ポストサードパーティcookie時代のソリューションとプライバシー

Mon, 01 Mar 2021 00:00:00 +0900

Googleは現時点では廃止自体を諦めたものの、個人のプライバシー尊重の観点からサードパーティcookieを廃止する動きを進めていた。AppleのiOSやSafariではすでにITPによってサードパーティcookieはデフォルトで使えなくなっている。そんな中サードパーティcookieに代替する技術としてさまざまな技術をGoogle自身も開発し、他のベンダもそういった技術を開発してきた。その結果さまざまな自称「ポストcookie」「cookieレス」ソリューションが出てきているのだが、それらはどれも完全にサードパーティcookieを代替するわけではなく、これまでサードパーティcookieが担ってきた役割を部分的に違う方法で実現しようとしているものにすぎない。ここではソリューションの種類と、それらがサードパーティcookieのどんな機能を代替するのか紹介する。

サードパーティcookieの役割

cookieの役割にはさまざまなものがあるが、サードパーティcookieは主にドメインをまたいでブラウザを識別するために使われてきた。ファーストパーティcookieであれば自社サイトの中だけでの識別になるが、サードパーティcookieでは自社のサイトと他社のサイトで同一人物であることが判明してしまうため、ユーザの許諾なくそれを使うとプライバシーを侵害することになる。そこでサードパーティcookieを使う場合はユーザの許諾を得ることを必須にする（デフォルトでは無効化する）というのがサードパーティcookie無効化の流れである。ブラウザを識別することによって

広告のリマーケティング／リターゲティング
広告配信や分析のためにオーディエンスリストを作る
コンバージョン計測（ビュースルー、クリックスルー）

一部分析用途もあるが、ほとんどは広告配信のために使われてきた。これら個別の用途を実現するためにさまざまなソリューションが提案されることがあるが、主に以下に分類される。

Privacy Sandbox
Google広告の拡張コンバージョン、Facebook広告のコンバージョンAPI
共通IDサービス
データクリーンルーム

これらはいずれも「ポストcookie」「cookieレス」ソリューションと称されることがあるが、それぞれ別のものなので、用途に応じて選択する必要がある。

サードパーティcookieに対する各ブラウザベンダの姿勢

サードパーティcookieに対して各ブラウザベンダはどのようにサポートしていくのか、Google（Chrome）とApple（Safari）のアップデートに見える方針を読み解いていく。

Appleの方針

ITPによってサードパーティcookieが無効化されると広告の行動ターゲティングができなくなるが、それについては特にフォローすることを考えていないようである。またサードパーティcookieが無効化されたり、広告媒体サイトからの流入時にcookieの有効期限が著しく短くなったりすると、広告のコンバージョン計測ができなくなるが、こちらについては広告配信の成果のカウントを個人の行動がわからない形で許容している。広告が表示されているサイトのHTMLと広告の成果が発生するサイト（自社）のHTMLとサーバ両方に細工をすることで、キャンペーン×成果地点ごとに集計されたレポートが送られてくるようになる。集計されているので、個人は特定できない。これをPrivate Click Measurementという。ウェブサイト／Safariだけでなく、iOSのアプリでも類似の実装（SKAdNetwork）が用意されている。 iOS 18／Safari 18では「高度なトラッキング・フィンガープリント保護」が追加され、トラッカーがサイト間でユーザを追跡することを完全にブロックするオプションが提供されている。またプライベートブラウジングの強化（リンクトラッキング保護、CNAMEクローキングトラッカーのブロックなど）も継続している。

Googleの方針

ユーザの同意なきトラッキングが悪であって、広告配信は必要。そのための技術はサポートするという方針のようである。広告配信のための機能としてはこれまで触れてきたターゲティングや効果測定に加え、不正対策などがある。サードパーティcookieに代わってプライバシーを保護した形でこれらを実現するための機能を開発してきたのだが、機能不十分ということでサードパーティcookieの廃止を諦めた。ただし代替技術自体はChromeに残されたままで、これらの技術をプライバシーサンドボックスといい、詳細は次の項で説明する。 Chrome 136以降では、サードパーティcookie廃止の代替としてIP Protection（IP保護）の導入が進められている。2025年Q3からシークレットモードでデスクトップとAndroid向けに段階的にロールアウト予定である。IP ProtectionはユーザのIPアドレスをマスクし、2ホッププロキシ経由でトラッキングを困難にする機能である。

Privacy Sandbox（プライバシーサンドボックス）

Googleをはじめとするアドテク事業者が、サードパーティcookieに記録された識別子とともにユーザの行動履歴を受け取り、配信の制御を行ってきた。つまりアドテク事業者のサーバで集中管理をしていたわけだが、その過程でアドテク事業者が個人のサイトをまたいだ行動履歴を取得する（トラッキングする）ため、プライバシーの侵害と指摘されるようになった。そこでサーバが個人の行動履歴を受け取らない形で広告配信に必要な機能を実現する。具体的にはこれまでサーバが行ってきた処理の一部をブラウザに任せ、ブラウザからは履歴情報そのものを送らないようにしつつ、それでもターゲティングや効果測定、不正対策を実現するという取り組みを始めた。これがプライバシーサンドボックスである。プライバシーサンドボックスはあくまでChrome（iOSのChromeは対象外）だけを対象にしたものであり、macのSafariやiOSのブラウザはすべて対象外である。 2025年10月時点のPrivacy Sandboxステータスでは、Topics API、Protected Audience API、Attribution Reporting APIは「廃止・削除予定（Deprecate and remove）」とされている。一方でPrivate State Tokens、Fenced Frames、Storage Access APIなどは引き続きサポートされる。最新のステータスは以下で確認できる。 https://privacysandbox.google.com/overview/status プライバシーサンドボックスを構成する各技術要素へのリンクは以下のページにある。 https://privacysandbox.com/intl/ja_jp/open-web/ これまで広告配信においてサードパーティcookieが担ってきた役割には主に以下のものがある。

アドフラウド検知
インタレストに基づいた広告
オーディエンスリスト、リマーケティングリストを作る
コンバージョン計測

これをそれぞれ置き換える技術を紹介する。

アドフラウド検知：Private State Tokens API（旧Trust Token API）

メディアサイトでは、ボットからのアクセスに対して広告を表示させたくない。人間であることを検証することが必要となる。以前はボットでない情報を共有するためにサードパーティcookieが使われてきたが、今後はPrivate State Tokensというものを使う。ユーザがあるウェブサイトAに訪問し、reCAPTCHAなどの入力など人間でないとできない行動をすると、ボットでないことを証明するトークンが発行される。そのトークンはブラウザに保存される。そのユーザが広告を表示すべき媒体側のサイトB（このサイトはそのユーザがボットでないことを確認したい）に訪問すると、サイトBがあらかじめ信頼したサイト（これがAに該当する）が発行したトークンをブラウザが持っているかどうかをブラウザ上で検索する。もし照合したら、サイトBはサイトAに照合したというリクエストを送り、サイトAから照合したことを証明するレコードを受け取る。サイトBは広告プラットフォームに対してそのレコードを付けたリクエストを送ると、広告プラットフォームから広告表示に必要なデータが返される。そしてサイトBで広告が表示され広告インプレッションがカウントされる。 https://privacysandbox.google.com/protections/private-state-tokens