%3Cstyle%3E%0Aa%3Alink%20%7B%0Acolor%3A%20%2300D184%0A%7D%0Ah1%7B%0A%20%20color%3A%20%23333%3B%0A%20%20font-size%3A%2018px%3B%0A%20%20font-weight%3A%20700%3B%0A%20%20line-height%3A%201.6%3B%0A%20%20text-align%3A%20left%3B%0A%20%20max-width%3A%20100%25%3B%0A%20%20justify-content%3A%20flex-start%3B%0A%20%20position%3A%20relative%3B%0A%7D%0A%0Ah1%3A%3Aafter%20%7B%0A%20%20content%3A%20%22%22%3B%0A%20%20background%3A%20%230ee3a6%3B%0A%20%20border-radius%3A%203px%3B%0A%20%20height%3A%205px%3B%0A%20%20width%3A%2027px%3B%0A%20%20max-width%3A%20100%25%3B%0A%20%20position%3A%20absolute%3B%0A%20%20top%3A%20120%25%3B%0A%20%20left%3A%200%3B%0A%7D%3C%2Fstyle%3ECookieって?Cookieとは、ユーザーがGoogle ChromeやSafariのようなWebブラウザに訪問した際に、入力した情報や行動ログを一時的に保存する仕組みのことです。私たちがWebサイトを利用する際にログイン情報の入力の手間が省けたり、ECショッピングサイトでカートに入れた商品が残ったままだったりするのは、Cookieを活用した仕組みといえます。Cookieには、下記のとおり2種類あります。個人情報保護の観点から、Cookie規制の対象となるのは主に3rd Party Cookieです。1st Party Cookieユーザーが訪問したWebサイトの運営者が発行するCookieのこと 3rd Party Cookieユーザーが訪問したWebサイト以外の第三者が発行するCookieのことCookieのこれまでと今Cookieの誕生Cookieが誕生したのは、1994年のことです。当時、アメリカのネットスケープコミュニケーションズ社でエンジニアをしていた、ルー・モントゥリ氏によって開発されました。当時のWebサイトは、ユーザーが閲覧したサイトのURLや閲覧日時、入力したデータなどを、ユーザーのブラウザ上に保存していました。しかし、ユーザーが新しいページを読み込むと、これらのデータは全て消えてしまうという状況でした。つまり、ユーザーは過去に閲覧したサイトにアクセスできなかったり、同じ情報を何度も入力し直したりなど、不便を感じていたのです。そこで、ユーザーがWebサイトに訪れた際にブラウザに保存される小さなデータファイル、Cookieが開発されました。これにより、Webブラウザ上のユーザーのあらゆる行動履歴が取得できるようになり、利便性が向上しました。さらに、Cookieを用いたWebサイトの訪問者分析や、ユーザーの閲覧履歴から興味や関心の高い商品、サービスを配信するリターゲティング広告に活用されはじめました。Cookie誕生初期の懸念Cookie誕生当初は、すでにインターネットが普及しはじめていましたが、Cookieの登場によって個人情報保護に対する懸念が高まりました。例えば、Cookieで収集した「氏名」「住所」などから個人が特定でき、ユーザーのプライバシーが侵害される可能性があります。さらに、Cookieに保存された個人情報や行動履歴を用いて、不正アクセスや不正利用といった悪用のリスクも挙げられます。これらのリスクを回避するためには、法規制が必要です。実際に、Cookieが誕生した翌年の1995年にはEUデータ保護指令(※1)が制定され、個人情報保護に関する法規制が設けられました。※1.正式名称は、「個人データの処理およびかかるデータの自由な移動に関する個人の保護に関する 1995 年 10 月 24 日の欧州議会および欧州理事会の指令 95/46/EC」(https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31995L0046)GDPR施行とその影響GDPR(General Data Protection Regulation)は、2016年4月に制定、2018年5月に施行されたEU加盟国における法律で、日本語訳では「EU一般データ保護規則」と呼ばれています。前述のEUデータ保護指令はあくまで「指令」でしたが、GDPRは「規則」としてルールが厳格化しており、プライバシー保護を目的に制定されました。これにより、Cookieから取得した個人情報を企業(Webサイト提供元)が利用する際には、ユーザー本人から事前に同意を得ること(オプトイン)が必要になりました。なお、GDPRにおける個人情報(個人データ)は、以下のように定義されています。「個人データ」とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。(GDPR 第4条1項より)つまり、単一または複数の情報の掛け合わせによって、個人が直接的または間接的に特定できる情報は、全て個人情報ということになります。GDPRの施行によって、Cookieから取得した個人情報を企業が本人の同意なく利用したり、第三者に提供したりすることは禁止されました。違反した場合は、最大2000万ユーロ(約31億円)または企業の年間売上の4%の高い方が、制裁金として科される可能性があります。世界各国のCookie規制の現状<日本のCookie規制>・改正個人情報保護法2022年4月に個人情報保護法が改正され、新たに「個人関連情報」という概念が設けられました。なお、個人関連情報とは、以下のように定義されています。生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの(個人情報保護法 第2条第7項より)つまり、個人関連情報とは「個人情報には該当しないが個人に関する情報のこと」と解釈できます。CookieやIPアドレス、位置情報などは、単体では特定の個人を識別できないものの個人に関する情報であることから、個人関連情報に当たります。個人関連情報は、「個人関連情報取扱業者が個人関連情報の第三者提供を行う場合に、第三者がその情報を個人データとして取得する可能性があるとき」に規制対象とされています。例えば、ユーザー本人の合意なしに自社で取得したCookieを第三者に提供し、相手が持つIDなどの個人情報と突合することは、規制対象となり得るため注意が必要です。<海外のCookie規制>・CCPA(カリフォルニア州消費者プライバシー法)2020年1月に、カルフォルニア州の住民のプライバシー保護を目的としたCCPA(カリフォルニア州消費者プライバシー法)が定められました。CCPAでは、企業が本人の同意なしに個人情報の取得や活用をすることを禁じています。違反すると、最大2,500ドル(約36万円)または意図的な違反ごとに7,500ドル(約107万円)の罰金が科される可能性があります。CCPAの対象は、カリフォルニア州で年間売上2500万ドル以上の企業、又は州に拠点を置く企業で年間5000万ドル以上の収益を生んでいる企業です。そのため、カリフォルニア州の企業だけでなく、日本の企業にも適用される可能性があります。・PIPL(中国個人情報保護法)PIPLは、2021年11月に施行された、中国で初めての個人情報保護に関する包括的な法律です。GDPRをはじめとする、各国の法規制強化の影響を受けたといえるでしょう。PIPLでは、個人情報を氏名や住所、メールアドレスのほか、CookieやIPアドレス、オンライン識別子などの、特定の個人を識別できるまたは識別できることとなる情報と定義しています。PIPLの原則は、個人情報の取り扱いに関する目的の明確化や利用範囲の制限、同意の取得など、細かく設けられています。違反した場合、最大5,000万元(約10億円)または企業の前年度売上の5%という、高額の罰金が科されるリスクがあります。域外であっても、中国を対象とした事業を展開する企業は対象となるため、特に注意が必要です。Cookieレス時代到来!今後どうなる?さらなるCookie規制の強化2023年12月現在、プライバシー保護に関する世の中の関心が高まり、各国で法規制が強化される中で、2024年以降もCookie規制や廃止の動きはますます進んでいくでしょう。ユーザーからすると、企業やサイト運営者に自分のWeb上の行動をすべて見られている状態と同じなので、不愉快に感じる人も増えてきている状況です。それを受けて、最近ではCookie規制の強化やCookie廃止の動きが業界でさらに加速しています。2017年には、Appleが自社Webブラウザ「Safari」でのトラッキングを防止する機能「ITP(Intelligent Tracking Prevention)」を発表しました。その後も、新たなトラッキング規制やデータ利用明示強化などアップデートを重ね、2020年3月には3rd Party Cookieを完全にブロックしています。2020年1月には、Googleが自社Webブラウザ「Chrome」の3rd Party Cookieを2年以内に廃止する意向を示し、その後2度の期限延長を経て、2024年後半までに段階的に廃止される予定です。Cookie規制・廃止による影響は?3rd Party Cookieが規制されたり廃止されることによって、Webマーケティング業界に大きな影響を与えることが想定されます。ここで考えられる影響は、主に以下の2つです。・リターゲティング広告が利用できないリターゲティング広告とは、自社サイトに訪問したユーザーが他のサイトに移行した後も、ユーザーの行動を追跡して広告表示できる手法です。ユーザーの興味関心に応じた広告配信ができるため、効果の高い広告手法といえます。しかし、リターゲティング広告は3rd Party Cookieの仕組みを活かした手法であるため、3rd Party Cookieが規制されると利用が難しくなります。リターゲティング広告をメインとした事業やマーケティングを行っている企業は、特にダメージを受けるのではないでしょうか。・広告の効果測定が制限される3rd Party Cookieは、配信した広告からのCV(コンバージョン)を測定するために活用されるケースもあります。例えば、広告を見たユーザーがどのくらい購入や申し込みなどのアクションに繋がったかを計測し、傾向を分析することで、施策の改善や新たな施策検討に活かすことができます。さらに、ビュースルーコンバージョンのように、「広告を一度見たけどクリックしなかったユーザーが、別のサイトからアクセスして発生したCV」を計測することも可能です。ですが、3rd Party Cookie規制が強まることにより、CVの発生元や成果の要因を正確に把握できず、広告を活用したマーケティング戦略や施策に影響を与える可能性があるでしょう。Cookieレス時代の新技術このような「Cookieレス」が謳われる中で誕生したのが、2022年1月にGoogleがCookieの代替技術として発表した「Topics」です。Googleは以前より、ユーザーのプライバシーを守りながら、最適な広告表示の仕組みを作る取り組みとして「Privacy Sandbox」を提唱していました。Topicsは、Privacy Sandboxの一部として開発された技術で、ユーザーの閲覧履歴から興味関心のあるトピックを推測し、関連性の高い広告を配信する仕組みのことです。個人情報を収集・利用はしないため、3rd Party Cookieで懸念視されていたユーザーのプライバシー侵害といったリスクはありません。ユーザーは自らタグ付けされたトピックを確認したり削除したりもできます。さらに、ユーザーの閲覧履歴から関心のあるトピックを推測するため、ある程度のターゲティング精度が担保できるとされています。個人情報保護の観点では、3rd Party Cookieよりもはるかに安全性を担保できる一方で、企業のマーケティングにおいてどれだけ効果を発揮できるかは未知数です。少なくとも、Cookie利用時よりはターゲティング精度が低下すると推測されるため、Cookieレスのマーケティング戦略や施策を検討する必要があるでしょう。Cookieレス時代における、次世代のマーケティングCookieレス時代におけるマーケティング戦略として、大きく2つの考え方が挙げられます。ひとつは、1st Party Cookieの活用です。Cookie規制では、1st Party Cookieは対象外であるため、自社サイト等にユーザーを集客できれば、一定のユーザー行動分析や分析結果に基づいた施策検討ができます。一方で、仮に一定のユーザー情報を収集できたとしても、自社サイトを利用するユーザーに限られてしまうため、競合他社やターゲット属性以外のユーザー情報を得ることは困難です。そのため、やはり1st Party Cookieだけで十分なデータを収集するのは、難易度が高いといえます。もう一つは、Cookieレスのマーケティング施策検討です。3rd Party Cookieを用いたマーケティングは、企業側がユーザーをターゲティングして追跡していましたが、ユーザーから興味を持ってもらう仕掛けを作ることも、Cookieレス時代では重要になってきます。例えば、SNSのような自社サイト以外の媒体を用いることで、認知拡大やブランド力強化を狙うことができます。他にも、自社の商品やサービスの品質、購入体験の向上を図りファン作りをすることも重要なポイントです。いずれにせよ、ユーザー視点を重視するとともにユーザーからの信頼を得ることが、Cookieレス時代のマーケティングにおける成功の鍵となりそうです。まとめ2024年以降、3rd Party Cookieに依存しない「Cookieレス」の時代が到来します。Cookieを用いたマーケティングを行う企業は、Cookieの扱いには十分に注意するとともに、Cookieに依存しない施策の検討や対応を進めることが重要になるでしょう。当社が開発・運営する「ONE」では、10億枚以上のレシート情報を独自で保有しており、およそ600万人のユーザーIDと掛け合わせた1st Party データの収集・分析が可能です。少しでもご興味ございましたら、まずは資料請求や専用フォームよりお問い合わせください。