デジタルマーケティングに欠かせない技術であったサードパーティークッキーの廃止まであと1年ほどになりました。
背景には、クッキー送付によって得られるブラウザ情報について「個人情報」であるという認識が世界的に広がり、その取り扱いについて厳しい規制が設けられていることがあります。

また、サードパーティークッキーに限らず、個人情報の取り扱いについてより厳しい規制を設ける企業も出てきています。

Chromeで2023年後半に廃止予定

ユーザーが閲覧しているサイトの運営者ではなく、広告バナーなどを通じて第三者が個人のブラウザ情報を把握することで、サイトをまたいでネットユーザーの行動を追跡することが可能になる。
これがサードパーティークッキーを利用した広告手法ですが、世界的な規制強化の流れを背景に、ブラウザ各社はそれぞれに対応をとってきました。

Appleの「Safari」ではサードパーティークッキーがすでに廃止されているほか、Mozillaの「FireFox」でも、サードパーティークッキーを拒否する設定ができるようになっています。

そしてトップシェアを持つGoogleの「Chrome」の動向が注目されていましたが、GoogleはChromeでのサードパーティークッキーを2023年後半に廃止すると公表しています。

欧州一般データ保護規制(GDPR)では厳しい規制

各社のサードパーティークッキー廃止は、世界的な個人情報保護の流れをくんだものです。

なかでも規制が進んでいるのが欧州です。
EU域内(及びEEAの一部であるアイスランド、ノルウェー、リヒテンシュタイン)では、個人データ保護を規定する法律としてGDPR(=General Data Protection Regulation、一般データ保護規則)が2018年5月から施行されています。

GDPRは、以下のデータを個人情報として保護対象にしています(図1)。

図1 GDPRにおける個人情報
(出所：「What is personal data?」 欧州委員会)
https://ec.europa.eu/justice/smedataprotect/index_en.htm

氏名、住所、所在地に次いで、「online identifier(オンライン識別子)」も保護すべき個人情報に含まれています。
「オンライン識別子」にはIPアドレス、そしてクッキーが含まれています。

クッキーはネットユーザーのブラウザを識別するもので、個人の氏名や住所といった情報を把握できるものではありません。
しかし、ブラウザの閲覧情報も多数蓄積されていくと、氏名や年齢は不詳であっても一人の人物像を浮かび上がらせてしまいます。

オフラインの世界で例えるならば、個人の動向を追跡し続けることは、じゅうぶんなストーカー行為になり得るでしょう。
デジタルの世界でも、ブラウザの追跡によって氏名や住所まではわからずともかなり狭い範囲で個人が特定される可能性は非常に高く、個人情報として保護すべきという考え方です。具体的には、クッキーはユーザーの同意の下で利用されるべき、という方針です。

EUでは、このGDPRを受けて各国が独自の個人情報保護規定を打ち出しています。
そのうちのひとつ、フランスの個人情報機関であるCNILが、ユーザーの事前同意なしにクッキーを送付したとして、GoogleとAmazonにそれぞれ1億ユーロ、3500万ユーロという巨額の罰金を科した事例もあります*1。

アメリカでは自主規制の枠組み、日本では法改正

アメリカではサードパーティークッキーについて自主規制の枠組みがありますが、カリフォルニア州では消費者プライバシー法(CCPA)が2020年1月に施行されました。サードパーティークッキーなどを利用する場合、サイト運営者には「Do not sell my personal Information」ボタンを設置することなどを義務付けています。

そして日本では令和2年、3年の個人情報保護法改正により、クッキーは「個人関連情報」に位置付けられました。単独では個人情報には該当しないものの、クッキーで得た情報を第三者に提供し、第三者が自社で持つ情報と照らし合わせた場合に個人が特定できる場合は、個人情報として扱われます(図2)。

図2 提供先で個人情報となり得るデータの例
(出所「改正法に関連する政令・規則等の整理に向けた論点について（個人関連情報）」個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/201120_kozinkanren.pdf p2

欧米ほどの厳しさではありませんが、今後徐々に規制が強くなる可能性は十分に考えられます。

Appleは「IPアドレス」も保護対象に

そして、Appleのユーザー情報保護の動きがデジタルマーケティング業界に大きな衝撃をもたらしています。
Appleはサードパーティークッキー廃止にいち早く乗り出した企業ですが、ここにきてさらに厳しい個人情報保護の方針を打ち出しました。

国や地域によりますが「Private Relay(プライベートリレー)」と呼ばれる機能をiOS15、iPadOS15のほか、macOS Montereyではベータ版をiCloud+のサブスクリプションサービスとして導入しています*2。

プライベートリレーでは、ネットユーザーのIPアドレスまでも完全に隠すことができるようになります(図3)。

図3 プライベートリレー設定画面
(出所：「iCloud プライベートリレーについて」Apple)
https://support.apple.com/ja-jp/HT212614

プライベートリレーでは、ユーザーがサイトを閲覧するまでの過程を以下のようにしてプライバシー保護するというものです。

Appleはプライベートリレーについてこのように説明しています。
＜引用：「プライベートリレーについて」Apple＞
https://support.apple.com/ja-jp/HT212614

さらにAppleは、メールアプリにもIPアドレスをマスキングする機能を導入する予定です*3これが企業のプロモーションに大きな影響を与えると考えられます。

メールはマーケティングにおける重要ツールです。
中には本文中に見えない画像ピクセルを埋め込むなどの手法で、どのユーザーがメールを開封したか、いつ開封したかなどの情報を得るものもあります。

しかしAppleの新機能ではこれらは無効になります。メールを利用した追跡も許さないという形です。

「こっそり追う」形が無効になる時代に備えて

プライバシー保護が行政だけでなく、関連企業がそれに対応する動きを見せる中では、これまでのように「暗号で相手の動向をこっそり追う」手法はいずれ無効になる可能性があると考えるのが良いでしょう。

サードパーティークッキーによるブラウザ履歴の追跡は、もはやユーザーからすれば「個人情報を勝手に抜き取られた」という不快感が広がる可能性もあります。

今後、企業は顧客と接するにあたって、「堂々としていること」がより強く求められています。許諾を得て自社で集めたデータ、データを構築するための顧客との信頼が重要になります。

そのために社内でのデータ管理、顧客との密な結びつきを考え直す必要があります。

これまでの他人任せのデータ取得が効力を失う日は、そう遠くはありません。

---

*1
「個人情報保護法違反でグーグルに1億ユーロの罰金」JETRO
https://www.jetro.go.jp/biznews/2020/12/fd3aa70ab0fd7681.html

*2
「iCloud プライベートリレーについて」Apple
https://support.apple.com/ja-jp/HT212614

*3
「最新 マーケティングの教科書 2022」日経クロストレンド p131