サルでもわかるGoogle Chromeのプライバシー対策で何が起こるのか

Chromeが2年以内にサードパーティcookieをブロックすると正式に発表しました。

https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html

いろいろなことが言われていますが、具体的に何が起こるのか、混同しやすいところを含めて初心者でもわかるようにまとめました(このサイトでは珍しい初心者向けの記事です)。

cookieを取り囲むブラウザ環境の変化のおさらい

これまではiOS/SafariがITPの取り組みの中でトラッキング目的のサードパーティcookie(※)をブロックしてきましたが、これでSafariとChromeの両方でトラッキング目的のサードパーティcookieをブロックすることになります。スマートフォン、デスクトップ、タブレットで大半のシェアが適用対象になるわけです。

なおFirefoxではすでに別の機構でトラッカーをブロックしています。またEdgeもChromiumベースに切り替わったことで、Chromeと同じ運命をたどることになります。

※【発展】ユーザのインタラクションを伴わないcookieのこと。
ユーザのインタラクションとは、クリックや画面遷移などユーザが明示的に自分の意図で行うアクションを指す。たとえばページ内で外部の動画配信サービスの機能を埋め込んでいる場合、その動画配信サービスのドメインはサードパーティcookieになるがブロックされることはない。

具体的にどんなことが起こるか

一言でいうと複数のサイトにわたるユーザの行動が記録できなくなります。

たとえば以下のような機能が使えなくなります。

  • サードパーティデータを活用したDMP(代表的なのが年齢やデモグラフィック属性、興味を推測するDMP)
    • 自社データのみを使うファーストパーティDMPは対象外
  • ブラウザの履歴を利用したオーディエンスターゲティング
    • Google広告は対象外(cookieを使わない方法が確立されているため)
  • リマーケティング
  • ビュースルーコンバージョン計測

スマホのネイティブアプリは対象外。

一つのサイト(一つの親ドメイン)に限定したユーザの行動は依然として記録可能です。

つまりインターネット広告ではオーディエンスターゲティングができなくなるので、それ以外のターゲティング、配信面を指定するものやページのコンテキストを指定したターゲティングの力が強まると考えられます。

またブラウザに頼らない、アプリへの誘導が増加するでしょう(アプリインストールが不自然な動線、カスタマージャーニーを無視したアプリインストール動線は無意味なので使える局面は限定されますが)。

いずれにせよデジタルマーケティング施策の戦術自体を大幅に転換させる必要がある方が大半になるでしょう。

トラッキングとcookie

今回のリリースはcookieをブロックするということですが、それがユーザ行動トラッキングとの間にどのような関係があるのでしょうか?

本来のcookieの役割

もともとcookieにはウェブサイトを閲覧するうえで一時的に記憶しておくと便利な情報が格納される場所です。

たとえば

  • ログインを必要とするサイトの場合のログインステータス(ログイン済みであること)
  • 動画再生で一時停止したタイミング
  • 不動産サイトでお気に入りに保存した物件

などです。これがcookieの本来の使われ方で、昨今言われているような邪悪なものではありません。むしろサイトの閲覧に必要なものなのです。

cookieの値は自動送信される

仕様としてブラウザはサーバにアクセスするたびにcookieの値を自動的に送ります

それはアドレスバーに入力されたURLだけでなく、バックグラウンドで読み込まれるスクリプトや画像など、ブラウザから行われるあらゆるリクエストに対して発生します。ユーザが自らの意図でデータを送るアクションをしないケースを含みます。

たとえばページ内にさまざまな広告のリマーケティングタグが設置されていれば、それらすべてのサーバにcookieの値が自動的に送られるわけです。さらにJavaScriptを使うとcookie+αのさまざまなデータ、たとえばいまメインで見ているページのURLが送信可能です。

cookieをトラッキングに使う

このcookieを行動のトラッキングに使うことできるのです。

cookieにユーザごとに異なる時間がたっても変わらない値(これがいわゆるID)を格納しておいて、それがサーバへのアクセスのたびに送られる。するとサーバ側では誰が訪問したか特定できるわけです。それを現在見ているページのURLとセットで送れば、誰がどのページを見たか紐づいた状態でサーバに記録されます。

cookieの値がサーバに送られる

cookieをブロックするということは、ブラウザにIDが記録されなくなるということです。サーバにアクセスしても毎回同じIDを送ることができないので、誰がどのページを見たかを特定できなくなるのです。

トラッキングをブロックする

Safari、Chrome、Firefoxなどが言うプライバシー対策というのはトラッキングをブロックすることが目的なわけですが、その具体的な方法を簡単に説明します。

プライバシー対策で異なる2つのアプローチ

データを送る機能を制限するのではなく、記録する機能を制限するアプローチが今回のChromeやITPのSafariのプライバシー対策です。

一方でSafariでコンテンツブロッカーを使うケース(ユーザがインストールする必要あり)、Firefoxのプライバシー対策(デフォルトで有効)では原理が大きく異なり、データ収集サーバへのアクセスをブロックするというものです。この違いは頭に入れておくといいでしょう。

  • サーバへのアクセスをブロックする
  • 記録することをブロックする

異なる2つのアプローチがあるわけです。

サーバへのアクセスをブロック

cookieをブロック

cookieをブロックした場合、どのページを見たなどのデータは送られますが、誰が見たかは特定できません。

サードパーティcookieが有効なケースと無効(ファーストパーティcookieのみが有効)なケースの違い

そこで冒頭の「サードパーティcookieがブロックされる」とはどういうことか?ファーストパーティcookieと何が違うのか?気になる方もいるでしょう。

サードパーティcookieが有効な場合、複数のサイトを訪問するユーザがサイトをまたいだ共通のIDを持つことになります。

たとえば「Aさんは不動産サイトBで東京都のアパートの一覧を見て、その後ECサイトCでスマホのSIMカードの一覧を見た」などということが紐づいた状態で記録されていくわけです。そして(サードパーティベンダとの契約の内容によりますが)サイトBの運営者はAさんに関するサイトDでの行動を知ることができる、その逆もあるわけです。

ファーストパーティcookieのみの場合は「Aさんは不動産サイトBで東京都のアパートの一覧を見た」「Aさんかどうかわからない人がECサイトCで冷蔵庫の一覧を見た」ということしか記録されません。そしてサイトBの運営者はサイトDの行動データを知ることはできません。

サードパーティcookieが有効
サードパーティcookieが無効

サードパーティcookieをブロックするということは、自サイトに限定したウェブ行動トラッキングのみが可能になり、複数サイトにわたる行動を記録することはできなくなるということなのです。

今後のプライバシーとの向き合い方

今回の発表はブラウザ側が技術的にサードパーティcookieをブロックするという形でのプライバシー保護の動きです。

これとは別に法的な動きがあります。それがGDPRであり、CCPAです。これらはユーザの同意を取らないトラッキングを禁止します。ファーストパーティcookieを使ったものでさえも。そしてデータを収集することだけでなく、記録したデータの扱いなどに対して強い制限を加えるもので、これらの法令の適用地域では遵守しないと多額の賠償金の対象になるリスクがあります。

国内でも今後同様の法令・ガイドラインが制定される可能性が高いと言われています。

今後われわれは技術と法律、両方の動きを知っておく必要があります。

計測実装 の記事一覧