストパーティデータは、「企業が収集する顧客のデータ全般」を指します。 たとえばECサイトの購入や会員登録などで収集した個人のメールアドレスや住所・氏名・電話番号、サイト訪問時にどこをどのくらい見たかなどの行動データ、購入やダウンロードの取引情報などです。

これに対し、ゼロパーティデータは、「顧客が意欲的かつ自発的にブランドと共有するデータ」です。たとえば、顧客がデータ活用に同意のうえ、提供してくれたアンケートの回答などが該当します。そこにある大きな違いは「主語が企業なのか、顧客なのか」という点です。

アンケートに回答する人たち

ゼロパーティデータは、「何を好み、次にどんなものがほしいと思っているか」など、企業やブランドが顧客を深く理解し、より深くつながるために活用できるデータです。ゼロパーティデータをもとに顧客ニーズに合わせた施策を展開すれば、ロイヤルカスタマーの育成などを目的とした、ファンマーケティングを強化することができるでしょう。また、顧客インサイトをプロダクトやサービスの改善に活かすこともできます。

ゼロパーティデータを収集・活用することで、ブランドの顧客理解が進み、信頼関係の構築ににつながります。

ポストCookieはコニュニケーションを見直す時代

「Cookie規制」によって始まった、Cookieレスの潮流は、単に規制や法律に適応して対策を講じればればクリアする問題ではなく、ブランドとお客様がどうつながるかを見つめ直す機会ととらえるべきでしょう。

現代は広告に触れてもらうだけでモノが売れる時代ではありません。いかに顧客を理解し解決方法を提案するか、その積み重ねが深いつながりを作り、信頼を作っていきます。そのためには、企業やブランドの理念を定義し、顧客と共有することが大切です。このような企業の姿勢は、データ活用の作法にも現れます。

顧客とのコミュニケーションにおいて、これまで何となくやってきたことを明確にすべきタイミングが、Cookie規制を機に訪れたのかもしれません。


リターゲティングに替わる広告プラットフォーム──OTAKAD

講談社が運営している広告配信プラットフォームのOTAKAD(オタカド)は、ファーストパーティーCookieを利用した広告配信と情報分析が可能なシステムで、サードパーティーCookie規制の影響なく集客をすることが可能です。

OTAKADでは、講談社が運営しているメディアにおける読者の記事閲覧データをもとに、それぞれの趣味趣向を分析し、独自のターゲティングと最適な掲載面への配信を行うことで効果を高めます。

OTAKADの活用法について詳しい知りたい方は、お気軽にお問い合わせください。

OTAKADイメージ画像

C-stationロゴ

筆者プロフィール
C-station編集部

マーケティングの基礎知識、注目キーワードの解説やマーケティングトレンドなど、日々の業務に役立つ記事をお届けします。

講談社が提供する各種プロモーションサービスのご利用に関するお問い合わせ・ご相談はこちら