はじめに
はじめまして、データ系人材のギルド運営をしているBooklinと申します。
Chromeが2024年にはcookie制限するぞーとかで、今年も少し盛り上がってた覚えがあるので、
今日はWeb計測の観点から見たITPだったりcookie制限の話について書こうと思います。(ギルド運営については、またどこかで書こうかと思います)
この記事の目的
なに書こうかなーって考えてる時にググってたら、ITPとかの話って既にWeb広告の代理店さんとかが沢山書いてるので、同じような記事が1個増えても面白くないなーというので
目的を下記2点に絞って書いてみます
- cookie制限の話や、Web計測(GA4・KARTE・AA等)の影響についてまだ何も知らないよって人が5分くらいで知れる
- いろんなまとめ記事は見たけど、一次情報見れてなかったんだよねという人が一次情報に辿り着ける(後半にまとめてます)
cookieについて
その前に念の為WEB計測関連で必要な範囲でのcookieについて補足しておきます
cookieとは
ブラウザが、どこかにアクセスした(≒サイトを見た)際に、通信先によってブラウザに保存されるテキストデータです。
2回目以降のアクセス(訪問)時に、前回までの記録を参照することで、余計な情報入力を省けたり、自動でログインができたり、色々と便利にしてくれているものです。
cookieの種類
実はこのcookieには1st party cookieと3rd party cookieの2種類があります。
この書き方をすると2ndは?って気になると思うのですが、ありません。簡単に言うと「当事者か、それ以外か」という意味で1st/3rdと言われています。(ローランドみたいですね)
| cookieの種類 | 説明 |
|---|---|
| 1st party cookie | 今アクセスしているサイト自体が発行したcookie |
| 3rd party cookie | 今アクセスしているサイト以外が発行したcookie |
| そんなものはない |
アクセスした先が発行するものがcookieなのに、今アクセスしているサイト以外が何で関係あるの?って思われる方もいると思います。
順に説明します。
まず、とあるサイトにアクセスした際、通信が行われる先は、往々にしていっぱいあります。(広告だったり、サイト側に埋め込まれているツールだったり)
そして、1st/3rdの判断には、必ず「誰から見た」がセットです。下記の図で説明します。
これは、皆さんが日毎多く目にしているはずのシチュエーションだと思いますが、サイトAで何か商品を見ていたとして、その時のAのcookieは当然1st party cookieです。
その後、全然別のサイトBを見ている時に、サイトAの広告が出るケースがあると思います。この場合サイトBから見たAのcookieは3rd party cookieとなります。
cookieの制限について
ようやくここからcookieの制限の話になるのですが、
先の説明でも書いた通り、cookieを使った後追い広告などは、
個人のプライバシーが侵害されているのじゃないか?というのがここ数年の話題です。
cookie制限の昨今
発端としては、2016年頃にEUで決まったGDPR(General Data Protection Regulation)というものがあります。
こちらは、簡単にいうとEU圏のユーザーから取得した個人情報は、ユーザー側が使い方を選べる(許諾の範囲でしか使えない)ようにしろというものになります。
この中で、WEBのcookieの情報も「個人情報」に含むということが記されています。
日本においても、cookieの制限が更に身近になったのが、2017年からApple社が独自で行っているITP(Intelligent Tracking Prevention)になります。こちらはITP2.3と呼ばれるバージョンまで段階的に様々な施策がリリースされております。
さらにGoogle社も2020年に、2023年まで段階的にcookieの制限をリリースすることを発表しました。(その後2024年に延長することも発表)
こちらは、ただcookie制限のみの話ではなく、プライバシーサンドボックスと呼ばれる取り組みでプライバシーは正しく守りつつも、便利な部分を損なわないような技術を検証しています。
今、cookie制限と言った際に主に対象となるのは、3rd party cookie となります。
※AppleのITPは実はもっと厳しく、一部条件を満たした1st party cookieや、回避策で主に使われていたlocal storageやCNAMEにも対策されています。知りたい方は最後にまとめる1次情報を参照ください。
cookie制限が与える影響
ここまでの説明でもあった通り、cookieというものは、2回目以降のアクセス時に、前回までの記録を確認できることが主な役割です。
それは、計測ツールにおいても同じことが言えます。
自分が使っている計測ツールが、1st/3rdどちらのcookieを利用しているのかは確認しておきましょう。
- GoogleAnalytics・KARTE → 1st Party cookie
- Adobe Analytics → バージョンH.25.3以上は1st、それ以前は3rd
また、cookie制限とは厳密には関係ないものの自分が扱っているサイトの内部でドメインが異なるような場合は、実は正しく計測できていないことがあるので、ご確認ください。
例: 会員登録までのサイトのドメインと、登録後ログインしたサイトのドメインとが異なる
このようなケースでは、safariだと救いようがないのですが
Chromeは、先に述べたプライバシーサンドボックスの一環でFirst-Party Setsと呼ばれる、複数のドメインだけど管理者が同じだよ、と宣言出来るようなシステムを検証していますので、今後に期待が出来ます。
cookie制限に関してまとめ
日本のスマホにおいて、かなりの割合を占めるsafari(Apple) は3rd party cookieがデフォルトで使用出来なくなったので、ドメインが複数にまたがってしまっているサービスや、リタゲでユーザーを獲得していたサービスは2017年頃からかなり厳しい戦いをしていると思います。
2024年にChromeでも限りなく同じような状況になるはずなので、
プライバシーサンドボックスの内容はキャッチアップしときつつも、
原則としてはやはりcookieに依存せず、何かしらユーザーが「このサイトからの情報欲しいし、信用出来るから個人情報渡そう」と登録してくれるようにしたいですよねー(小並感)
ただ、いずれにしてもドメインを分けてしまうことは、計測観点でもSEO観点でも、損で面倒しかないはずなので、やめましょう。
一次情報のURLまとめ
※メンテまではしないので、リンク切れ等起きてたらすみません。(2022年12月時点では見れました)
| サイトの名前(URL) | ひとこと |
|---|---|
| GDPR(General Data Protection Regulation:一般データ保護規則) | 原文英語なので、個人情報保護委員会のサイトを |
| Privacy/WebKit | Safariのプライバシー系の最新の更新 |
| ITP | 一番最初のITP(無印)の原文 |
| ITP1.1 | ITP1.1の原文 |
| ITP2.0 | ITP2.0の原文 |
| ITP2.1 | ITP2.1の原文 |
| ITP2.2 | ITP2.2の原文 |
| ITP2.3 | ITP2.3の原文 |
| CNAME Cloaking and Bounce Tracking Defense | safariのバージョン14からcnameも認めないですよ、の原文 |
| Building a more private web | chromeが3rd party cookie廃止します&プライバシーサンドボックス始めますの発表ブログ |
| プライバシーサンドボックスのタイムライン | プライバシーサンドボックスの公式サイト(ビジネス向け) 主にタイムスケジュールが書いてある |
| プライバシーサンドボックス - Chrome Developers | プライバシーサンドボックスの開発者向けサイト |
| First-Party Sets | 記事内でも少し触れた複数ドメインの管理者が同じであることを宣言出来るfirst party setsの原文 |
| User-Agent の情報量削減 | ユーザーエージェントの情報量削減,User-Agent Client Hintsに関する原文(記事内で触れられてないが、重要なので切り抜き) |
さいごに
間違ってる部分や補足とかあれば、コメントもらえると嬉しいですー。
普段は、@booklin_scに生息しているので、分野近い人等々ぜひフォローお願いします。