Cookie規制とは

Cookieには、閲覧しているサイトのサーバが発行する「ファーストパーティーCookie」と、直接閲覧していないサイトのCookieである「サードパーティーCookie」の2種類があります。ファーストパーティーCookie は規制の対象にはなりません。

Webサイトの多くは、画像やスクリプトなど、他のサイトのリソースを含んでいます。それらのリソースのドメインを読みこみ、Java ScriptタグからCookieが発行されます。このようにサイトを直接閲覧しなくても発行されるサードパーティーCookieが、今回の規制の対象となっています。Webブラウザの開発者ツールを開いてみると、ファーストパーティーCookie以外のさまざまなサイトのCookieを保持していることがわかります。

Cookie規制が行われる背景には、EU諸国と取引する際に求められるGDPRへの対応や2022年4月に施行される改正個人情報保護法があります。これまでは「他の情報に紐づけると個人を識別できる情報 」は個人情報に規定されていなかったのですが、改正法では個人情報として取り扱わなければいけないと明記されます。

Cookieも「他の情報に紐づけると個人を識別できる情報」に該当し、Cookieの収集および第三者への提供には、明示的に本人の同意を得ることが必要になります。

Cookie規制で想定される影響

たとえば、ファーストパーティーCookieによる登録済み情報の表示は、今後も変わらず利用できます。

多大な影響を受けるのは、サイトを離脱したユーザーを追跡するリターゲティング広告です。多くのECサイトが採用しているリターゲティング広告は、ほかのサイトで閲覧した商品や関連商品の情報の広告を表示する手法で、規制対象となるサードパーティーCookieを利用しています。ユーザーが関心を持っている商品を表示するため、購入に至る可能性が高い手法とされていますが、規制に抵触しない形に変更しなければなりません。

Googleは2020年1月に、2年以内にGoogle ChromeにおけるサードパーティーCookieの利用を制限すると発表しました。それから約1年半が経過しています。一方、アップルのSafariは、2020年3月からITP（Intelligent Tracking Prevention）機能を実装し、発行されたサードパーティーCookieをブロックしています。Cookie規制に関するアップルの対応は、Googleよりも2年近く早かったことになります。

両者の対応の違いには、デジタル広告事業への影響があると考えられます。デジタル広告を事業の主体とするGoogleは、サードパーティーCookieの代替技術としてPrivacy Sandboxと呼ばれる機能を用意し、個人を特定する機能を排除したうえで、従来と同等のサービスの実現をめざしています。

Cookie規制はエンジニアにも無関係ではない

Cookie利用に関する同意事項を表示するWebサイトが増えていることにお気づきでしょう。広告配信やECサービスの関連業界では、Cookie規制への対応が始まっています。今後は、脱Cookieの新技術を前提としたシステム開発がマストになっていくでしょう。法的な規制は、新しいソリューションをつくりだすきっかけになります。エンジニアは、規制の要件を満たしたうえでよりよいサービスを提供するため、新技術や機能の開発が求められます。