セミナーレポート後編：Cookie規制のポイントは？どう変わる？改正個人情報保護法を見据えたプライバシー×データ活用のポイント

梁島　

有名どころでは、Chromeの3rd Party Cookieの規制があります。Googleから、2022年前半にChromeで3rd Party Cookieが使えなくなるという発表がおこなわれました。2020年の個人情報保護法改正から実質一年ちょっとしかありません。

梁島　

今までのCookieに関するセミナーは、評論的な意見や理想論的な話が多い。しかしあと一年ということを考えると、そろそろしっかり考え実行することが必要になってきます。
Cookieがなくなった瞬間にどのソリューションを選ぶべきかすぐには決められません。今までのサービスを継続的に使うにはどのようなソリューションが必要か、どのように使うべきかを具体的に考える時期でしょう。

梁島　

Cookieには3種類あります。1st Party Cookie、2nd Party Cookie、3rd Party Cookieです。
1st Party Cookieとは、該当するサイトのドメインが発行しているCookieのことです。サイト内のJavascriptや、サイトをポスティングしているサーバーの中から発行されているものです。
一方、該当するサイトドメイン以外から発行されている（他社からの）Cookieを一般的に3rd Party Cookieと呼びます。

梁島　

例えば、2022年のChromeのブラウザ規制は、3rd Party Cookieをブラウザ側で発行できなくするという仕様変更です。現時点では1st Party Cookieについては特に大きな変更や、1st Party Cookieが使えなくなるような規制はない認識です。
また、AppleのITPのトラッキングの仕様変更では3rd Party Cookieも遮断されます。1st Party Cookieも焼き方によっては有効期限など規制対象になることもあります。1st Party Cookieを使っているから安心だというわけではありません。

Javascriptから焼いているドキュメントCookieのような場合、一日以内にCookieが消されることもあります。また、仕組みによっては今まで永続的に使えていたものが規制後は使えなくなることもあります。先ほどのChromeと比べると、Cookieの利用制限が厳しいと思ってよいのではないでしょうか。

梁島　

デジタルマーケティングとかアドテクノロジーといわれているサービスのなかでは、1st Party Cookieや3rd Party Cookieを使わずマーケティングをやる方が難しい。
リターゲティング広告であれば3rd Party Cookieをほぼ使用しますし、アクセス解析ツールは3rd Party Cookieを使っている場合もあれば1st Party Cookieを使っている場合もある。アトリビューション分析やレコメンデーションエンジンなどにもCookieが使われています。

もちろん我々のようなパブリックDMPやプライベートDMPといわれる商品の中にも、Cookieは多く使われています。

梁島　

1st Party Cookieに期限制限がかかると、サイトにきたユーザー情報がわからないだけでなくデータが適切に見れなくなったり、データが意図した形で収集できないこともあるかと思います。
いわゆる1st Party Cookieに影響のあるITPはもちろん、3rd Party CookieがChromeの領域で使えなくなれば、デジタルマーケティングに大きな影響をおよぼします。我々のようなアドテクノベンダーはほぼ3rd Party Cookieの塊のようなサービスだったりするので、影響範囲は非常に広いと思われます。

梁島　

例えば海外発では、The Trade Deskが推進しているUnified ID 2.0といったサービスもあり、SSPのPubMatic社やアドテクベンダーのCriteo社、アンケート領域のNielsen社、LiveRampなど多くの会社が採用を表明しています。
ポストCookieのソリューションを見つけるうえでこういった商品名を目にする機会が出てくるでしょう。Cookieとは違う別のIDで課題解決をしているんだなと思ってください。
またインティメート・マージャーでも、3rd Party Cookieに依存しない共通IDソリューションとして「IM Universal Identifier（IM-UID）」の提供を開始しています。

梁島　

Cookieでユーザーの性別や趣味を類推するのではなく、サイトに訪れた時点で使用端末やページの閲覧情報から機械学習の仕組みを用いて情報をリアルタイムに推計していきます。IDではなく機械学習の仕組みを使い、この人が何者かを当てるのに力を入れているサービス群です。海外だとDynamic Yield社やGumGum社が中心です。

梁島　

例えばGoogleだとGoogle広告やGoogleサービス内のデータ分析のソリューションとして、自分たちが持っているプラットフォームを外部に提供していく。またFacebookやAmazonなどが、自社の解析基盤や自社データを分析するための基盤サービスを外部に提供しています。自分たちが提供しているプラットフォームであれば、分析やデータ収集をちゃんと管理したうえでやらせてもらえる、というサービスです。

梁島　

今後一年でCookie規制や個人情報保護法が施行されるタイミングに向けて、そろそろ商品開発の検討を半年ほどかけてやっていくタイミングかなと。
共通IDソリューション各社でIDのカバー率を見たり、オーディエンス解析であれば属性付与のカバー率検証をやっていったりとか。プラットフォーム系の分析基盤は制約も厳しいので、今まで自分たちが分析していた内容とイコールのものがちゃんと取れるようになっているのかとか。こうした分析項目の検証は、これから半年程度でやっていくのがよいのではないかと思います。

そして来年4月頃からは導入検証ですね。もしかしたらCookieを使ったターゲティングの方が現状では精度が高いかもしれません。効果がどれくらい悪化するか、今までできたこと、できなかったことを分析しKPI設定を検討するとChromeのCookie規制や改正個人情報保護法が施行されるタイミングに向けてベストなスケジュールを組めるのではと思います。
このあたりの共通ソリューションは、最近我々にも問い合わせが増えています。3rd Party Cookieがなくなった世界について、今考えるべき時期なのではないでしょうか。

梁島　

3rd Party Cookie自体は遮断するそうなので、明示的な同意を取っても3rd Party Cookieというソリューション自体は使えなくなるのではと思います。
ChromeのCookie規制の裏側には、『プライバシーサンドボックス』という、プライバシーを守りつつマーケティング活動やアドテクノベンダーが生きていくための仕組みをgoogleが提示しています。ただし、プライバシーサンドボックスの仕様も完全に固まりきっていないので、現時点では3rd Party Cookieが使えなくなる認識です。

梁島　

SafariのCookieは現状も大多数が使えません。調査によると、Safariの設定をする3rd Party Cookieが使えるブラウザは存在しても大体100台中、25台ぐらいしか受け入れないモードになっています。
25％は3rd Party Cookieを使ったターゲティングができますが、おそらくChromeの3rd Party Cookie規制の方がダメージが大きく、3rd Party Cookieを使ったChromeのターゲティングができる端末が仮に0%になると 、PCもAndroidなどのSPもほとんどターゲティングができない状態になります。
先ほどご紹介した共通IDやCookieではないIDを使ってターゲティングをするか、精度を保つような領域に手を出す必要がくるのではないかと思っています。

梁島　

レピュテーションまで考えていくと、おそらく少しでも怪しそう、危うそうであれば同意取得の必要があるかなと。今後は我々にデータを提供してくれている企業や、我々の提供先企業に関しても、なるべく同意取得を進めていきたい。ただ現状の法律内ではリクルート事件が結構尾を引いているように、個人情報との紐付けをおこなう際の同意取得を厳密にすることが必要です。

逆にいうと、インティメート・マージャーでは現時点で個人情報を取得していないところもあるので、現状に関しては提供した先の個人情報と紐づけをおこなう際にデータの同意を取っていくのがマストです。それ以外はお客様のデータ活用のレピュテーションリスクとの兼ね合いで、同意取得していくのではないでしょうか。
改正個人情報保護法の大枠は決まっている一方で、詳細が決まっていないところがあります。僕らの見解ではありますが、データを取得する支援もできればと思います。

梁島　

ここ1、2ヵ月の流れは、先ほど述べた3つに関連したリソースや、そもそものプライバシー保護体制としてCMPに関連したものが多いので、そのあたりが現時点では有力なのではないでしょうか。代替ソリューションを支えるためのプラットフォームとして、 CMPは重要だと思います。