Cookieの利用規制とWEB広告への影響についてまとめる


そもそもCookieとは?

Cookie(クッキー)とは、ブラウザ上に保存されているユーザ情報や行動ログのことです。
会員登録したサイトのログイン情報や広告配信(リタゲ)やCV計測にもCookieが利用されています。
例のように、Cookieは小さなテキストデータ形式で保存されています。

Cookieの例(JS)
document.cookie = 'a=foo; path=/';
document.cookie = 'b=bar; path=/';

また、Cookieには発行元によって2種類に分けることが出来ます。

1st Party Cookieとは?

ユーザが訪問しているWebサイト(ドメイン)から発行されるCookieのこと。
主にWEBサイトのログイン情報などに使われています。

GTMやGAを使うとURLに「?_ga=xxx」といったパラメータが付与されるのが、この方式です。

3rd Party Cookieとは?

ユーザが訪問しているWebサイト(ドメイン)以外から発行されているCookieのこと。
GoogleなどのWEB広告媒体から発行されたものもさします。

ECサイトを訪問後、サイト外にでもその商品の広告がしつこく表示されるのはこの仕組みを使っているためです。

WEB広告のCookieは1st Partyなのか??

WEB広告のCookieは2側面からとらえる必要があります。

  1. CV計測の側面からみたCookie
  2. ターゲティングの側面からみたCookie

CV計測の側面からみたCookie = 1st Party

まず「CV計測の側面からみたCookie」は【1st Party Cookie】です。
例えば、Google広告の場合、GCLID(GoogleクリックID)というパラメータがURLに付与されます。

GCLIDは、媒体側が広告経由のユーザを特定するために発行している1st Party Cookieです。
GCLIDが紐づいたユーザがCVすれば、WEB広告担当者はどの広告からコンバージョンが発生したのかを広告管理画面でも認識することができます。

また、GCLIDはGoogle広告の自動タグ設定機能をオンにすれば、自動的に生成されます。

GCLIDの例
example.com/foo?a=b&gclid=Tester123#xyz
example.com/foo?gclid=Tester123#xyz

※2019年5月から影響が出ており、どの媒体でも既にCV計測期間は1日(Yだけ7日)。

ターゲティングの側面からみたCookie = 3rd Party

リマーケティングやリターゲティングで用いるCookieは【3rd Party Cookie】です。
ユーザがあるサイトを訪問した際、そのサイト内に仕込まれているタグにより、広告媒体側(GoogleやYahooなどのアドサーバ)からブラウザ宛てにCookieが生成されます。

そのCookieは、広告媒体から発行されていますので、当然3rd Partyです。
これらは、ブラウザとアドサーバ双方に保存されている為、ユーザがドメイン外に出ても、そのアドサーバを介して広告を配信することができます。

※今回主に規制されている(既に使用不可)のがこれ。リタゲは徐々にできなくなる。

Cookie規制の背景

そもそも企業がCookieという形でユーザを追跡することに反対の動きがで始めたのは、ケンブリッジ・アナリティカ事件に端を発します。
イギリスの選挙管理会社であった同社は、8000万人を超えるユーザ情報を政治的な理由に利用したとされ、2018年には自己破産に追い込まれました。

日本

世界的なCookie規制の動きは日本にも波及し、2020年3月に個人情報保護法が改正されました。
ユーザは自らの個人情報の開示に事前同意・拒否を選択できるようになりました。
また、

ちなみに、個人情報保護法(2020)ではCookieを"個人関連情報"とし、特定の個人が識別できない要素と定義しています。

EU

世界では日本よりも先駆けた動きが見られ、EUでは「GDPR」(EU一般データ保護規則)が定められました。
ユーザは、自分自身でCookieを開示するか否かを事前選択できるようになりました。
2018年ごろから、WEBサイトにCookie利用同意のためのポップアップが出るようになったのはその影響です。

また、GDPRではCookieは個人情報として明確に定義されているのが特徴です。

アメリカ

また、アメリカでは「CCPA」(カリフォルニア州消費者プライバシー法)が定められました。
アメリカ版のGDPRとして注目されており、2020年1月に施行されました。

基本的には、GDPRと同一の内容であり、以下の3点が定義されています。

  • 事業者が収集する個人情報についての開示を要求する権利
  • 個人情報が共有される第三者についての開示を要求する権利
  • 収集された個人情報の削除を要求する権利

Appleが規制に乗り出してきた

GAFAのうち、GoogleとFacebookは広告事業が大きな収益割合を占めており、AmazonもECサイトでCookieを活用していることから、その規制には及び腰でした。
しかし、Appleのビジネスモデルは、主にデバイスとサブスクリプション事業であり、そうしたCookie規制の流れに最も応じやすい立場でした。

そこで、Appleは同社のブラウザ(Safari)を用いるユーザを対象に徐々にCookieの規制を行っています。

ITP(Intelligent Tracking Prevention)って何?

ITP(Intelligent Tracking Prevention)とは、Apple製のブラウザ(Safari)でのCookieによるユーザトラッキングを防止する仕組みです。
2017年6月のWWDCでAppleが発表しました。

Appleはかねてより、ユーザの個人情報保護の観点から企業によるサイト外への追跡(トラッキング)を防止する方針を掲げていました。
そこでリリースされたのがITPで、広告のリターゲティングや購入経路の計測、ユーザーデータの蓄積を防ぎます。
この機能は毎年強化されており、2020年9月現在はITP2.3+αが最新版です。

AppleによるITPアップデートの歴史

Safari Ver. ITP Ver. Announced at Detail
Safari 11.0 ITP1.0 2017/06 トラッカードメインの3rdPartyCookieが24hで削除(1stPartyCookieは可)
Safari 12.0 ITP2.0 2018/09 トラッカードメインの3rdPartyCookieが使用不可(1stPartyCookieは可)
Safari 12.1 ITP2.1 2019/03 1stPartyCookieが7日で削除(localstorageは可)
Safari 12.1.1 ITP2.2 2019/05 パラメータ付1stPartyCookieが24hで削除(localstorageは可)
Safari 13.0 ITP2.3 2019/09 パラメータ付localstorageに制限
Safari 13.0.4 PTPT 2019/12 Interactionの前は3rdPartyCookieが使えない
Safari 13.1 none 2020/03 トラッカードメイン以外の3rd-party cookieもブロック・パラメータ付流入のlocalstorageの有効期限が短くなる・クロスドメイン時のリファラがドメインしか取れない

ITP2.3状況(2020年9月時点)

Safari13.1では、Cookieの取り扱いについて、下記の状況です。

  • 全ての3rd Party Cookieが使えない
  • LocalStorageの有効期限が7日間に短縮
  • クロスドメイン時のリファラがドメイン迄しか取得できない
  • 1st Party Cookieも24hしか計測できない

全ての3rd Party Cookieが使えない

広告領域で言えば、2020年3月頃から既にCookieを用いたリターゲティング配信が難しくなりました。
ただし、YahooやGoogle各社は対応機能の提供を行っており、かろうじてリタゲ配信が出来ていました。

しかし、2021年にiOS14にアップデートされるタイミングで、Yahooでは対応機能で用いていたバウンストラッキングが難しくなることから、サイトリタゲは完全に不可能になります。

LocalStorageの有効期限が7日間に短縮

ローカルストレージ(localStorage)とは、ブラウザにデータを保存する仕組みです。
CV計測期間を引き延ばすために使われることがあります。
Cookieとの違いは以下の通りです。

  • 容量が多い
  • 半永久的に保存(ITPでは7日に規制)
  • 必要時のみデータが送信される

これらの保存期間が7日を過ぎた場合、強制的に削除されてしまいます。
また、この方式は追加で規制されていくことが予想されます。

クロスドメイン時のリファラがドメイン迄しか取得できない

異なるドメインへの遷移時に、JSで取得できるリファラがドメインのみになります。
クロスドメインとは、複数ドメイン間でユーザ情報を紐付けて管理する仕組みのことで、広告出稿もその影響を受けます。

ITPに対する各媒体の対応状況

最新のITP2.3に対する、各広告媒体の対応状況です。
正確でない可能性もある為、随時アップデートしていきます。

媒体名 対応ITP Ver. Cookieの期限 リターゲティング CV計測に対する対応
Google広告 ITP2.0 24h サイト訪問後24h(iOS14以降は不明) 独自の計測ロジックで計上(?)
Google Analytics ITP2.0 24h
Yahoo! 広告 ITP2.0 24h サイト訪問後24h(iOS14以降は広告のみ1日可・Appはほぼ不可) LocalStorageで7日に延命(?)
  • 媒体社独自のデータからコンバージョン数を類推
  • 基本的に計測ロジックは非公開
  • 3rd Party Cookieに頼っているYahooは計測・配信に影響大

話題になっている次回ITPアップデート

  1. IDFAの利用がほぼ不可能になった(※延期 2021年4月末にリリースされたiOS14.5でオプトイン方式になりました。)
  2. ITPにバウンストラッキング対策が搭載された
  3. アプリ内WebViewにもITPが適用された

今回のアップデートはGoogleもYahooも影響を受けますが、その中でも大きく影響を受けるのはYahooです。
まず、IDFAの取得がほぼ不可能になるため、Yahooではアプリ内でリタゲ広告の配信がほぼできなくなりました。
次に、バウンストラッキング対策が搭載されたことにより、WEBでのリタゲ配信が難しくなりました。
また、SafariだけでなくChromeやIn-AppブラウザでのCV計測が1日に短縮されました。

つまり...
・Yahooがやばい
・1年かけて、リタゲが徐々にできなくなる
・Googleはデータを豊富に持っている為、リタゲ可能(?情報が少ない)

各媒体の対応状況

媒体名 リターゲティング CV計測
Google広告 発表ナシ 発表ナシ
Yahoo!広告 iOS14以降は広告のみ1日可・Appはほぼ不可 LocalStorageで7日に延命(別途対応)

リターゲティング

2021年初めにリリースされるiOSでは、リターゲティングが出来なくなることが予想されます。
既にYahooは広告を踏まなかったユーザのリタゲ配信がほぼ不可能になることが発表されていますが、Googleからの発表はありません。

対策として以下がありますが、いずれも不完全です。

  • 自社データの活用
  • オーディエンスターゲティング
  • ラストクリックCPA以外の指標によるディスプレイ広告評価

CV計測

また、CV計測に関してはYahooではCV補完タグとローカルストレージを用いて7日に伸ばすことが出来ますが、これも規制の対象とされる可能性があります。
Googleは独自のロジックを用いてCV数を類推すると言われていますが、計測ロジックは非公開になっています。

Googleも追従の動き

GoogleもChromeに対する3rd Party Cookieのサポートを2022年までに打ち切ります。
3rd Party Cookieに対する規制のため、リタゲ分野のみでの影響になりますが、
Googleはユーザデータを大量に保持している為、精度の高いリタゲを行うことが可能だとも言われています(実際は分かりませんが)

まとめ

  • iOSでのCV計測は2019年5月から2割程度減っている可能性がある。
  • 各社の追従が無ければ、今後ガクッとCV計測数が減ることは無い。既に減っている。
  • YDNのリタゲは今後1年かけて完全不能になる可能性が高い。既に徐々に縮小している。
  • 今は出来ているGDNのリタゲは未知。Googleのデータを用いて出来るようになるのではないか(まだ公式アナウンスがない※2020年11月)

宣伝です

このnoteはAteam Brides Inc. Advent Calendar 2020の9日目の記事です。
明日は@kcnao37が「何か書く」そうなので乞うご期待です(^^♪