いまさら聞けない「サードパーティCookie排除」の問題点--グーグルとアップルの違いも解説

　グーグルは2019年8月より、広告とプライバシーの両立を目指す「Privacy Sandbox 」と呼ばれるプロジェクトを進めている。

　このプロジェクトはGoogle Chromeの開発チームが中心となり、広告のターゲティング機能を維持しながら、プライバシーに配慮されたインターネットの世界を実現するためのルール整備をするものだ。2020年1月に「サードパーティCookieが2年後に終了する」という見出しで、新聞をはじめとした一般メディアにも取り上げられたため、目にした方も多いのではないか。

　隆盛するGAFAをはじめとしたインターネット上のプラットフォーマーのデータ活用と、個人のプライバシーの問題のせめぎあいに対して、欧州ではGDPR、米国ではCCPAといったプライバシーを制限する立場を支持する法規制が広まっており、今後インターネットの世界がどのような形で個人に関わるデータを取り扱い発展していくのかに大きな影響を与えるため、社会的な問題として注目を集めている。

　いま進んでいるPrivacy Sandboxは、欧州と米国の行政が示した「プライバシーに対する新たな基準の要求」に対するプラットフォーマー側の回答の模索と言ってよいだろう。現在どのような形でその検討が進んでいるのか、またこれによりインターネットの世界がどう変わっていくのか、その影響や問題点について探ってみたい。

そもそも「サードパーティCookie」とは？

　本論に入る前に、インターネットにおけるプライバシーを議論する上で避けて通ることができない「Cookie（クッキー）」について、簡単におさらいしておこう。

　「World Wide Web（略称：WWW）の中において、誰にリクエストされても同じようにリクエストされた棚（URL）においてあるドキュメントを取ってきて、ブラウザ上で表示する」という画一的だったインターネットの世界に対して、「ブラウザ側で情報を保存することにより、そのブラウザに応じた内容を返す」という機能をもたらしたのがCookieだ。

　これにより、ウェブサイトは、ユーザーのセッションを維持することでサイトに「ログイン」という機能を手に入れた。「誰が見ても同じ、掲示板のようなウェブ」から、「個々人の間だけの情報をやりとりできるウェブ」への進歩により、現在のECサイトをはじめとした多くの商取引が可能になったことを考えると、インターネットにおいて「個人を特定するためのCookie」が不可欠なことは説明に及ばないだろう。

　Cookieはセッション管理やログイン機能だけにとどまらず、「複数のドメイン間での個人紐づけの維持（シングルサインオン）」や、「ユーザー単位、セッション単位で個人のウェブサイト上での動きの把握（ウェブ解析）」「属性情報や行動情報に基づいたクリエイティブ（パーソナライズ）」といった、現在のウェブサイトに欠かせないさまざまな機能に用いられている。

　インターネット上に保持される情報が匿名の趣味情報レベルだった20年前においては、Cookieが個人を特定することは、利便性の向上に活用される「ちょっとした目印」程度にしか捉えられなかったかもしれないが、銀行口座管理やECサイトでの購買、あらゆるサービスの申込、SNSでの友好関係のつながりなど、人々の社会活動の多くがインターネット上で行われるようになった現在においては、Cookieの本質が上記の通り「個人の特定」にある以上、これまでの形のままでその役割を果たすのは難しくなってきているのは当然といえるだろう。

　この「ブラウザ側で保存した情報」をどの範囲で使うのか、を意味するのが「ファーストパーティ」「サードパーティ」の区分である。ファーストパーティCookieは、Cookieが発行されたそのドメインでしか使わないのに対し、サードパーティCookieは、ドメインをまたいで、ブラウザ側に保存された情報を活用する。サードパーティCookieは、シングルサインオンや広告におけるコンバージョンの紐づけやターゲティング、ウェブ解析としてのトラッキングなどに多く用いられている。

グーグルとアップルの対応の違い

　上記の通り、サードパーティCookieがプライバシー管理上問題なため規制するという動きは、アップルのSafariにおいてITPという形で数年前からすでに取り組まれている。

　その内容は「サードパーティCookieの用途を機械学習で推定し、機械的に除外する」というもので、広告効果が立証できないと困る広告ベンダーからすると、どうにかその効果を示すためにITPをかいくぐる機能アップデートを実施し、Safari ITP側がさらにそれを除外する、といういたちごっこが起こっていたのが、ここ数年のITPをめぐる動きだった。

　アップデートが起こるたびに、ベンダー側は新しい仕様に則ったタグを開発し、世界中のウェブサイトでタグの張り替えが起こる。これは非常に非生産的な動きであり、やきもきしたエンジニアやマーケターも多いだろう。

　そもそも、インターネットは無料で誰でも活用できるためにこれだけ広まったが、その「無料」の多くは、広告ビジネスによって成り立っている。それ自体「フリーミアム」によって広まったインターネットの世界が、機械的に広告のトラッキングを否定する世界に戻れるのか。目先の「プライバシー」という問題だけに囚われて機械的に排除することが、根本解決にならないことは明らかだ。

　グーグルのPrivacy sandboxにおいては、サードパーティCookieという仕様について議論するのではなく、サードパーティCookieで実現しようとしていた「ユースケース」側に着目し、それぞれに対してユーザーが用途を把握し、自らが望む範囲でその情報を取り扱うことをコントロールできるような仕様を模索している。

　もちろん、広告に関するトラッキングは一切拒否というオプトアウトを選ぶユーザーも一定数いるだろう。一方、ユーザーとしても全く興味がない広告ばかり表示されるよりは、ページのコンテンツや自身の興味関心にマッチした広告の方がよく、一定のターゲティングを許容するユーザーは多いのではないかと思われる。

　法規制上Cookieでのターゲティングを本人の同意なしにするのが難しいと決まった以上、「すべてのサードパーティCookieが無効」となるのは最悪の着地点である。各個人が許容する範囲でのデータ活用による広告エコシステムの再構築が必要であり、それを行うのがPrivacy Sandboxといえる。