1.はじめに
 インターネットを利用している際に、我々へ便利な体験をもたらしてくれる「Cookie」。
 例えば、過去に利用した会員サービスサイトやSNSへIDやパスコードの入力無しにログインをさせてくれたり、ECサイトで過去に買い物かごに入れた商品をそのまま残しておいてくれたりと、その利便性をみなさんも受けたことがあるのではないでしょうか。これらの多くはCookieの技術により実現されている体験であることが多いです。
 そのCookieに対する規制が始まっていることをみなさんはご存知でしょうか。本稿では、Cookieとはどのような技術なのかを簡単に説明し、その問題点と規制に向けた動向について紹介します。最後に、Cookie規制のその後の展望について触れたいと思います。

2.Cookieとは?
 まずは、Cookieとはどのような技術なのか、簡単に説明します。
 Cookieとは、Webサイトに訪れたユーザー(訪問者)の情報を一時的にユーザー(訪問者)のWebブラウザに保存する仕組みで、Webページを閲覧した履歴などの「足跡」のような役割を担っています。この仕組みを利用して、ユーザー(訪問者)が再度Webサイトへ訪れるとWebブラウザからCookieが送信され、Webサイト上ではユーザー情報と照らし合わせてユーザー(訪問者)を識別し、前回使用していた情報を読み取ることができます。Webサイトへ訪問する度にWebブラウザ上のCookieにデータが書き込まれ、これが行動履歴データとして蓄積されていきます。
 こうして書き込まれたCookie情報は、前述の通り、会員サービスサイトやSNSのログイン処理を省略してくれたり、ECサイトの買い物かごの情報を残しておいてくれたりと、私たちの利便性向上に役立っています。
 
3.ファーストパーティCookieとサードパーティCookie
 上述の通り、私たちのWebサイト閲覧の利便性を高めているCookieですが、大きく「ファーストパーティCookie」と、「サードパーティCookie」の2種類に分けられます。それぞれの特性は以下の通りです。

 ① ファーストパーティCookie
 ファーストパーティCookieとは、ユーザー(訪問者)が訪問しているWebサイトのドメインから直接発行されたCookieを指します。基本的に、ユーザー(訪問者)が訪問したそのWebサイト内のみで利用されるCookieになります。Webサイトに訪問したユーザー(訪問者)に対して精度の高いトラッキング(行動の追跡)が可能ですが、他のWebサイトを横断してトラッキングすることはできません。前述のログイン処理の簡略化などの利便性向上の仕組みに加えて、Webサイト運営者がGoogle Analyticsなどのアクセス解析サービスを利用して訪問ユーザーの閲覧履歴や行動を確認する際も、ファーストパーティCookieを利用しています。

 ② サードパーティCookie
 サードパーティCookieとは、ユーザー(訪問者)が訪問しているWebサイトとは異なるドメイン(第3者)から発行されたCookieを指します。複数Webサイトをまたいで利用できるCookieになります。仕組みとしては、Webサイト内に広告バナーが設置されている際に、広告配信サーバーからCookieが発行されます。このパターンのCookieでは、複数のWebサイトをまたいでユーザー(訪問者)の行動データを収集することが可能となります。ユーザー(訪問者)が過去にECサイトで閲覧したある商品について、全く別のWebサイトのバナー広告で表示するといったことを実施する際に、サードパーティCookieが利用されています。
 
 この2種類のCookieの中でも、「サードパーティCookie」が個人のプライバシー保護の観点で問題視されています。具体的には、訪問したWebサイトを離れた後にユーザー(訪問者)の行動を追跡するという「サードパーティCookie」の仕組みに問題があるということです。
 こうした背景から、Cookieに対する規制の動きが広まっています。

4.Cookie規制の動向
 では、Cookieに対する規制は具体的にどのようなものなのでしょうか。それには、大きく2つの流れがあり、1つは法規制によるもの、もう1つはプラットフォーマーによる技術的な制限の設置があります。それぞれについて、以下で解説します。

 ① 法制度によるCookie規制
 2010年代後半から、各国によるCookie規制の法案が施行されています。EUでは2018年5月に「EU一般データ保護規則(GDPR:General Data Protection Regulation)」が施行され、米国カリフォルニア州では2020年1月に「カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)」が施行されました。日本においても、Cookie規制に対応した個人情報保護法の改正が2020年6月に行われ、2022年4月より施行されています。
 これらの法施行によって、Cookieなどの識別子の利用に際して、利用者への同意取得が必要になったり、個人情報の自国内保全(国内のデータセンターに保管)を定めたりと、Cookieの取り扱いについての取り決めが行われました。

 ② プラットフォーマーによるCookie規制
 一方で、Safariを提供するAppleや、Chromeを提供するGoogleなどのプラットフォーマーによるCookieの利用制限が始まっています。
 Appleは、2017年9月よりSafariにトラッキング防止(Cookieを抑止する)機能であるITP(Intelligent Tracking Prevention)をリリースし、以後、段階的にCookie利用の抑制を強化しています。サードパーティCookieへの規制にのみならず、ファーストパーティCookieに対しても有効期限を短縮するなどの取組みが行われています。また、GoogleのChromeにおいても、2023年ごろよりサードパーティCookieのサポート終了する予定です。

 この上記の通り、Cookieの利用に関する規制の動きは拡大しており、インターネットを利用した活動をしている企業にとっては、無視することのできない潮流となっています。

5.Cookie規制による企業への影響
 ここまでご紹介してきたCookie規制に対して影響を受けるのは、主にWeb上でのリターゲティング広告によるプロモーションを実施してきた企業になります。リターゲティング広告とは、サードパーティCookieの仕組みを利用して、一度サイトに来訪したユーザーに対して広告配信する広告手法のことです。
 リターゲティング広告によってプロモーション効果を高めて収益に繋げていた企業は、このCookie規制により、収益の機会が減少することになります。
 また、ファーストパーティCookieの有効期限短縮の影響を受けて、再訪ユーザーなどの評価基準が変わることになります。Webサイトのアクセス解析を行っている企業は、これまでの評価基準と異なる評価結果が提供されることになるため、分析に注意が必要となります。

6.Cookie規制を受けて、今後の展望
 上述の通り、Cookieを活用したWeb上でのプロモーション戦略に力を入れてきた企業ほど、このCookie規制に大きく影響を受けることになります。これまでは、インターネットという個人が特定しづらいタッチポイントにおいて、Cookieを活用して効率的な販促活動を行ってきましたが、これに制限を受けることになります。大きく収益を削減する企業もあるかもしれません。
 このような環境に対して、今後の対応の成功メソドロジーとして確立した方法論はまだ認識されていません。今後、様々な企業によって試行錯誤を繰り返しながら、新たな道しるべが示されることになるでしょう。
 一方で、Web上で会員登録されたユーザー(同意に基づいて個人情報を提供するユーザー)への販促活動がこれまで以上に重要視される流れは必至と考えます。顧客との関係性強化という企業活動の基本動作が求められることになります。このような領域における新たな成功モデルが確立される可能性もありそうです。

7.おわりに
 本稿では、Cookie規制という潮流に対して理解を深めていただくために、Cookie技術およびその規制の動向について、説明しました。Cookieに関する基本知識をご理解いただくのと共に、Cookie規制とは何ぞやという疑問に対して、理解の一助になれれば幸いです。

 読者のみなさまのビジネスおかれても、インターネットを介した販促活動は重要なコンタクトポイントとなっているケースも多く、このタイミングで是非にご自身の問題として、このCookie規制への対応について考えてみてはいかがでしょうか。

・参考文献
インターネット白書編集委員会 「インターネット白書2021」 インプレスR&D 2021

・略歴
 筒井 元浩
 中小企業診断士
 一般社団法人 東京都中小企業診断士協会中央支部 執行委員/会員部 副部長