デジタルマーケティングの世界に、プライバシー規制の激震が襲いかかっています。

Appleは2017年に開始したIntelligent Tracking Prevention(ITP)によってSafariのトラッキング機能の制限を強化し、Googleは2022年にChromeの3rd Party Cookie(サードパーティクッキー)対応を終了すると発表しました。さらにAppleは、iOSにAppTrackingTransparency(ATT)を導入し、ユーザーが許諾しなければアプリがトラッキングできない仕組みにしました。

このような動きにより、かねて高いパフォーマンスを誇ってきた「第三者のデータを用いた行動ターゲティング広告」は実質的に廃止されることになりました。これは広告主にもメディア企業にも甚大な影響をもたらすはずです。収益のほとんどを失い、経営の方向転換を迫られるケースも多発しかねません。

また、メディアをまたいだデータ解析(クラスサイトトラッキングやクロスアプリトラッキング)の制限や、データ収集の許諾制は、アプリ会社やWebサービス企業の運営に大きな制約をかけることになります。

本記事では、このようなプライバシー制限の背景や内実、マーケティングはこれからどう変わるかについて整理していきます。

GDPRとCCPA – デジタル世界にプライバシー保護の波が襲来

背景にあるのは、プライバシーを保護して個人の権利を守るべきだとする時代の潮流です。

法制度としては、EUのGDPR(General Data Protection Regulation,一般データ保護規制)、米カリフォルニア州のCCPA(California Consumer Privacy Act,カリフォルニア州消費者プライバシー法)の2つが特に重要です。

どちらも個人の氏名やメールアドレス、画像・音声・映像、位置情報、IPアドレス、顧客や従業員の名簿、その他の関連情報など、広範囲のデータを個人情報として定義し、無断の収集や第3者への共有の規制、事業者の情報開示などを厳格に定めています。

日本でもGDPRやCCPAの影響を受けた個人情報保護法が定められています。

これらの法制度の根底には、1人1人が自分のプライバシーの権利を持ち、自らのデータを主体的にコントロールできるようになるべきだとする考え方があります。

なお、これらの法律は、個人情報の定義や、データ取得のオプトイン/オプトアウトの別、事業者に課される義務など異なる点もあるため、実務上は注意が必要です。

2021年現在では、まだプライバシー規制が緩い国や地域も存在します。とはいえ、GDPRやCCPAはいわば先進事例であり、長い目でみると世界中の国・地域がこのレベルの法規制に追随していくことになるはずです。「～国はまだ規制が緩いから、この程度の対応で大丈夫だろう」といった発想をしていると、いつかしっぺ返しをくらうことになりかねません。GDPRやCCPAの水準に則ったサービス開発やマーケティングを最初から行っていくのがベターだと思います。

最大の争点「3rd Party Cookie(サードパーティクッキー)」とは？

本項からデジタルマーケティングの世界に起こる具体的な変化について解説していきますが、まずは3rd Party Cookieと呼ばれるものを正しく理解しておく必要があります。もう知っているよ、という方はよいのですが、まだわからない方は早めにおさえておきましょう。

そもそもCookie(クッキー)とは、ユーザーがWebサイトを訪れた際に、Webサーバーからブラウザに対して送信する小さなデータを指します。ブラウザに保管されたCookieは、次にまたユーザーがWebサイトへアクセスした際にWebサーバーに対して送信されます。Cookieのデータはユニーク(固有)にできているため、Webサーバーは同じユーザーが2度目にアクセスしたと認識することができます。Webサイトへのログインや様々なパーソナライズ機能は、このようにCookieによって実現されています。

このCookieには、1st Party Cookie(ファーストパーティクッキー)と、3rd Party Cookie(サードパーティークッキー)という2つの分類があります。

1st Party Cookieとは、ユーザーがアクセスしているWebサイト(のドメイン)から発行されるCookieを指します。一方、3rd Party Cookieとは、それ以外のドメインからユーザーに対して発行されるCookieを指します。

1st Party Cookieは、現時点では廃止される予定はありませんが、取得についてユーザーの許諾が必要になったり、Safariにおいて有効期限に制約がかけられたりしています。後述しますが、1st Party Cookieはいわゆるファーストパーティーデータの1種類であり、一定の制限のもとで今後も利用することができます。

3rd Party Cookieの典型的な利用例は、Webサイトに広告を配信するアドサーバーです。ユーザーがWebサイトにアクセスしたとき、Webサイト内の広告枠を通じ、アドサーバーにてCookieの新規発行や取得が行われます。アドサーバー会社は多数のWebサイトからデータを収集しており、あるユーザーから取得したCookieから、そのユーザーが他にどのようなWebサイトを閲覧しているかを把握することができます。

このように、3rd Party Cookieを通じてユーザーの行動履歴を把握し、ユーザーな最適な広告を配信する手法が、「行動ターゲティング広告(Behavior Targeting Advertisement)」と呼ばれるものです。行動ターゲティング広告は「リマーケティング広告」や「リターゲティング広告」と呼ばれることもありますが、意味は同一です。

3rd Party Cookieを利用した行動ターゲティング広告は、極めて強力な広告手法です。広告主にはクリックやコンバージョンに繋がる可能性が高くなり、広告掲載を行うメディアには広告クリック率が上がり高い収益を獲得しやすくなるというメリットがあります。特に、自分たちでユーザーのデータを保有しない中小の広告主やメディア企業にとって有用なツールとして使われてきました。

3rd Party Cookieは他にも、広告をクリックした後に成果が発生したかどうかを計測するコンバージョントラッキングや、Webサイトをまたいだトラッキングなどに利用されます。

ただし、1人のユーザーの立場で考えれば、自分の知らないところで自分の行動が把握・分析されたり、意図しない広告配信が行われたりしていることになります。いくら企業にとって有用なツールであっても、プライバシー保護が叫ばれる現代では、3rd Party Cookieやそれを利用した行動ターゲティング広告は非難されるようになりました。

今まではユーザーのデータは自由に取得し、Webサーバーで管理され、誰もが利用可能なオープンなデータとして使われてきました。特に広告関連の事業者は3rd Party Cookieに全面的に依存しており、その雲行きが怪しくなるとCNAMEなどの使った代替技術を開発してきました。ASPと呼ばれるアフィリエイト会社や、criteoなどのアドネットワーク会社はその代表例です。大手テックとアドテク会社はいたちごっこのような関係にあり、アドテク会社が新しい計測技術を発明すれば、大手テックは対策を行う、という流れが繰り返されています。

Appleの対応 – SafariのIntelligent Tracking Prevention(ITP)

主要企業でいちはやくプライバシー保護への取り組みを進めてきたのはAppleです。Appleの収益源はiPhoneやMacbookなどのデバイス販売とAppStoreなどのプラットフォームであり、広告関連のウェイトはわずかです。ビジネスモデル的にプライバシー保護に取り組みやすいポジションにいることが、リードできている要因の1つだと思います。

Appleは主要ブラウザSafariに、Intelligent Tracking Prevention(ITP)と呼ばれるプライバシー制限機能を段階的に導入してきました。

2017年9月の最初のリリースでは3rd Party Cookieに対する一定の制限がかけられ、その後、アップデートの度に1st Party Cookieやブラウザ内のストレージ、リファラ取得機能などにも順次、制限がかけられました。

2021年6月現在のITPの最新バージョンは、2020年9月に公開されたSafari 14に搭載されたものです。その主な仕様な次の通りです。

• 3rd Party Cookieはすべてブロックする
• 1st Party Cookieはユーザーの最後のインタラクションから24時間後に削除する
• Safariがトラッカー判定したWebサイトから遷移した際、JavaScriptのdocument.referrerを使って取得できるリファラ情報はドメインのみとなる(サブドメイン、クエリなどは取得できない)
• 3rd Party Cookieの代替技術として使われてきた「CNAMEレコードを使って付与された1st Party Cookie」の有効期間を、7日間に制限する
• WebStorageやIndexed DB、Service Workerなどの機能でブラウザに保存されたデータについて、最大7日間で削除する

Googleの対応 – Chromeの3rd Party Cookie対応終了とPrivacy Sandbox

Appleとは逆に、収益のほとんどを広告に依存するGoogleは、プライバシー規制の影響を強く受けやすい立場にいます。そのため、プライバシーに配慮しながら既存の広告エコシステムも保護できる代替技術の開発に力を入れています。

Googleは2020年になってようやく、Chromeの3rd Party Cookie対応を2022年に全面廃止することを発表しました。（2021年6月23日に、2023年後半に延期することを発表しました）Chromeは世界的に圧倒的なシェアを誇るブラウザであり、業界にショックを与えました。

またGoogleは2019年8月、プライバシー制限の代替を模索するPrivacy Sandbox(プライバシーサンドボックス)と呼ばれるプロジェクトを発表しています。

Privacy Sandboxでは主に、3rd Party Cookieを使わずに効果的な広告配信や、測定を行うための技術群の開発が進められています。特に重要なのは、FLoC(Federated Learning of Cohorts)、TURTLEDOVE、Conversion Measurement APIの3つです。

FLoC(Federated Learning of Cohorts)：Cookieではなくブラウザの利用履歴から、共通した興味関心を持つ多数のブラウザを集めたコホートを作成し、広告のターゲット配信を可能にする技術
TURTLEDOVE：広告オークション(表示する広告の決定)を従来のようにサーバーではなく、各ユーザーのブラウザ内で行う技術
Conversion Measurement API：広告をクリックした後に発生するコンバージョン(クリックスルーコンバージョン)の計測をクッキー無しで行う技術

もっとも、このような技術群を利用したとしても、GDPRが適用される欧州の規制をすべてクリアできるかどうかは未知数です。

FLoCはユーザーやWebサイトに無断のまま大規模なテストが開始されたことや、独占禁止法の観点から、非難の声も多数あがっています。また、Chromeと同じChromium(Googleが開発に深く関わるオープンソースのWebブラウザプロジェクト)をベースとしたBraveやVivaldi、またMicrosoftのEdgeなどのブラウザは、FLoCをサポートしないと宣言しています。

OSレベルでは広告識別子(IDFA/GAID)の規制が重要

以上で説明してきたのはブラウザの対応ですが、OSレベルでの対応も行われています。

そもそも、スマートフォン向けのOSは、広告事業者がデバイスを識別するためのID(広告識別子)を発行しています。AppleのiOSではIDFA(Identifier for Advertisers,広告識別ID)、GoogleのAndroidではAAIDあるいはGAID(Google Advertising ID)と呼ばれています。

今まではこのIDFA/GAIDによってスマートフォン端末におけるクロスWebサイトトラッキングや、クロスアプリトラッキングが実現してきました。広告事業者も行動ターゲティング広告を配信するためのデータとしてIDFA/GAIDを重宝してきました。ちょうどWebにおける3rd Party Cookieのような位置付けにあると言えるでしょう。

モバイルにおける行動ターゲティング広告は、あるスマホアプリをインストールした後、再起動しなくなったユーザーに対して、再びアプリを起動してもらう(リエンゲージメント)ために利用されることが多いです。

※ 図中のMMPは、Mobile Measurement Partner(モバイル計測パートナー)の略称です。

プライバシー保護の流れで、このような広告手法や広告識別子の取得が問題視されるようになってきたのはブラウザと同様です。

まずはAppleが、2020年リリースのiOS 14にAppTrackingTransparency (ATT)と呼ばれる技術を導入しました。これはユーザーが事前に許諾した場合のみ、IDFAの取得やその他のトラッキングを行えるようするフレームワークです。

Appleは次のテレビCMまで打ってこの新機能をアピールしています。

従来、アプリは自由にIDFAを利用してきたため、アプリ運営企業やモバイル広告事業者には極めて大きな影響をもたらしています。

2021年6月現在、Googleも2021年後半のAndorid 12へのアップデートにて、GAIDについて同様の措置をとる予定だと報道されています。

プライバシー規制の影響まとめ

プライバシー規制がデジタルマーケティングにもたらす影響をまとめると次の通りになります。

• 全体としては、プライバシーを尊重する思想のもとに、多彩な個人データの管理権が企業からユーザーへ移行する
• サードパーティーデータ(後述)を使った行動ターゲティング広告は実質的に廃止。代替としてGoogleがコホートベースのFLoCを準備中だが、反対意見が多く、規制クリアの可否や性能も未知数
• 広告のコンバージョントラッキングやクラスサイトトラッキング、およびクロスアプリトラッキングは今後利用できなくなるか、利用条件に大きな制約がかかる。代替となる技術群が主要各社で検討されている
• スマホアプリによる広告識別子を含むユーザーデータの取得や共有について、ユーザーの事前の許可が必須となる(オプトイン)。スマホアプリにおいて、従来の広告識別子を用いた行動ターゲティング広告やトラッキング、パーソナライズ化などの提供に大きな制約がかかる

ゼロパーティーデータの時代へ

以上のような時代の変化に、企業はどう対応していけばよいのでしょうか？

重要なポイントは、第三者が取得したデータ(サードパーティーデータ)の利用は基本的にNGとなる点です。非常に厳しい制限のように思えますが、これは特定の企業に限った話ではなく全ての企業に共通することであり、みな平等な立場にあるとも言えます。

とはいえ、近年は「データドリブンマーケティング」と呼ばれるように、データに始まりデータに終わると言えるほど、ビジネスにおけるデータの重要性が高まっています。他社と比べてどこまで質量の秀でたデータを取得し、活用できるかがビジネスの勝敗を分けることは、少し実務を経験した人であれば誰でも知っていることと思います。

それをふまえて、企業はどうすればよいのか？それは、第三者ではなく、自社サービスや自社サイトを使って、自分たちでデータを取得することです。取得したデータは、許諾の範囲内で利用し、顧客体験や収益の向上に役立てることができます。

自社で収集したデータを管理するのはカスタマーデータプラットフォーム(CDP)です。CDPは従来のプライベートDMPと同様の概念ですが、顧客単位でプロファイル情報や行動などを集約し一元管理するものを特にCDPと呼ぶことが多いです。通常、CRMやMAなどの他ツールと連携できるように構築します。

なお、自社で直接取得したデータのことを「ファーストパーティーデータ」と呼びます。最近は、ファーストパーティーデータのうち、ユーザーがデータの送信について許諾したものを「ゼロパーティーデータ」と呼ぶことが増えてきました。この区分でデータを整理すると次のようになります。

今後のマーケティングの焦点は、ゼロパーティーデータの活用です。ユーザーに主導権をもってもらいながらも、自社にとって有用な質の高いゼロパーティーデータを取得し、活用することに成功した企業が、デジタルマーケティングで高い成果をあげることができると考えられます。

おわりに

近年のプライバシー保護の動向と、デジタルマーケティングに起こる変化について概説してきましたが、いかがでしたでしょうか。

今後もプライバシー関連の動向にキャッチアップしていきますので、本記事もアップデートしていきます。また、広告関係者に関心の高いGoogleのFLoC(Federated Learning of Cohorts)については別途、詳述したいと思います。

※参考資料
・Tracking Prevention in WebKit | WebKit
・ユーザーのプライバシーとデータの使用 – App Store – Apple Developer
・Google Developers Japan: ウェブのプライバシー強化: サードパーティ Cookie 廃止への道
・Google Developers Japan: プライバシー サンドボックスの取り組みに関する最新の進捗状況
・Google Developers Japan: FLoC の概要