Cookieを基盤にして発展してきたデジタルマーケティング
デジタルマーケティングの売りの一つは、クリックやコンバージョンといったユーザーの行動指標を計測できることです。従来の広告、例えばテレビCMの場合は、CMを見て何人の視聴者が実際に商品を買ったかを計測するのは難しいですが、ネット広告であればその後のオンライン行動が計測できます。
インターネットの広告費が伸びていることの大きな要因として、メディア視聴時間の変容はもちろんありますが、この「計測可能性」もネット広告の魅力の一つと言えるでしょう。
広告の効果測定だけでなく、ユーザー単位での興味関心に基づくターゲティングやクリエーティブの出しわけ、ユーザーひとりひとりの見込み度に合わせた自動入札など、ネット広告の魅力は数多くあります。これらはすべて、さまざまな場面における個々のユーザーを一貫して同一のユーザーとして判別できることに立脚しています。
こうした個々のユーザーの同一性を担保するための識別子として使われている基盤が、「Cookie(クッキー)」と呼ばれる技術です。現在のデジタルマーケティングは、このCookieという基盤に大きく依存して発展してきました。
本連載では、このCookieに対して現在巻き起こっている規制の議論や、そのことがデジタルマーケティングに与える影響、そして必要とされる対策について見ていきたいと思います。
なお、こうした基盤として利用されてきたIDとしては、Cookieのほかにアプリ面で利用されてきたモバイル広告ID(ADID/IDFA)も存在します。ただし今回は、より今後の影響が不明瞭なブラウザ面に議論をフォーカスします。
なぜCookieに制限が掛けられたのか?
最近、さまざまなメディアで報じられている通り、Cookieの利用については各種の制限が掛けられるようになってきています。
代表的なものとしては、Apple社のITP(Intelligent Tracking Prevention)が挙げられますし、Google社のChromeブラウザも今後3rd Party Cookie(サードパーティ・クッキー)を規制する方針が発表されています。
このCookie規制について、規制という言葉だけを捉えるとネガティブなものと受け止められるかもしれませんが、まずはそのように捉える必要はないことを説明します。
そもそもこうしたCookieの利用に対する制限がかけられるようになった背景として、ユーザーのプライバシーを保護し、自分のデータの利用に対する決定権は自分で持てるようにするべきだ、という考え方が浸透してきたことが挙げられます。
氏名や住所、電話番号やメールアドレスと異なり、Cookieやモバイル広告IDなどのWebブラウザやアプリ上の識別子をもとに計測される情報は、単体では個人を特定できないことから個人情報ではないとされ、第三者を含むデータベンダーが利用者の明示的な許諾を得ることなく自由に計測・流通させてきた歴史がありました。
ところが、こうしたデータのやり取りが発展するにつれて、1つ1つのデータは個人を特定できなくてもデータを組み合わせることで個人が特定できる可能性があり、ユーザーが想像もしていなかった形でデータが利用されることで、ユーザーの不利益になりかねないケースも出てきています。
こうした状況を踏まえて、ユーザー保護のためにさまざまな取り組みがなされているのが昨今の状況と言えます。
しかし、これはネガティブに捉えるべきものではありません。まず大前提として、本来データを利用する際は、ユーザーに対してどういったデータを取得し、どのように利用するのか、正しく説明して許諾を得るべきものです。
実際にほとんどの場合、広告主の観点からみると、プライバシーポリシーのページにはデータの取得や利用目的について記載がありますし、データベンダー事業者も広告が出ている理由の説明やオプトアウトの手段を提供する努力をしています。
一方で、法的な意味ではCookie情報は個人情報としての規律を受けてこなかったため、必ずしもすべてのデータ項目や目的について明確に記載はなく、暗黙の了解で進めてきたケースもありました。
そしてなにより問題なのが、こうした適切な許諾を取っている広告主や事業者と、適切な許諾を取っていない事業者が、利用している基盤となる技術はどちらもCookieであり、外形的には区別がつかないことです。
いわば従来は暗黙の了解のもとでやってきていた部分を、一部の事業者が「悪用」してしまったことで、結果的にCookie全体の規制という事態を招いてしまったという見方もできます。
だからこそ、いま改めて意識すべきは、暗黙の了解に頼るのではなく、利用データと目的を明らかにしたうえでユーザーから明示的に許諾を得ることを前提とする、ということです。
本質的には、これはもともと実施すべきことであり、Cookie規制はその良い機会と捉えることもできると言えます。こうしたCookieに依存しない状況を「Cookieフリー(脱Cookie)」と呼び、プライバシー保護の理念に沿って、各種のソリューションをCookieフリーに対応させていくことが今後のテーマとなっていくでしょう。
具体的なCookie利用の制限の内容
ここまではなぜCookieの計測が制限されるようになってきたか、というポリシーの観点の議論を見てきました。ここからはCookieという技術的な観点で現在起こっている規制を見ていきたいと思います。
まず前提として、この規制はブラウザ事業者が主体となって行われます。Cookieに基づく計測は、ブラウザの仕組みを利用することで成り立っているので、その利用の規制もブラウザ事業者が主体となって行われる、というわけです。
こうした規制を最も積極的に行っているのが、Apple社および同社の開発するブラウザであるSafariです。その歴史は古く、2017年からITP(Intelligent Tracking Prevention)という規制を導入し、Cookieの利用に対して制限をかけてきました。
その詳細には触れませんが、下図の通り規制に対する回避策がアドテクベンダーを中心に生まれ、その回避策に対しさらなる規制が行われる、といったいたちごっこの様相を呈してきたと言えるでしょう。
特にデジタルマーケティングに影響が大きいのは、3rd Party Cookieの即時消去(ITP2.3)と、計測目的における1st Party Cookie(ファーストパーティ・クッキー)の有効期限の24時間への短縮です(ITP2.2)。
ITPによる規制に加えてApple社がアナウンスしているのが、iOS14.5(2021年4月リリース)で適用されたPCM(Private Click Measurement)です。ITPとは異なり、PCMはそれ自体では追加の技術的な規制を行うものではなく、あくまでポリシーとしてクロスサイトトラッキング(サイトを横断した計測)を防止することを宣言しつつ、代替手段としてApple社がブラウザの機能を用いて計測を肩代わりする機能を提供する、というものです。
余談ですが、PCMがリリースされたiOS14.5では、同時にATT(App Tracking Transparency)というアプリ広告向けの規制も適用されました。
図でまとめている通り、ATTの場合はIDFA(Identifier for Advertisers)というアプリ広告領域におけるCookieとも言うべき識別子自体がデフォルトでオプトアウトになるという規制がセットであったため、代替レポート機能の「SKAdNetwork」を使わざるを得ない、という状況になっています。
一方でブラウザ領域については、代替レポート機能のPCMが提供されてはいるものの、引き続きCookieを利用した計測は一部可能なことから、アプリ領域ほどはPCMへの移行は進んでいません。ただしアプリ領域の状況を踏まえると、いつPCMへの完全移行をしなければならないような追加規制が発動されるかは未知数と言えます。
次回は、規制によってできなくなることの詳細と、デジタルマーケティングに対する影響を見ていきます。