【総まとめ】Cookie規制の影響とマーケティングにおける対策

eyecatch_220729_3

デジタルマーケティングやWEB集客に携わる方であれば、「Cookieの規制が強化」「Cookieが使えなくなる」といった話をよく目にされているのではないでしょうか。

近年、法律やGoogle・Appleのようなプラットフォーマ―により、国内外でCookieの取得や利用に対する規制の強化が進められています。

他方で事業者目線・マーケティング担当者目線では、専門的で多岐にわたるCookie規制に関して、全体像を把握し、適切な対策を取らなければなりません。

  • Cookieを活用したどんな機能が制限されるのか?
  • Cookie規制に対し、どのような対応が必要なのか?
  • Cookieの代わりとなる手段はあるのか?
  • そもそもCookieとはどのようなもので、何が問題なのか?

このような疑問を解消するために、本記事ではCookieの基本的な仕組みから、規制の背景や影響範囲、その対策方法までを解説いたします。

※本記事はブランディングテクノロジー株式会社による寄稿記事です。
LISKUL編集部監修のもと公開しています。

目次


Cookie(クッキー)とは

本章では、Cookie規制の話に入る前に、そもそもCookieとは何かについて解説します。

Cookieとは、本来インターネット利用を便利にするもの

Cookieとは、WEBサイトにアクセスしたユーザーの情報を記録したファイルのことです。ユーザーがWEBサイトを訪問した際に、WEBサーバーからCookieが発行され、訪問ユーザーのブラウザに保存されます。

ファイルの中には固有のIDが含まれており、それを基にWEBサーバーは個々のユーザーを識別することができます。

この仕組みにより、ユーザーは2回目以降のWEBサイト訪問時に、ログイン情報の入力を省略できるなど、スムーズなインターネット体験を得ることができます。

ファーストパーティ(1st party)・セカンドパーティ(2nd party)・サードパーティ(3rd party)Cookieとは

Cookieには、ファーストパーティCookie・セカンドパーティCookie・サードパーティCookieの3種類があります。各Cookieは、「誰が発行したのか」という違いがあります。

ファーストパーティCookieは、アクセスしているサイトの運営者から発行されるCookieです。
訪問したサイトでのみ機能し、高い精度でユーザーの行動を追跡できるという特徴を持ちます。

セカンドパーティCookieは、他社が運営しているサイトで発行されたファーストパーティCookieです。
例えば、サイトAが発行したファーストパーティCookieを、提携先であるサイトBに共有するとします。その場合サイトBにとって、サイトAから共有されたCookieはセカンドパーティCookieとなります。

サードパーティCookieは、アクセスしているサイト以外の第三者が発行したCookieです。
ユーザーを識別し、広告配信のターゲティングや効果測定などに活用しています。デジタルマーケティングには欠かせない存在ですが、プライバシー保護の観点から、近年特に厳しく利活用の制限が強化されているCookieです。

日常におけるCookieの活用例

では、Cookieは具体的にどのような場面で活用されているのでしょうか?

日常生活におけるインターネット利用では、以下のように活用されています。

  1. ログイン情報の保存(ID・パスワードの入力を省略できる)
  2. カート情報の保存(カートに入れた商品を保存できる)
  3. 検索結果のパーソナライズ(ユーザーが閲覧した商品と、類似の商品をおすすめとして表示できる)
  4. フォーム送信情報の保存(メールアドレスや住所などの入力を省略できる)

日常におけるCookieの活用例

マーケティングにおけるCookieの活用例

また、Cookieは企業のマーケティング活動において、以下のように重要な役割を果たしています。

  1. リターゲティング広告の配信(WEBサイト訪問ユーザーをターゲットとした広告手法)
  2. ターゲティング広告の配信(興味関心や行動履歴などに基づくターゲティングを行う広告手法)
  3. アトリビューション分析(マーケティング施策の効果測定手法の一つ。成果に直結した接点だけでなく、成果に至るまでの各接点の貢献度を評価する)
  4. アクセス解析ツール(訪問者を識別したり、流入元を判別したりできる)

マーケティングにおけるCookieの活用例

このように幅広い場面で利活用されているCookieですが、近年のCookie規制強化により、これらの機能も精度が下がったり、活用範囲の縮小が進んだりしています。


Cookie規制の背景

Cookieの利活用が規制されるに至った背景としては、ユーザーの意図しないところでも閲覧履歴や行動履歴が収集・活用されている点が、プライバシー保護の観点から問題視されるようになったことが挙げられます。

個人情報保護・プライバシー保護の気運が高まる中で、実際に起こったCookieの利活用をめぐる企業とユーザーの間に起きたトラブル事例をご紹介します。

事例①:Google・Facebookに275億円の制裁金

2022年1月、フランスのデータ保護当局がGoogleとMetaに対し、Cookie使用の同意手続きの方法が違法だとして、合わせて275億円の制裁金を課しました。

仏データ保護当局は、FacebookやYoutube上でのCookie使用の同意は1クリックで完了するにも関わらず、拒否するために複数回クリックさせるのは、閲覧履歴保存に対する拒否を妨げているとして違法と判断しています。

参考:仏、Googleとメタに制裁275億円 「クッキー」巡り|日本経済新聞

事例②:Facebook上で個人データを取得したとして告発を受け廃業へ

2016年、イギリスの選挙コンサルティング会社「ケンブリッジ・アナリティカ社」が、Facebook上で約8千万人分の個人データを不正取得したとして告発された事件です。
同社は、2016年のアメリカ大統領選挙やイギリスのEU離脱を巡る選挙時に、クイズアプリを通じて個人データを収集し、選挙結果に影響をもたらしたのではないかという疑惑を持たれていました。
告発を受けたことで事業の継続が困難となり、同社は2018年に破産申請手続きをして廃業しています。

参考:ケンブリッジ・アナリティカ社めぐる疑惑 これまでの経緯|BBC NEWS JAPAN

事例③「リクナビ問題」は国内の個人情報保護法改正に影響

2019年には、日本でもCookieの活用をめぐる大きな問題がありました。

就職情報サイト「リクナビ」を運営するリクルートキャリアが、就活生の内定辞退率を予測したデータを本人に十分な説明をせずに企業に販売していた、いわゆる「リクナビ問題」です。

この件においても、応募者の個人情報とリクナビのユーザーデータ照合のためにCookieが使われていました。

学生の同意を適切に得ることなくデータを提供していたことから、「提供元では個人が特定できないとして、本人の同意なくデータが第三者に提供される事例が存在する」と問題提起されました。

これは後に、2022年4月施行の改正個人情報保護法において、「提供先で個人データ化されることが想定される場合、事前にCookie利用への同意取得が必要」という規制が追加されるきっかけの一つとなりました。

参考:「クッキー」利用に法規制 リクナビ問題受け改正へ|日本経済新聞


Cookie規制の内容

Cookie規制の内容①:プラットフォーマ―による規制

前述のようなトラブルからユーザーを守るために設けられたCookie規制の内容について、まずはプラットフォーマー側の取り組みから見ていきましょう。

Apple社によるSafariでの規制

Apple社によるSafariでの規制

iPhoneなどで有名なApple社は、ターゲティング広告をプライバシーの侵害だとし、ブラウザ「Safari」へサイトトラッキングを防止する機能ITP(Intelligent Tracking Prevention)を導入しています。

着目すべき点は、Apple社は2018年からファーストパーティCookieの利用も制限している点です。現在、Apple社のOS(iOS)では、ファーストパーティCookieの保存期間は24時間にまで制限されています。

また、2020年3月からはサードパーティCookieを完全に削除する規制が敷かれています。

GoogleによるChromeでの規制

Googleも、WEBブラウザ「Chrome」におけるサードパーティCookieのサポートを2023年後半に廃止すると発表しています。

また2022年7月28日には、さらに2024年まで延期することを発表しました。

参考:Google、ChromeでのサードパーティーCookie廃止開始を2024年まで延期|ITmedia NEWS

Cookie規制の内容②:法律による規制

続いて、海外および国内の法律によるCookie規制について、ご紹介します。

海外の規制

海外における主なCookie規制は、「GDPR」と「CCPA」の2つが挙げられます。

■GDPR
GDPR(General Data Protection Regulation)は、EU加盟国にアイスランド、ノルウェー、リヒテンシュタインを加えた「欧州経済地域(EEA)」に所在する生活者のデータを保護するための法律です。

施行2018年5月
概要「個人データの処理と移転」に関する法律
目的個人情報保護とプライバシー保護の強化

GDPRでは、Cookieやメールアドレス、SNSへの書き込み、IPアドレスなどが「個人情報」として定義されています。更に、それらのデータの利活用にあたって、ユーザーからの「事前同意」を得ることが求められています。

例えば、「このままサイトの閲覧を継続した場合、Cookieポリシーに同意したことになる」といった、ユーザーの「許可/拒否」の選択動作が伴わない同意は違反とみなされる可能性があります。

海外の法律ですが、日本企業であってもEEA内に所在する人のデータを取り扱う場合は、規制の対象となるため注意が必要です。

■CCPA
CCPA(California Consumer Privacy Act)は、アメリカのカリフォルニア州における、同州に所在する人のデータ保護に関する法律です。

施行2020年1月
概要「住民の個人情報保護」に関する法律
目的同州居住者が、自身の個人情報を保護・管理できるようにすること

GDPRと同様に、Cookieも個人データとして定義されているほか、法の適用対象は日本を含む全世界に及びます。

Cookieなどユーザー情報の取得・利用について、GDPRと異なり事前同意は必要ありません。しかし、生活者から情報の利用方法に対する開示や削除の依頼があった場合、速やかに対応する必要があり、個人情報を適切に管理・運用していく体制が求められています。

CCPAは、米国初の広範囲かつ包括的な個人情報保護法で、影響力の大きなカリフォルニア州が導入したことで、今後他の州が追随する可能性も考えられます。

日本国内の規制

海外だけではなく、日本でも法律による規制が強化されています。

2022年4月に施行された改正個人情報保護法では、特定の条件に該当する事業者はCookie取得の事前同意が必要となりました。

改正個人情報保護法の大きな特徴は、「罰金刑の最高額が30万円から1億円以下に引き上げられたこと」と「Cookieを含むデータの利活用において、ユーザーの事前同意が必要な条件が明確にされたこと」が挙げられます。

改正個人情報保護法

改正前の個人情報保護法では、「特定の個人を識別できる場合のみ」を個人情報として保護対象にしていましたが、今回の改正で「個人関連情報」というものが新たに追加され、規制対象となりました。

「個人関連情報」とは、それ単体では個人を識別できないが、他のデータと照合することで個人を識別できるようになる情報を指します。

一般的にはCookie、IPアドレス、端末固有ID、広告IDなどの識別子、位置情報、閲覧履歴、購買履歴などが「個人関連情報」に該当するとされますが、明確には定義されておらず、一概には言えません。

「個人関連情報」の取り扱いに関して、以下に該当する場合は改正個人情報保護法の適用対象となる可能性があり、データの取得にあたって事前にユーザーの同意を得る必要があります。

  • 自社で保有する「個人関連情報」を、第三者へ提供する。
  • かつ、提供先の第三者がデータを加工・照合するなどして、個人が識別できる可能性が想定される。

■デジタルマーケティングにおける規制対象
デジタルマーケティングの場面では、以下のようなケースが規制対象となりえます。

  • 顧客情報を、広告のターゲティングに活用している。
    • 例:カスタマーマッチと呼ばれる手法。暗号化した顧客のメールアドレスを広告管理画面にアップロードし、双方のデータを照合・マッチしたユーザーに広告を配信
  • 解析ツール等で取得したIDと、顧客情報を照合している。
    • 例:Googleアナリティクスで取得したUser IDと、自社の顧客管理データベースで保有する情報を照合し、分析・リスト化する等

自社が改正個人情報保護法の適用対象となるかは、専門の事業者に相談してみるとよいでしょう。

他にも、2022年7月に施行された「改正電気通信事業法」では、オンラインサービス事業者を対象とした規制が明確にされ、事業者はサービス提供時に利用者に対して、Cookieポリシー(収集するCookie情報送信先サーバーなどの情報を通知するもの)の公表が必要となりました。

このように、Cookieを含むデータの利活用に関して、企業が負うべき責任が増大すると同時に、Cookie規制の影響を大きく受けるデジタルマーケティングの戦略・戦術の見直しも必要となっています。


Cookie規制によるデジタルマーケティングへの影響

様々なCookie規制の影響で、デジタルマーケティング施策においては、以下のような影響が出ています。それぞれ解説いたします。

  1. ターゲティング広告の配信量減少と精度低下
  2. コンバージョン計測精度の低下
  3. アトリビューション分析精度の低下
  4. Googleアナリティクス計測精度の低下

1.ターゲティング広告の配信量減少と精度低下

ターゲティング広告には、興味関心や行動履歴を基に配信を行う「人のターゲティング」と、特定のWEBページを広告配信面として指定する「面のターゲティング」があります。

Cookie規制により配信量減少や精度の低下が懸念されるものは、前者の「人のターゲティング」です。

これらは、広告媒体社が発行したサードパーティCookieに保存された行動履歴から類推した興味関心や、Cookie内の訪問履歴を基にターゲティングを行います。

そのため、プラットフォーマ―によりCookieを削除・廃止された場合、あるいは、法律に則りユーザーからCookieの取得を拒否された場合は、データを取得することができなくなります。

2.コンバージョン計測精度の低下

コンバージョン計測精度が下がることで、各マーケティング施策の適切な効果測定が難しくなり、ひいてはマーケティングの戦略・戦術全体の舵取りにも影響する可能性があります。

広告のコンバージョン計測にも、サードパーティーCookieが使用されており、すでにサードパーティーCookieを使用したコンバージョン計測が制限されているSafariでは、コンバージョン数の減少といった影響が出ている可能性があります。

さらに2024年以降は、Google ChromeでもサードパーティーCookie規制が適用されるため、影響の拡大は避けられない見通しです。

3.アトリビューション分析精度の低下

前述のコンバージョン計測と同様に、アトリビューション分析の精度が下がると、各施策の適切な評価がより難しくなります。

アトリビューション分析とは、コンバージョン直前の接点だけではなく、コンバージョンに至るまでに接触した複数の経路を評価する分析手法です。その「一人のユーザーが複数の経路を通った」という計測を行うために、サードパーティCookieが使われています。

例えば、あるユーザーが数日の間にリスティング広告⇒自然検索⇒バナー広告と、複数の接点を経てコンバージョンに至ったとします。アトリビューション分析機能を使うことで、評価モデルに応じて各接点にコンバージョンへの貢献度が振り分けられます。

アトリビューション分析は、ユーザー行動の多様化によりコンバージョン直前の行動だけでなく、その過程も適切に評価するべきという考え方のもとで活用されており、マーケティングに取り組むうえで重要な分析手法です。

4.Googleアナリティクス計測精度の低下(影響は小さめ)

Googleアナリティクス(GA)は、ファーストパーティCookieを使って計測しています。

そのため、サードパーティCookieを使った機能・ツールに比べると影響度は小さいですが、Safariからのアクセスの場合、1日でCookieが削除されます。

GoogleはこうしたCookie規制の動きに対して、ユニバーサルアナリティクス(UA)からGoogle Analytics4(GA4)への移行を控えています。

2023年7月1日をもって現行のUAの計測が停止し、GA4への完全移行となることが発表されています。GA4は、プライバシー保護の観点からCookieを使わずに計測のできる仕組みも用意されています。

そのため、ユーザーの個人情報を守りながら、従来よりも精度の高い計測になることが期待できます。


デジタルマーケティングにおけるCookie規制への対策

ここまで解説したように、Cookie規制による影響は多岐にわたり、デジタルマーケティングに取り組む事業者は考え方・手法のアップデートが急務となっています。
本項では、下記の3つの軸で対策をご紹介します。

①集客面での対策

  1. ファーストパーティCookieを活用した広告手法の導入
  2. クリエイティブの質を上げる
  3. Cookieを使わない広告手法の導入
  4. SEO対策、SNS集客など広告以外の手法の強化

②計測面での対策

  1. GTMサーバーサイド設置
  2. GA4導入
  3. Facebook広告コンバージョンAPI導入

③法律を守るための対策

  1. プライバシーポリシーの見直し
  2. Cookie利用への同意取得

1.集客面での対策

デジタルマーケティング施策の一つである広告配信において、これまではリターゲティング広告やオーディエンスターゲティング広告といった、特定の属性や嗜好を持つユーザーへ高い精度で広告を配信できる手法が主流でした。

しかし、これらの配信手法はCookie規制強化に伴い、配信量の減少や精度の低下の影響が出ています。これからのCookieに依存しないデジタルマーケティング集客施策として、以下のような対策が効果的と考えられます。

自社(ファーストパーティ)Cookieを活用した広告手法の導入

Googleアナリティクス(以下GA)で取得したデータを用いて広告配信を行う、GAリマーケティングという手法があります。GA管理画面とGoogle広告の管理画面を連携することで、実施することができます。

GAのアクセス・行動データを基に、過去に特定のページ訪問や行動履歴のあるユーザーやその類似ユーザーへ広告を配信できます。

GAはファーストパーティCookieを用いてデータを取得しており、そのデータをもとに広告を配信するため、規制の影響は受けにくくなります。
※ファーストパーティCookieを使った配信の場合でも、iOSユーザーのデータは24時間しか保持されない点に留意してください。

広告クリエイティブの質を上げる

ターゲティングの精度低下・母数減少といった影響が出ている中で、より多くのユーザーに広告クリックやコンバージョンといった行動を起こしてもらうために、広告クリエイティブを磨き上げることも重要です。

ターゲットが普段どのような悩みやニーズを持ち、どのような情報を求めているのか。それらを的確に把握し、広告クリエイティブへ反映させることで、クリック率やコンバージョン率の改善を図りましょう。

Cookieを使わない広告手法の導入

Cookieに依存しない、Cookieを使わない広告手法も有効です。

  • コンテキストターゲティング広告
  • Googleファインド広告

一つ目のコンテキストターゲティング広告は、Cookieを使う配信手法が人へのターゲティングとするならば、こちらは特定のWEBページなどの面へのターゲティングです。

広告配信側が指定した特定のテーマ・キーワードに関するページや、広告主が指定した特定のURLを広告配信先としてターゲティングするため、ユーザーのデータは不要です。近年では、WEBサイトの内容をAIが読み取り、広告のリンク先ページを自動で最適化してくれる広告媒体もあります。

二つ目のGoogleファインド広告は、Cookieを使わない配信手法の1つです。
ファインド広告とは、画像・テキスト形式で配信できる広告で、Cookieは使用せずGoogleログインユーザーの検索履歴・閲覧履歴などを基に広告を配信します。Cookie規制の影響を受けず、幅広い掲載面に高精度で配信できるメリットがあります。

<Googleファインド広告の掲載面>

  • Google Discover(スマホでGoogleを開いた際に、おすすめコンテンツが一覧で表示される枠)
  • Youtube内
  • Gmail

広告以外の集客手段の検討

ここまで広告に関する対策をご紹介しましたが、Cookie規制の影響は今後も避けられない見通しであることから、広告以外のマーケティング施策も重要性も高まっています。
例として、SEO対策やSNSによる集客など、自社の目的・状況に応じてマーケティング全体の見直しを行いましょう。

2.計測面での対策

Cookie規制の影響を軽減するための取り組みだけではなく、ユーザーのプライバシー保護を意識した計測環境にシフトすることも求められています。

Googleタグマネージャ(GTM)をサーバーサイドに設置

Cookieへの制限が緩和されることによるタグの計測精度向上と、ユーザーデータのセキュリティ強化のメリットがある手法です。

Googleタグマネージャ(Google Tag Manager、以下GTM)とは、広告の効果測定やアクセス計測などに使用するタグを一元管理できるGoogleの無料ツールです。GTMタグをWEBサイトのソースコードへ設置することで機能します。

GTMは通常、管理しているタグの処理をブラウザ上で行うため、広告などのサードパーティCookieは制限の影響を受けることとなります。

しかし、仮想サーバー「Google Cloud Platform(※)」上にGTMを設置し、必要な設定を行うことで、サーバー上でタグの処理が行われ、本来サードパーティCookieとして発行されるものがファーストパーティCookieとして扱われます。

また、サイト運営者のサーバーという、ユーザーから切り離された環境で処理されるため、顧客のデータが守られセキュリティが強化されます。
※Google Cloud Platformの利用には費用が発生します。

GA4導入

GA4の導入は、WEBサイト集客を行う事業者にとっては必須です。

IPアドレスやCookieなどのユーザー情報を保存しない方法でデータを収集するため、Cookie規制に対応しています。

本格稼働は2023年7月からと発表していますが、自社WEBサイトに合わせた計測環境を構築しておくためにも、早期の導入・検証をおすすめします。

Facebook広告 コンバージョンAPI導入

Cookieに依存しない効果測定に取り組み始めているのは、Googleだけではありません。

FacebookもCookieを使用しない効果測定方法として、コンバージョンAPI(CAPI)を提供しています。

これまでは、Cookieを使用するFacebookピクセルタグで、ユーザーの行動データを取得していました。
コンバージョンAPIでは、広告主側のサーバーからFacebookの広告サーバーへ直接データを送信します。送信された行動データと、Facebook広告サーバー内のユーザー情報を照合することで、Cookieを使用しない効果計測を実現しています。

コンバージョンAPIは、既存のピクセルタグとは異なり、ブラウザの読み込みエラーや接続の問題、広告ブロッカーに影響されにくい効果計測ができます。

3.法令を遵守するための対策

個人のプライバシー保護に関する世論の高まりや、企業に求められる個人情報保護・管理責任の増大に伴い、レピュテーションリスク(企業やブランドに対するネガティブな評判が広まることによって生じる損失リスク)を被る可能性があります。

今一度、自社のデータ利活用状況の整理と、適切な対応ができているかを確認しましょう。

プライバシーポリシーの見直し

まずは、自社WEBサイトに掲載されているプライバシーポリシーの内容が、改正個人情報保護法や改正電気通信事業法などの最新の法令に則っているかどうかを確認しましょう。

改正個人情報保護法において、プライバシーポリシーで必要となる対応は主に以下の4点が挙げられます。

詳しくは、法律の専門家やプライバシーコンサルティングを提供する会社などに相談することを推奨します。

  • 個人情報保護のために講じている安全管理措置についての詳細
  • 海外に個人情報を提供する場合の詳細説明
  • プロファイリング(個人の特性を自動的に推測する行為)に関するより詳細な記述
  • 個人情報を基に行動・関心等を分析する場合、それがどのように取扱われるか、利用目的を明記

Cookie利用への同意取得

一部のケースでは、WEBサイト訪問者へCookie利用に対する同意を求める環境が必要です。
具体的には、Cookieを他のデータと照合することで、個人を識別できる情報になる場合、事前にユーザーからCookie利用への同意を取得する必要があります。

同意を得る方法としては、ツールやシステムの導入があります。

WEBサイトを訪問したユーザーへ、ポップアップバナーを表示させ、ボタンやチェックボックスのクリックといった操作を伴う方法で同意を求めます。ツールの中には同意情報を管理する機能を持つものもあります。

注意が必要な点としては、全てのWEBサイトにおいて事前同意の取得が必要というわけではないことと、自社のデータ活用状況等によって同意を得る際に明示すべき情報も異なることです。

同意取得が必要/不要なケースや法律に合わせたバナーの要件などは、専門のツール提供会社などに相談することをおすすめします。


まとめ

  • Cookieは本来ユーザーのインターネット利用をスムーズにする便利な仕組みだが、プライバシーの観点からその利活用が問題視され、規制の強化が進んでいる。
  • デジタルマーケティングにおいてCookie規制は、主に広告と効果計測に大きく影響している。
  • 法規制を守ることはもちろん、集客面・効果計測面のそれぞれで考え方や手法のアップデートが必要。

Cookie規制の影響と、それに合わせた対策の実施は、WEB集客に取り組む上で避けて通ることはできません。
『脱Cookie』の取り組みは、デジタルマーケティングへの影響を軽減するだけでなく、消費者からの信頼を守るという意義もあります。
これからの『脱Cookie時代』に向けて、自社が適切な対策を行えているか、今一度確認してみましょう。