つながるプリントラボ

はじめにCookieを理解する前提として谷口氏は、インターネットの仕組み自体を把握することが大切だと言います。まず理解が必要なのはHTTPという通信方式についてです。普段皆さんが使われているブラウザはサーバと通信（要求⇔応答）してWebページを見たりECで商品を購入したりしていますが、この際に使われているHTTPという通信方式は、ブラウザからHTMLファイルの要求があった際、これを受け取るサーバ側は、その要求が前と同じ人かどうか、前の通信と連続性があるのかを知ることができない仕様です。
これではECで商品を買う時、カートに入れた通信と決済の通信が同じブラウザなのか特定できず、Webサイトの閲覧履歴をサーバ側で表示するなどをしたい場合は実現できない状態でした。

この問題を解消するために1994年NetScape社によって初めてCookieという仕組みが開発され、現在のChromeやIEなど各社ブラウザが採用し現在に至っています。
そしてこのCookieは、サーバから任意の値を付与されブラウザに保存されます。このCookieの値でブラウザを特定する仕組みになっています。これによりWeb上で通信の連続性を担保できるようになりました。

技術的な発展とともに、Cookieも様々な種類が誕生したと谷口氏は言います。

前述の“Cookieとは？”の通り、インターネット黎明期はWebサイトの利用上の不便さを解消するためにCookieを利用することが基本的な利用方法でした。

しかしインターネットという仕組みや利用者が発展・増加していく中で、Cookieの持つ値が継続的に個人を捉えることができる点に目をつけ、マーケティングに利用したり事業やサービスとして提供しようとする企業が多数生まれてきました。この変化により、これまでCookieという単一名称で呼ばれていたものと、Cookieの新しい活用方法・技術的な背景の違いにより、1st Party Cookie / 3rd party Cookieという２種類のCookieとして定義・分類されるようになってきました。

1st partyと3rd party Cookieの種類を説明します。

例えばあなたがブラウザを通じコニカミノルタジャパンのWebサイトを訪問したとします。この時、コニカミノルタジャパンのWebサーバ（ドメイン）からブラウザに対しCookieを付与されたとすると、これは1st party Cookieです。

次にコニカミノルタジャパンのWebページに記述されているHTMLに自社のドメインではない別の会社のサーバに置いてある広告画像を呼び出すようなHTMLが記述されていたとします。この場合、ブラウザは第三者の広告画像を表示するため、訪れたサイトとは別の第三者のサーバに対して広告画像送信の要求を送ります。この時、広告を表示するために第三者のサーバと通信をするため、このサーバからもCookieが発行されます。これが3rd party Cookieです。

そして現在は、この1st party / 3rd partyという概念がCookieという括りを超えて更に発展し、“2nd party データ”・“0party データ”と呼ばれ新たに生まれました。

“2nd party データ”は、特定の企業・サイト間でCookieを含むお互いの顧客データを匿名化した形で双方で共有する仕組み。次に最新の概念である“0 party データ”は、利用者自らが企業等に申請して自身の情報を提供する概念です。

“2nd Party データ”のわかりやすい例としては、Ponta（共通ポイントプログラム）が挙げられます。いろいろな会社が集まってPontaIDの下に提携し、利用規約に同意した顧客情報の範囲内でデータが共有される仕組みです。集めたプロファイルは、外部に販売するなどの利用が進んでいます。“0 partyデータ”は概念こそ定義されつつあるものの、様々なサービス体系が存在し、2023年1月の段階ではまだ明確にデファクトスタンダードとして理法方法が確立されていない状況です。

一方で問題になっているが“3rd party Cookie”です。先程の広告表示程度でしたら利用者からも、社会的にも問題視されることは少なかったと思います。問題は、このCookie情報が知らない間に第三者に渡されていたことや、その第三者からさらに別のマーケティングサービスにまで情報が共有される仕組みになっていることを、サイトの利用者自身も、そのマーケティングサービスを自社に導入している企業でさえ把握していなかったことです。

日本でも2020年に起きた就職情報誌リクナビの個人データ乱用問題は記憶に新しく、自分の知らないところで不利益を被るケースも出てきました。

Cookie単体では個人を特定できませんが、MA（マーケティングオートメーション）ならではの機能を駆使すると、Cookieとメールアドレスの紐付けができます。すると「この学生は面接ギリギリでサイトを見ていた」「内定を辞退する可能性はこれくらいの割合だ」といったことが可視化できるようになります。自社内だけでの利用ならよいのですが、記録したプロファイルデータを、ユーザーの知らないところで勝手に販売する事業者が現れるようになりました。

サイト利用者としては全く把握・同意していないにもかかわらず、閲覧しているWebサイト以外の企業やサービスに対してどんどんデータが流出していたのです。
これは「Piggyバック」という技術で、この技術を使ってユーザーとは全く接点がないアドテクノロジー企業にまで許可なくデータを渡していたことが次第に問題視されるようになりました。

その結果、欧米をはじめ日本でも、GDPR（EU一般データ保護規則）やCCPA（カリフォルニア州 消費者プライバシー法）、改正個人情報保護法などの法的・技術的規制が行われるようになりました。

なかでもCookieを扱う上で留意しなければいけないのが、Appleの技術的規制であるITP2.1~2.3だと谷口氏は言います。

特に2019年3月にリリースされたITP2.1以降の規制強化は、MA（マーケティングオートメーション）ツール全般に大きな影響を及ぼしています。JavaScriptで設定した1st Party Cookieの最大保存期間が７日間に短縮され、続くバージョン2.2の改定では最大保存期間が24時間に短縮。さらにバージョン2.3でCookie情報を他の場所に退避させるITP回避策にも規制が入りました。

2020年３月からは、最新のiOS14の標準ブラウザSafariにおいて3rd Party Cookieが完全ブロック。またSafari のみならずiOSアプリ内のすべてのWebブラウジングに適用されています。

出典：PLAN-B

日本国内では、10代の女性の約８割がiPhoneユーザーで、スマートフォン全体でも４割強がiPhoneをメインで利用しているためMA運用への影響は甚大です。

出典：MMD研究所 調査データ

以上のように、自社で管理・発行している1st Party Cookieでさえも、JavaScriptが発行したCookieの場合、iOS環境下ではわずか１日で有効期限が切れてしまいます。今後JavaScriptのみに頼ったCookieの管理は、MAツールの基本機能である個人特定には利用が難しくなるだろうと谷口氏は指摘します。

ただ世間では「ポストCookie」「Cookieレス時代」と言われるなか、Web行動履歴の個人特定にCookieを使わない解決法はいまだ出てきていません。
Googleなどいくつかのグローバルベンダーは、ITP規制に対しCookie以外の解決方法を提案するのではなく、ITPの規制に掛からないCookieを利用したマーケティングサービスを提供しています。それがCookieの“サーバサイド化”といわれる手法です。

例えばタグの一元管理ができるGTM（Googleタグマネージャ）というSaaSサービスは、GTMを経由して集めたデータをGoogleが管理するGoogleドメインと通信して保存するのではなく、お客様が準備したサーバ（自社ドメイン）に格納することで、ITPの規制に当たらない解決策を生み出しています。なお、お客様が準備するサーバもGoogleの管理画面から容易に準備できるようになっています。
※この設定にはDNSに関する多少のエンジニアリング知識と設定は必要です。

また、別の角度からもGoogleは対策を講じています。結局のところITPの規制は、外部へのCookie情報の流出を規制するためのルールです。そのため逆転の発想で、第三者であるGoogle広告のシステムに自社の顧客データをインポートすることで、自社の顧客データとマーケティングツールのデータを統合させてデータを利用するような仕組みです。

最後に、谷口氏は昨今のプライバシー保護の流れはより強化される状況になっていくことを強調しました。そのためMA（マーケティングオートメーション）による個人特定機能を維持するために、AppleのITP規制や国内外の法的規制の潮流は、日頃から常にチェックしておく必要があると言えるでしょう。