ここ1、2年で「脱Cookie」という言葉を目にすることが増えました。GDPRやCCPAなど、GAFAや広告代理店から個人情報を守る意図で、Webブラウザの閲覧履歴などを保存するCookie利用の規制が進む中、インターネット広告をはじめとしたデジタルマーケティングに取り組む企業は対策を迫られています。

では、そのCookieは一体何者で、どんな形をしていて、なぜ作られたのか。
あまりにも当然に存在していたものだからこそ、いまさら人にも聞けない「Cookieとは何か」を改めてまとめました。

そもそもCookieって何?なぜ必要なの?=ユーザーをトラッキングしたいから

Cookieとは、「Webページの閲覧者を識別するためのID、あるいはその仕組み」を指します。もう少し細かくいうと、Cookieとは、WebサーバもしくはJavaScriptから発行され、Webサイトに訪問したユーザーのブラウザに保存されるテキストファイルです。

なぜそのテキストファイルが必要になるのでしょうか。それは、Webサイト側がユーザーを識別し、例えば新規訪問のユーザー、リピーターなどと特定するためです。

下図のように、CookieというテキストファイルにはCookieの名前や閲覧中のサイトのドメイン名、符号化されたID、Cookieの有効期限などの情報が書かれており、同じようなCookieが埋め込まれた分だけ、複数並んでいます。このファイルは、ユーザーのブラウザごとに発行され保存されることで、ユーザーを識別し、Web上で追跡することが可能になるのです。
 

Cookieとはブラウザに埋め込まれるユーザーの識別子(テキストファイル)

なぜトラッキングにCookieが必要なの?

次に、なぜCookieの仕組みが作られたのかを考えてみます。始めに答えを言うと、「HTTPはステートレス」だからです。一体どういうことなのか、まずはHTTPとは何かを紐解いていきましょう。

世界最初のWebサイトは、1991年頃、イギリスの計算機科学者 ティム・バーナーズ・リーが公開したものと言われています。過去30年で、世界ではインターネットでWebページを閲覧するための規格=WWW(World Wide Web)、HTTP(Hyper Text Transfer Protocol)やブラウザソフトが発明され、現代のインターネット活用時代に至ります。

普段、私たちがWebサイトを見る際には、PCやスマートフォンなどの端末で、SafariやGoogle Chromeといったブラウザを使い、閲覧したいページのURLを指定します。そのリクエストはインターネット通信でWebサーバーに送られ、WebサーバーはURLに応じたHTMLファイルを返信することで、私たちの端末にWebサイトが表示される仕組みになっています。
 
ここで使われる、インターネット通信でデータをやりとりするための規格が「HTTP」です。規格とはいわゆるルールのようなもので、通信規約や通信手順と言い換えるとイメージしやすいでしょう。
 

HTTPとはインターネット通信でデータをやりとりするための規格

 
そのHTTP、つまりWebサイトを閲覧する仕組みにおいては、シンプルな仕組みにするためにWebサーバーに訪問者のデータを保持しない(=ステートレス)形でデータをやりとりしています。
 
しかし、インターネットが流通しWebビジネスが立ち上がると同時に、自社のWebサイトに来たユーザーを識別する必要性が高まってきました。そこで、ユーザーの識別と追跡(トラッキング)のために作られたのが「Cookie」です。Cookieは、1994年にネットスケープ社のエンジニア ルー・モントゥリが発明し、フォーチュン・クッキーに由来して命名されました。

このCookieにより、Webページの運営側は、ページに訪問したユーザーを識別し、1回の訪問で何ページを閲覧したのか、何回訪問しているかといった情報を把握できるようになったのです。

Cookieを理解する3つのポイント

そのような「Cookie」が、今なぜ話題に上がっているのでしょうか。それを理解するために、いくつかのCookieの特徴を押さえておきましょう。

人単位ではなく、ブラウザ単位

まず、CookieはWebページの閲覧者のブラウザに埋め込まれるため、ブラウザ単位で閲覧者を特定します。言い換えると、閲覧者自身を特定できるわけではないため、ブラウザを変えると違う人として扱われます。なので、Cookieの追跡においては、ひとつのサイトをPCとスマホからそれぞれ閲覧した場合には別々の閲覧者として識別されます。

2種類の発行方法が存在

次に、Cookieには2種類の発行方法があります。Webサーバと、JavaScriptから発行する方法です。後者の場合、Webサイトに使われているJavaScriptの数だけ、つまりそのサイトで使われているツール(たとえばSNS広告など)の分だけタグが埋め込まれているため、一回の訪問で、訪問者のブラウザには大量のCookieが埋められることになります。

2種類の発行元ドメインと利用範囲

最後に、Cookieの種類。ここが今まさに個人情報関連で話題に上がっている部分です。Cookieには、主に「1st Party Cookie(ファーストパーティクッキー)」と「3rd Party Cookie(サードパーティクッキー)」の種類があり、発行元ドメインにより種類が決まります。

1st Party Cookieは、ユーザーが訪問したWebサイト(のドメイン)から発行されるCookieで、そのドメイン配下のWebページ(URL)に訪問した時にのみ利用されます。

一方で、3rd Party Cookieは、訪問しているWebサイトとは関係のないドメイン(第三者の事業者)から発行されます。このCookieは、ドメインをまたいで利用できるため、別のWebサイト(ドメイン)に訪問した際にも、引き続きユーザーの行動を把握することができます。
3rd Party Cookieはドメインに関わらずユーザーを特定でき、広告のセグメントなど使われてきたため、昨今プライバシー関連で問題視されているのです。

今、脱Cookieが問われるワケ

冒頭にもあるように、現在、個人情報保護に絡んで企業の「脱Cookie」が問われています。具体的に、どのような観点で問題視されているのか、注目すべき3つのポイントをまとめました。

① GDPRでCookieが”個人情報”に

2018年5月にEU域内で施工されたEU一般データ保護規則(GDPR)は、個人データの保護や取り扱いについて定めた法令です。自身の個人データの削除要求や簡単な取得ができるなど、生活者が本人の個人データをコントロールできる規制が定められました。その中で、Cookieも個人情報の対象であると宣言され、Cookieの利活用には「暗黙的ではない同意」を得ることが求められています。

また、GDPRでは違反者への罰金制度もあり、EU居住者の個人データを取り扱う日本企業は対応の必要が生じています。このような個人データ保護の動きは世界でもどんどん広まっており、2020年にはカリフォルニアでもカリフォルニア州消費者プライバシー法(CCPA)が施工されました。日本の改正個人情報保護法ではまだ明確に定義されてはいませんが、今後の動きが注目されています。

② GAFAの対応

GDPRのような個人データの取り扱い規制は、主にGAFAや広告代理店の動きに対するものと考えられます。民間企業が個人情報を勝手に使用するのはいかがなものか、というGDPRの動きですが、現在までの間に、GAFAもそれぞれの対応策を走らせています。

AppleはITPと呼ぶ個人情報に関する仕様を提唱しており、すでにSafariにおいては3rd Party Cookieの利用ができなくなっています。それに追随し、Googleも3rd Party Cookieのサポートを2022年までに段階的に終了すると発表するなど、各ブラウザでユーザーのプライバシー保護を強化する動きが広がっています。

それだけではなく、ITPでは、1stPartyCookieの利用に関しての制限も始まりつつあります。Javascript経由の1st Party Cookieの有効期間が、ユーザーの最後のインタラクションから24時間に短縮されました。この制限により、たとえばGoogle Analyticsでは、ユーザーが24時間以内にサイトに再訪問しなければCookieがリセットされ、新規のユーザーとして扱われるようになります。

このようにGAFAが対応策を講じる一方で、Cookieが使えなくなると同時に、GAFAへの情報集中がより加速するのでは?という見解もあります。巨大なプラットフォームを持つGAFAは、ユーザーが「ログイン」することで個人情報を追跡し続けられるため、Cookie制限が強くなるほど、GAFAの情報独占は加速する可能性もあります。

③ 脱Cookieに向けた企業の2つの動き

・プライバシーへの対応=コンプラインス
今まではCookieでユーザーの動きを把握していた企業も、脱Cookieに向けた対策を迫られています。プライバシーポリシーの改訂やクッキーポリシーの明示、Cookie利用前の同意取得がコンプライアンス的にも求められる中で、企業はCookie利用に際した顧客からの同意取得を管理するCMP(同意管理プラットフォーム)の導入を検討するなど、まさに今、取り組みを始めています。
 
・これから、どのように合法的にユーザーをトラッキングするか?
今後、Cookieに依存しないマーケティング手法や、Cookieの代替案をいち早く取り入れていく必要があります。たとえば現時点でも、Cookieの代わりにAIを使ってデータを解析しユーザーをターゲティングする手法や、ブラウザがもつOSなどの情報をもとにブラウザ、ユーザーを識別する手法などが存在します。また、前述したITPはJavaScriptで発行されたCookieのみを対象としているため、WebサーバーのCookieを使って、独自のトラッキングサーバーを構築する企業の試みも見られています。

このように、インターネット上の新しいユーザートラッキングの仕組みを、今まさに皆で作ろうとしているのが、ポストCookie時代に向けた動きといえるでしょう。