「Cookie規制について」個人情報保護法の改正やGDPR/CCPAなどの影響による「法的な制限」と、ブラウザによる「技術的な制限」の2つの側面から考える必要がある。まずは技術的な制限について、柳井氏が解説を行った。柳井氏はCookieを「ウェブサイトを閲覧するうえで一時的に記憶しておくと便利な情報が格納される場所」と定義する。便利な情報とは、たとえば、「ログイン情報」「動画再生で一時停止した位置」「サイトでお気に入り登録した情報」などが該当する。Cookieはウェブの閲覧をスムーズにするために利用されており、ウェブサイトから発行され、有効期限がある。Cookieはサイト訪問者を識別するために識別子(ID)を付与するが、それ自体には家族構成、年収などの情報は含まれず、別のデータベースにある場合が多い。そのため、識別子だけでは、個人を特定できない。一方、個人情報に関連してCookieが議論されるのは、識別子がついて他のデータと連携すると、ユーザーに関する詳細情報がわかり、個人を特定できるデータとして活用できるようになるからだ。「ファーストパーティCookieとサードパーティCookieの違いを解説」Cookieには、「ファーストパーティCookie」と「サードパーティCookie」の2種類ある。柳井氏は「ファーストパーティCookie」を「今見ているサイトのCookie」、「サードパーティCookie」を「今見ていないサイトのCookie」と言い換え、それぞれについて解説した。Cookie規制で議論されているのが、「今見ていないサイトのCookie」の「サードパーティCookie」だ。「今見ていないサイトのCookie」とはどのようなものなのか。サイトの多くは、画像やスクリプトなどの他サイトのリソースが含まれていることがあり、これらを表示することで、Cookieが発行されることがある。ウェブブラウザの開発者ツールで見てみると、ファーストパーティCookie以外にも、さまざまなサイトからCookieが発行されていることがわかる。なお、ファーストパーティCookieとサードパーティCookieは相対的なものである。ユーザーがアクセスするサイトが変われば、サイトAでファーストパーティCookieだったものは、サイトBでサードパーティCookieになり、逆も然りである。ではサードパーティCookieが使えなくなると、どんな問題があるのか。柳井氏は次のようなものが利用できなくなると紹介した。サードパーティデータを活用したDMP(代表的なのが年齢やデモグラフィック属性、興味を推測するDMP。自社データのみを使うファーストパーティDMPは対象外)リマーケティング広告ビュースルーコンバージョン計測「多くのブラウザでサードパーティCookieはブロックされる。サードパーティCookieに依存しない施策を始めよう」Cookieを発行するのは、ウェブサイト(サーバーやJavaScript)だが、ブラウザがそれをブロックするようになる。AppleはすでにウェブブラウザのSafariに、ITP(Intelligent Tracking Prevention)機能を搭載し、サードパーティCookieをブロックしており、ファーストパーティCookieについても有効期限を短縮している。さらにAppleは、iOS14.5からアプリがIDFA(Identifier for Advertisers、モバイル端末を特定するID)をデフォルトで送信しないようにする。送信するにはユーザーの同意を得るように変更される予定だ。Appleは許可なき「個人の特定」はNGというスタンスを強く打ち出していると柳井氏。一方、Google Chromeも今後1年半以内にサードパーティCookieをブロックするように変更予定だ。GoogleはPrivacy Sandboxと呼ばれる仕組みを用意しており、アドフラウド検知、インタレストに基づいた広告、オーディエンスリスト作成、コンバージョン計測など、これまでサードパーティCookieが担ってきたものを、個人を特定する機能を排除した上で、実現できるように開発中だ。
