3rd Party Cookie規制特集・前編：Cookieの基礎知識＋テックジャイアントの反応

Priv Techが運営する「Priv Lab」では、プライバシーに関する出来事や社会情勢の移り変わりを絶えずキャッチアップしてお伝えしております。 今回は、現在もっとも注目を集めているテーマ「3rd Party Cookie規制」を巡る動向を前編・後編に分けてご紹介します。

• 前編「Cookie基礎知識＋テックジャイアントの動向（各社の反応）」
• 後編「Cookieに関するApple・Googleの動向（提供側）」

3rd Party Cookieが規制される理由

3rd Party Cookieが規制される理由は、2018年のGDPR（EU一般データ保護規則）の施行などに代表されるユーザーのプライバシー保護意識の世界的な高まりが挙げられます。 さまざまな企業がマーケティングに利用している3rd Party Cookieは、利便性の高さと引き換えにユーザーのプライバシーを侵害しすぎているのではないかと議論されてきました。今回のCookie規制により、企業のリターゲティングなどに対する個人情報の利用にストップがかかった形です。

3rd Party Cookie規制を受けたデジタル業界の課題

3rd Party Cookie規制の流れを受け、デジタル業界では広告全般のあり方に対して不安が広がっています。

米国株ターゲティング広告銘柄が暴落

【概要】

• 2021年3月3日、米国株のターゲティング広告銘柄が暴落
• Googleの株価も2％以上下落

【補足】

2021年3月3日、Cookie規制の影響を強く受けるとみられるターゲティング広告に関連する米国企業の株価が暴落しました。ザ・トレードデスク社とマグナイト社がともに12.8％と大幅減となったほか、Googleの株価も2％以上、下落しています。これは、同日にGoogleの製品管理ディレクターであるDavid Temkin氏が公式ブログ上で、

• 3rd Party Cookieを段階的に終了すること
• Googleでは、代替となるユーザー識別子を容認しないこと
• 広告主とユーザーによる、直接的な関係構築を重視していくこと

の3点についてあらためて明確にしたためです。 一方で、ザ・トレードデスク社とマグナイト社と同じ広告大手でありながら、すでに広告主とユーザーの直接的な関係を重視する方針へ舵を切っていたクリテオ社の株価が1.6％減にとどまったことに注目しています。

「今回のプライバシー保護対策により、広告キャンペーンが各ブランド（広告主）と各顧客にとってより直接的なものになることは期待されています。そのため、クリテオは競合よりも株価の下落は小さいものとなりました。一部のアドテク企業は、他の企業よりも今後の変化に対応する準備が整っています。」
引用元：【米国株動向】ターゲティング広告銘柄が3日に暴落した理由

【Facebook】2021年は広告に関して逆風が強くなると予想

【概要】

• Facebookの売上281億ドルのうち約96.7％（272億ドル）は広告収入
• 2021年は「広告に関して逆風が強くなる」という予想
• AppleのIDFAなどプライバシー政策に対してキャンペーンを実施

【補足】

2020年10月～12月の売上281億ドルのうち約96.7％（272億ドル）を広告収入から得ているFacebookも、2021年は広告に関して逆風が強くなると予想しています。

「これには、iOS 14をはじめとするプラットフォーム変更の影響や、規制の状況の変化も含まれる。iOS 14の変更時期はまだ不明だが、影響は第1四半期の後半（注：2021年3月）には見られるだろう」
引用元：Facebookは2021年のターゲティング広告と収入に大きな障害を予測する

これまでにもFacebookは、AppleのがおこなうiOS14以降IDFA（広告識別子）をユーザーの許可なしで利用できなくするといったプライバシー保護方針に対して批判的な立場を取っており、今後の動向が注目されます。

Cookieに代わる新しいソリューション

2020年1月、Googleが3rd Party Cookieの将来的な廃止を宣言しました。すでにCookieの代替案を各社が検討しており、現在もっとも注目されているのがGoogle開発の「プライバシーサンドボックス」です。

ポストCookie時代にもとめられる新しいWeb広告

【概要】

• Cookieを使わずトラッキング計測できるプライバシーサンドボックスを提案
• プライバシーサンドボックスにおいて注目すべきはFLoCとTURTLEDOVE
• Googleは新たにFLEDGEを公開
• 効果計測ではConversion Measurement APIも注目

【補足】

GoogleはCookieの代替案として「プライバシーサンドボックス」と呼ばれる新たな仕組みを提案しています。まだまだ開発段階でその詳細は随時調整されていますが、以下の要素が特に注目されています。

• ユーザーを個人ではなく群として取り扱う「FLoC」
• 表示広告の決定をブラウザ上でおこなわせる「TURTLEDOVE」
• TURTLEDOVEに対する批判を受け、新たに提案された「FLEDGE」
• 効果計測に活用される「Conversion Measurement API」

詳細は以下の記事で詳しく解説しておりますので、あわせてご参照ください。
＞「Googleの秘策」Cookieに代わるプライバシーサンドボックスとは？

また、ユーザーのプライバシー保護を主眼とした解決策がもとめられています。

「（前略）EUのGDPRや米国カリフォルニア州のCCPAなどの法規制、Appleを筆頭としたブラウザベンダーによるブラウザの仕様変更といったプライバシー保護のトレンドの中心にいるのはユーザーだ。Web広告の世界にとっても、これは単なるトレンドではなく、パラダイムシフトといっていいだろう。」
引用元：Privacy Sandbox に、Web広告の「新世界」を託せるか？ ：ポストCookie時代の本質とは

単にプライバシーサンドボックスの活用を進めるのではなくユーザー中心の改革が望まれている現状を理解すべきであると各方面より指摘されています。

さまざまな代替手法が出る一方で信用性には疑問か

プライバシーサンドボックス以外にもさまざまな代替手法が登場しています。しかし、いずれもユーザーのプライバシー保護を主眼に置いた手法とはいえず、その信用性が疑問視されているのが現状です。

新しいトラッキング手法「CNAMEクローキング」

【概要】

• Cookieを使用せずにユーザーを追跡するCNAMEクローキングを使ったケースが増加。
• 3rd Party Cookieを1st Party Cookieのように振る舞わせられる手法。
• FirefoxやBraveはCNAMEクローキングを検出する新機能をリリースして対抗

【補足】

CNAMEクローキングは、CNAMEレコードと呼ばれるDNSサーバーに対して名前を設定できる機能を悪用し、3rd Party Cookieを1st Party Cookieのように振る舞わせられる手法です。 3rd Party Cookieと1st Party Cookieの違いについては、以下で詳しく解説しております。 ＞Cookieとは？役割や種類、メリット・デメリット、仕組みについて徹底解説 Cookie廃止の流れを受けた結果悪用が急速に進んでおり、FirefoxやSafari、Braveなど一部のブラウザはすでに対策に乗り出しています。

「2021年2月にプライバシーの研究者は「過去22カ月でCNAMEトラッカーが21％も増加しており、トップ1万サイトのうち約10％でCNAMEトラッカーが発見された」と論文を発表しました。このようにCNAMEトラッカーを利用するウェブサイトの95％が個人情報を扱うことも研究者は述べています。」
引用元：ブラウザの追跡ブロック機能を回避する「CNAMEクローキング」を行うサービス・企業のリストが公開中

Cookieを使わずにユーザーを追跡する手法「デバイスフィンガープリンティング」

【概要】

• オンラインで人物のデバイスを同定して追跡できる仕組み。
• Cookieが使えない環境における手段として誕生した。
• アドテク企業がターゲティング目的で使用しているのか定かではない。

【補足】

デバイスフィンガープリンティングは、端末のスペックやブラウザバージョンなどCookie以外の細かな情報を多数集め、ページにアクセスしてきた個人を同定する（同じデバイスからのアクセスだと特定する）手法です。スマートフォンのアプリなど、Cookieを利用しにくい環境でも個人を特定するために誕生しました。 デバイスフィンガープリンティングをアドテク企業がターゲティングのために利用しているのかどうかは明確ではありません。しかしすでに対策は取られており、前述したプライバシーサンドボックスに含まれるプライバシーバジェットAPI（privacy budget API）によって制限されると予想されています。

「Googleは特定の企業がデバイスフィンガープリンティングのためにアクセスできる1回の情報量を制限する「プライバシーバジェット（privacy budget）」の導入を、実施はしていませんが、すでに発表しています。」
引用元：【一問一答】「 デバイスフィンガープリンティング 」とは？ ： デバイス特有の属性で同定する行為

テックジャイアントは意見・立場の違いが表面化

GAFAM（Google、Amazon、Facebook、Apple、Microsoft）に代表されるテックジャイアントのなかでも、Cookie規制に対する意見や立場の違いが表面化しつつあります。

【Microsoft】傘下のGitHubがCookieをプラットフォームから追放

【概要】

• 必須ではないCookieを追放することで、同意バナーが表示されなくなる。
• GitHubを使用しているユーザーは知識がある人が多くすでに個人で対策していたかもしれないが、GitHubの動きは多少なりの影響を与える可能性がある。

【補足】

2020年12月17日、Microsoft傘下のソフトウェア開発者用プラットフォームとして有名な「GitHub」が、サービス提供に必須ではないCookieをGitHub上から削除しました。背景にはCookie同意取得バナーの存在があります。

「フリードマン氏は「GitHubは開発者のプライバシー保護を追求している。しかしCookieバナーはいらだたしい。そこで解決策を探すことにした。その方法はすぐ判明した。必須ではないCookieを使用しなければいいのだ。まったく簡単なことだった」と書いている。」
引用元：GitHubがCookie追放を発表、わずらわしいCookieバナーも消える

GitHubを利用するユーザーはネットリテラシーが高く、すでに自分でCookieをブロックしていたかもしれません。それでも、GitHubのような大手がCookieを排除したことで追随するサイトも登場するのではと予測されています。

【Oracle】Googleが導入を検討しているFLoCを酷評

【概要】

• Oracleの公式ブログで、GoogleがCookieの代替えとして提案しているプライバシーサンドボックスについて否定的な見解を示している。
• プライバシーサンドボックスはプライバシーを口実に自社の優位性を固めようとしているに過ぎないと述べている。

【補足】

Oracleは、公式ブログにて前述のFLoC（ひいてはプライバシーサンドボックス）を痛烈に批判しています。

Google just wants consumers and advertisers to sit down and play in Google's new "Privacy Sandbox" using Google's rules and terms dictated by Google. Some might call that a Privacy Quicksandbox, but we won't.
（試訳：Googleは消費者と広告主に、Googleの新しい「プライバシーサンドボックス」のなかでGoogleのルールとGoogleが決めた条件を使って腰を据えて使ってもらいたいだけなのです。それをプライバシークイックサンドボックス「Privacy Quicksandbox」と呼ぶ人もいるかもしれないが、私たちはそうは思いません。）
引用元：Google's Privacy Sandbox--We're all FLoCed

FLoCが実現したとしても、GoogleはChrome・Android・Google検索・YouTubeなどの利用を通じて情報を取得し個人を特定できます。つまり、Google以外の企業のみに損害を与える結果となる、という批判です。

Brave, Edge, FirefoxなどがFLoCを無効化

【概要】

• Chrome以外のブラウザベンダーはFLoCに参加していない
• FLoCの構造上、ブラウザメーカーには非常に大きな責任が課せられている

【補足】

FLoCに対して賛同していないのはOracleだけではなく、ブラウザベンダーも同様です。Google 以外にFLoCへの参加を決めている主要なブラウザベンダーは存在せず、各社はそれぞれ以下のとおり声明を出しています。

Brave社：Brave The worst aspect of FLoC is that it materially harms user privacy, under the guise of being privacy-friendly.
（試訳：FLoCの最悪の側面は、プライバシーに配慮していると見せかけてユーザーのプライバシーを著しく侵害していることです。）
引用元：Nobody is flying to join Google's FLoC

Microsoft社：Edge We believe in a future where the web can provide people with privacy, transparency and control while also supporting responsible business models to create a vibrant, open and diverse ecosystem. Like Google, we support solutions that give users clear consent, and do not bypass consumer choice. That's also why we do not support solutions that leverage non-consented user identity signals, such as fingerprinting.
（試訳：私たちは、Webが人々にプライバシーや透明性、コントロールを提供すると同時に責任あるビジネスモデルをサポートすることで、活気に満ちたオープンで多様なエコシステムを構築できる未来を信じています。Google社と同様に当社もユーザーに明確な同意を与え、消費者の選択を回避しないソリューションを支持します。フィンガープリントなどユーザーの同意を得ていない個別信号を活用するソリューションを支持しないのもそのためです。 ）
引用元：Nobody is flying to join Google's FLoC

Mozilla社：Firefox We are currently evaluating many of the privacy preserving advertising proposals, including those put forward by Google, but have no current plans to implement any of them at this time. Advertising and privacy can co-exist. And the advertising industry can operate differently than it has in past years. We look forward to playing a role in finding solutions that build a better web.
（試訳：私たちは現在Google を含む多くのプライバシー保護広告の提案を評価していますが、現時点ではそのいずれも実装する予定はありません。 広告とプライバシーは共存できます。そして広告業界は、これまでとは違った形で活動することができます。私たちは、よりよいWebを構築するための解決策を見つける役割を果たすことを楽しみにしています。）
引用元：Nobody is flying to join Google's FLoC

Opera社「Opera」 While we and other browsers are discussing new and better privacy-preserving advertising alternatives to cookies including FloC, we have no current plans to enable features like this in the Opera browsers in their current form. Generally speaking, we do, however, think it's too early to say in which direction the market will move or what the major browsers will do.
（試訳： 当社と他のブラウザは、クッキーに代わる新しい、FloCを含むより優れたプライバシー保護のための広告について議論していますが、現在のところ、このような機能を現在の形のOperaブラウザで有効にする予定はありません。一般的にいって、市場がどの方向に動くのか、主要なブラウザがどうするのかを判断するのは時期尚早だと考えています。）
引用元：Nobody is flying to join Google's FLoC

明確に批判しているBrave社を除けば、現時点での判断は時期尚早であるとする意見が目立ちます。FLoCの性質上ブラウザベンダーには従来以上の責任が課せられると考えられているため、慎重な姿勢を取っていると推測されます。

各国規制当局はGAFAへの規制を強化

前述のとおり3rd Party Cookieを巡る情勢が混迷を極めるなか、各国規制当局はGAFAへの規制を進めています。

【米パブリッシャー】Google、Facebookと団体交渉を許可する法案を再提出

【概要】

• アメリカのニュースパブリッシャーが、Google、Facebookと団体交渉を許可する法案が再提出された。
• オーストラリアではメディアへの支払いを追求され、アメリカ政府やイギリスなどからは独占禁止法に抵触していないか疑われている。

【補足】

2021年3月10日に再提出された法案、通称「Journalism-Competition-and-Preservation-Act（ジャーナリズムの競争と保護に関する法律）」は、GoogleやFacebookの持つ強大な影響力を抑えようとする意図があります。また、ニュースパブリッシャーの保護に関するオーストラリアでの小競り合いも原因として考えられています。

「（前略）今回の法案再提出の背景にはGoogleやFacebookへの反発という時流がある。しかし再提出自体の引き金となったのは、オーストラリア政府と両社との対立と言って良いだろう。 オーストラリアでは、両社のプラットフォームでニュースメディアのコンテンツを取り上げた場合、パブリッシャーに報酬を支払うことを求める法案が提出された。これに従わない場合、オーストラリアにおける事業の一部を停止するという警告がなされ、実際にFacebookの一部業務が停止している」
引用元：米パブリッシャー、FacebookやGoogleと団体交渉が可能に ： 新法案「ジャーナリズムの競争と保護に関する法律」の要点まとめ

その他アメリカ政府やイギリスなどからはGoogleやFacebookが独占禁止法に抵触しているのではないかと疑われており、今後の動向が注目されます。

廃止後の先行きは提供側の動向も重要に

前編では3rd Party Cookieに関する基礎知識とテックジャイアントの動向をご紹介しました。Cookieの代替案が必要とされ、実際にさまざまな手法が登場しつつあるものの、現時点では統一的な解決策は登場していません。 後編では、提供側であるGoogleとAppleがどのような動きを見せているのかについて詳しく解説します。
＞ 3rd Party Cookie規制特集【後編】：Apple・Googleの動向