「サードパーティークッキーの廃止の撤回」ってどういうこと?
2024年07月25日 木曜日
CONTENTS
7月22日にGoogleから「サードパーティークッキーの廃止を撤回する」という発表がありました。発表は英文ですが、日本のニュースでもその概容が報じられています。
ひとまず「現状維持」という発表であり、この発表によって現在のインターネットで何かが変わるわけではありません。ニュースで大きく扱われてはいますが、インターネットを利用する、Webサイトを見る立場では、しばらく静観していても差し支えありません。
- A new path for Privacy Sandbox on the web (Googleの発表)
https://privacysandbox.com/news/privacy-sandbox-update - グーグル、サードパーティCookie廃止方針を撤回 – Impress Watch
https://www.watch.impress.co.jp/docs/news/1610348.html - Google、サードパーティークッキー廃止方針を撤回 – 日本経済新聞
https://www.nikkei.com/article/DGXZQOGN2305Y0T20C24A7000000/
この件、「廃止を撤回」と言うわかりにくい話です。また、「クッキー(Cookie)」はプライバシーの問題で取上げられることも多く、廃止の撤回によって「私のプライバシーはどうなるの?」という事が気になります。そこで、「廃止の撤回」に至るまでの経緯を含めてざっくりとした解説を行ないたいと思います。
そもそもCookieってなに?
Cookieというのは「Webサイトを見ている人(Web閲覧者)」を区別するための仕組みです。
「Webサイトを見る」というのは、皆さんのお持ちのスマホやパソコンの「Webブラウザ」が、「Webサーバ」にアクセスして、文章や画像などのデータを取り出す、という動作に相当します。
実は、元々のWebの仕組みでは、Webサーバは「誰がサーバにアクセスしてきたのか」を区別することができません。Web (World Wide Web)が考案されたときには、そんな機能が必要とは考えられていなかったためです。
Cookieがない場合
そこで、後付けで「Cookie」という仕組みが考案され、Webにアクセスしている人を区別できる機能が追加されました。ただ、Cookieで分かるのは「さっき来たのと同じ人」ということだけです。Cookieがあるからと言って、Webへのアクセスを特定の個人(図の例だと、Xさん、Yさん)だと識別することはできません。
Cookieがある場合
実際のWebサイトでは、アクセスする人に「ログイン」をお願いすることがあります。このログインとCookieを組み合わせることで、Webサイトにアクセスしている人が誰かがようやく分かるのです。
Cookieとログインを併用
このように、Cookie自体はいきなり誰かの個人情報・プライバシーに触れる仕組みではありません。あくまでアクセスを識別するための技術です。また、ECサイトやSNSのように、利用者を識別して動作しなければならないWebサイトではCookieはかならず必要になります。
サードパーティークッキーって?
今回話題になっているのは、「サードパーティークッキー (3rd Party Cookie)」です。これもCookieの一種なのですが、ここまで出てきたものと少し扱いが異なります。それは、Cookieが複数のWebサイトをまたがって利用されるという点です。
サードパーティーCookieの説明のために、A社のWebサイト、B社のWebサイトという、無関係な二つのWebサイトがある事にしましょう。そして、ここにP社のWebサイトを追加します。P社のWebサイトと書きましたが、ここで想定しているのは、A社やB社のWebサイトに広告を配信している広告配信サービスのWebサーバです。広告の掲載場所はA社やB社のWebサイトであったとしても、広告自体はP社のWebサーバから直接配信されているケースがほとんどなのです。
(実際のWeb広告では、「広告表示を管理する会社(SSP)」「広告出稿を管理する会社(DSP)」「Web閲覧者の情報を分析する会社(DMP)」など、複数の会社が関与しているのですが、ここでは説明のために簡略化して表現しています)
広告の掲載されたWebサイト
XさんがA社のWebサイトにアクセスし、広告が表示されるとP社のWebサーバへのアクセスが発生します。また、同じくB社のWebサイトにアクセスしてもP社のWebサーバへアクセスが発生します。このとき、P社はXさんの広告表示に対してCookieの仕組みを適用することができるのです。
このP社が扱うCookieのことを「サードパーティークッキー」と呼んでいます。Web閲覧者はあくまでA社やB社のWebサイトにアクセスしたのであって、P社のWebサイトにアクセスしたという意識はないことがほとんどでしょう。利用者とアクセス先のWebサイトとは異なる会社が扱うCookieということで、「第三者(サードパーティー)Cookie」と分類しているのです。
通常、A社・B社の二社には何の関係もないので、同じ人(Xさん)がそれぞれのWebサイトにアクセスしていても、同じ人物とは認識されません。ところが、サードパーティーCookieを利用する事で、P社は、A社・B社という異なる会社のWebサイトに同じ人がアクセスしているということを追跡することができます。
広告配信サービス による追跡
最近の広告配信サービスでは、このような方法を使って、Webを見ている人を識別し、その人にマッチした広告を選んで表示するという仕組みを実現しているのです。広告配信サービス側ではこうした仕組みを「ターゲティング」などと呼んでいます。
このようなサードパーティーCookieの利用方法がCookieの考案時点で想定されたかどうかは定かではありません。ただ、元々のCookieの仕様は非常にシンプルで、こういった動作を禁止するような仕組みも特になかったというのが実態でしょう。広告配信サービスの進化の中でサードパーティーCookieの活用方法が発見され、利用が一般化したのだと感じています。
結局サードパーティークッキーの何が問題なの?
ネット上の広告が普及してきた結果、非常に規模の大きな広告配信サービスが誕生し、様々なWebサイトに広告を配信するようになりました。その結果、前述のP社に相当する広告配信サービスはある人がどういったWebサイトにアクセスしているか、非常に広い範囲で追跡が可能になってしまったのです。
また、こうした広範囲な追跡データを分析することにより、Web閲覧者のプロファイルが推測できるようになっています。ここで言うプロファイルは、その人の興味関心の方向性だけでなく、性別や収入の状況、宗教観や病歴のようなセンシティブな情報も含みます。
さらにこのような状況で、あるWebサイトのログイン情報と、P社のもつアクセスの追跡情報が結びつけられると、特定個人のプロファイルが本人の知らない状況で推定・蓄積されることになります。さらにこうしたデータが、売買され、マーケティングに活用されるといったことにもつながってしまいます。
Web閲覧者のプロファイリングと特定個人への紐づけ
この状況で問題なのは、サードパーティーCookieという、Web閲覧者が意識しにくい仕組みを使って、その人のプライバシーが推定されてしまうと言うことです。これが、「自分のプライバシーを自分で管理する権利」を侵害するのではないかとして問題視されるようになりました。
対応その1: クッキー同意バナー
この問題は、Web閲覧者が気づかないうちに追跡が行なわれている、という点が大きなポイントとなっています。そこで、Cookieが追跡に利用されていることを明示し、Cookieを拒否する選択肢を提示するという対応が考えられました。これは最近Webサイトでよく見かける「クッキー同意バナー」の機能の一つとして実装されています。
Cookie同意バナーの例
Webサイトにアクセスした際に、このようなバナーが表示されることが増えています。この画面で「Cookie拒否」を選択すると、このWebサイトでのサードパーティーCookieは無効※となり、このWebサイトにアクセスしたことは、広告配信サービスなどでは追跡されなくなります。
※クッキー同意バナーは、サードパーティーCookieの無効化以外の機能を提供している場合もあります。
クッキー同意バナーは「自分のプライバシーを自分で管理する権利」を侵害しないための取り組みだと言えます。
対応その2: サードパーティークッキーの廃止
また、別の対応として、そもそもサードパーティーCookie自体を廃止してしまってはどうかという検討もあります。サードパーティーCookieがなければ、従来の手法で広告配信サービスがアクセスの追跡を行なうことはできなくなります。
しかし、アクセスの追跡ができなくなると、広告配信サービスがWeb閲覧者マッチした広告を配信することができなくなります。現在のネット広告は、ターゲティングを行なうことが前提になっているため、それができなくなると、ネット広告の価値が下がってしまうのではないかという懸念が出ています。
Google 「プライバシーサンドボックス」
ここでGoogleが登場します。
Googleは、WebブラウザChromeの開発者として、Cookieやその他の機能の動作を変更することができます。また、Googleはネット広告の配信サービスとしても、高いシェアを持っています。Googleはその立場から、次のような提案を行ないました。
- サードパーティーCookieを廃止する
(Chromeの動作を変更することで、サードパーティーCookieが機能しないようにする) - 広告配信サービスに特化した情報送信の仕組みを作る
(Chromeにあたらしい機能を追加し、広告配信に必要な情報を送信させる)
Web閲覧者の行動を追跡(してしまう)サードパーティーCookieの代わりに、広告配信や成果の確認に必要な情報だけを送信させる、新しい仕組みを作ってはどうかという提案です。これによって、過剰なプライバシーの侵害を避けつつ、ネット広告の価値を維持しようというのです。
Googleはこのアイデアを「プライバシーサンドボックス」という名前で2019年に提案しました。そのときの想定は、2022年には「プライバシーサンドボックス」への移行を果たし、サードパーティーCookieの廃止を実現するというスケジュールでした。
しかし、この提案については次のような懸念が提示されます。
広告サービスの公正な競争に悪影響が出る
前述の通り、Googleはブラウザ開発者としても、広告配信サービスとしても高いシェアを持っています。そういった立場の会社が、自社に有利な仕組みを作るのではないかという懸念です。また、広告配信サービスの競合他社が、Googleの技術に依存しなければ広告を配信できないのは、競争上良くないのではという懸念もあります。例えばイギリス政府の規制当局は、サードパーティーCookieの廃止・プライバシーサンドボックスへの移行によって、Googleの寡占が強化されるのではないかと指摘しています。
「プライバシーサンドボックス」に移行すると広告配信の品質が下がる
Googleやその他の広告配信サービス会社は、プライバシーサンドボックスを利用して広告ターゲティングの実験を行ないました。しかし、プライバシーサンドボックスでは従来のサードパーティークッキーの代わりになるほどの品質が得られないという結果となったようです。このため、広告配信サービスの業界からも、プライバシーサンドボックスは支持されませんでした。
こうした状況を受け、GoogleはサードパーティーCookieからの移行方針を何度か延期しながら、公平性の説明や技術の改善を行なってきたのですが、結局十分な成果を上げることができなかったようです。
結果として、サードパーティーCookie廃止の方針を撤回することになってしまいました。
これからどうなるの?
当面のあいだ、現状のサードパーティーCookieを使った広告配信が続くことになります。
GoogleはサードパーティーCookieを使いながら、プライバシーを守れるような新しい仕組みを開発すると説明していますが、具体的にどのようなアイデアがあるのかはまだ明らかにされていません。
冒頭で書いたとおり「現状維持」という方向ですので、私たちが今何かをする必要は特にありません。今後新しい動きが見られたら、ご紹介したいと思います。
この記事ではサードパーティーCookieの廃止について、アウトラインを紹介しました。IIJが運営する BizRis (IIJ ビジネスリスクマネジメントポータル)では今回取上げた話題について詳しく解説しています。
- 連載:クッキー規制とは?(その1) – 欧米で強化されるクッキー規制 | BizRis
https://portal.bizrisk.iij.jp/article/28
BizRisでは、Cookieに限らずネット上でのプライバシーの課題について幅広く扱っています。企業でデジタルマーケティングを担当される方、コンプライアンスを担当される方は、是非最新情報をご覧ください。(会員限定記事、有料記事もあります)
- 世界のプライバシー保護規制対応を支援するサイト|BizRis
https://portal.bizrisk.iij.jp/
BizRis (IIJ ビジネスリスクマネジメントポータル)
