公開 2023年10月02日/更新 2025年9月02日/14 分で確認
Cookie(クッキー)とは、Web サイトにアクセスしたユーザーの閲覧履歴やログイン情報などを記録する仕組みのことです。サイトの初回訪問時に自動で発行されブラウザに保存されるテキストファイルを指します。
Cookieは、企業とユーザーの双方に利便性をもたらします。
まず、企業側はCookieの読み取りによる個人の識別が可能となります。ユーザーが自社サイトにどのような経路で何度訪問しているのか把握するなど、マーケティングに有効な情報を得られます。
一方、ユーザー視点では、再訪時に何度もID・パスワードを入力する手間がなくなったり、カートに商品を入れたままにできたりといった手軽さがあります。
しかし、Cookieにはユーザーのプライバシーに関する懸念があり、国内外を問わず規制が進みつつあります。
前提として、Cookieは大きく以下の3種類に分かれています。
閲覧しているサイトで発行されるCookie。
閲覧サイトでのみ機能する。
他社サイトで発行された1st party Cookie。
提携サイトにおいて共有されたもの
閲覧サイト以外の第三者によって発行されたCookie。
閲覧サイト以外でも機能する。
上記のうち、主に規制が進んでいるのは「3rd Party Cookie」です。Cookie規制の文脈で単にCookieと言及される場合、通常は3rd Party Cookieを指します。
Cookie規制が進む背景には、プライバシーを巡る諸問題があります。
そもそもCookie規制とは、ユーザーの個人情報を企業が身勝手に利活用することをやめようとする動きの一つです。
Cookieに限らず、IT・AI技術の進化は、消費者行動の詳細な追跡を可能としました。例えば、GPSをオンにしたスマートフォンを持ち、お店でQR決済を行えば、いつどこで何を買ったのかまで収集できてしまいます。人によっては、自分の情報が勝手に集められていると不快に感じてしまう可能性があります。
そのため、自社がCookie規制と向き合う際には、単にCookieを使わないとするのではなく、個人のプライバシーを尊重する意識が重要となります。
数ある技術のなかでCookieがやり玉に挙げられているのは、ユーザーにわかりづらい形で個人情報を利活用していたからです。
Cookieデータからは、ユーザー個人を特定したり行動をトラッキング(追跡)したりすることが可能です。しかし、多くのユーザーはこのことを認識していませんでした。
やがてCookieの役割は、特定のキーワードで検索した方がどのサイトを訪れても検索したキーワードに関連する広告バナーが表示されるなどの体験と共に明るみに出ました。結果、個人のプライバシーが尊重されるべきだとする気運が高まり、規制も進んでいます。
GAFAM(Google, Apple, Facebook, Amazon, Microsoft)や LINE、Yahoo! などの大手プラットフォーマーの力が強くなりすぎていることも規制が必要とされる理由です。
大手プラットフォーマーは、提供するサービスを介して膨大な個人データを収集できます。収集したデータをもとにターゲットを絞った広告を打つなど、有効なマーケティング施策が実施できるため、彼らによる市場支配力はますます強まる傾向にあります。
これを大手プラットフォーマーの優位的地位の濫用とみなし、ユーザーの意に反した情報の取得や利用を防ぐことを目的に、個人情報の不当な活用を防ぐための規制の網が広がっています。
そのほか、Cookieを巡る議論や問題については以下の記事でも解説しています。
>>クッキー(Cookie)レスとは?広告やマーケティングへの影響、対策方法について
では、海外でのCookie規制の現状を見ていきましょう。
Cookie規制の世界的な動きは、2018年5月施行のGDPR(General Data Protection Regulation:EU一般データ保護規則)に端を発しています。
本規制では、欧州経済地域(EEA)内の個人データをEEA外に移転することを原則禁止としました。Cookie取得時の同意に関する要件なども厳格に定められており、違反時にはEU圏外の企業であっても高額な罰金を課せられることから、大きな話題を呼びました。
その後、EUでは2025年現在までに以下のような取り組みが進んでいます。
米国では、2020年1月に施行されたCCPA(California Consumer Privacy Act)が有名です。カリフォルニア州に所在する方のデータ保護に関する州法で、GDPRと同様、Cookieも個人データとして定義されています。適用対象は日本を含む全世界に及びます。
CCPAでは、収集した個人情報(Cookie含む)を第三者に提供する場合、ユーザー本人が拒否(オプトアウト)できる仕組みを用意する義務があります。
そのほか、米国でのCookie規制の主要な動きは以下の通りです。
日本では、個人情報保護法と電気通信事業法の2種類の法律によりCookie規制が進んでいます。
2022年4月に改正個人情報保護法が施行されました。これにより、Cookieを含む個人関連情報を第三者に提供する場合は、提供元によるユーザーの事前同意が義務付けられました。個人関連情報とは、単体では個人を識別できなくてもほかのデータと組み合わせることで個人を識別できる情報を指します。
2023年6月には改正電気通信事業法が施行されました。これにより、オンラインサービス事業者が収集するCookieデータを第三者に提供する場合、事前にユーザーに通知する、事前にユーザーの同意を取得(オプトイン)する、あとからユーザーが拒否できる(オプトアウト)仕組みを提供する、のいずれかに対応することが義務付けられました。
続いて、ブラウザを提供する大手プラットフォーマーの動きをご紹介します。
Googleは2020年に、「2022年までに3rd Party Cookieを廃止する」と宣言し、世界中のマーケターに衝撃を与えました。しかしその後、時期の延期を繰り返し、2024年7月には3rd Party Cookie廃止の方針を撤回しました。
ただし、Cookieに対する風当たりは未だ強く、Googleの方針撤回によって個人情報の活用が解禁されるわけではありません。
一連の混乱を巡る流れやマーケターが理解しておくべき将来予想については以下の記事をご覧ください。
>>Cookie廃止に関するGoogleの後退が、ファーストパーティの未来への移行を遅らせない理由
Appleは2017年にトラッキング防止機能ITP(Intelligent Tracking Prevention)を自社のブラウザSafariに搭載しました。2020年3月の時点でSafari上での3rd Party Cookieを完全に廃止しています。
また、1st Party Cookieやそれに相当するトラッキング用の情報も最長7日以内に削除されるなど、厳格な取り組みを進めています。
Microsoftは2024年3月、「今後Edgeでの3rd Party Cookieの利用を廃止していく」との方針を発表しました。
また2024年10月には、プライバシーを保護しつつ広告を表示できる代替手段としてAd Selection APIをプレビュー公開するなど、広告主の立場にも配慮した動きを見せています。
MozillaのFirefoxはAppleのSafariと同様に規制が進んでおり、ブラウザの初期設定で3rd Party Cookieが拒否できたり、拒否しない場合にも隔離されてサイトをまたいだトラッキングが実行できなかったりします。
一方、ユーザーが特定のサイトで3rd Party Cookieを任意に許可できるなど、柔軟な対応を進めています。
では、Cookie規制はマーケターにどのような影響があるのでしょうか。
リターゲティング広告とは、3rd Party CookieのデータからWebサイトの訪問ユーザーの行動履歴をトラッキング(追跡)して分析した興味・関心に合った広告を配信する、ターゲティング広告の代表的な手法です。
Cookie規制によりデータが取得できなくなると、これまで3rd Party Cookieからのユーザーデータをもとに配信していた広告は大きく制限を受けることになります。
3rd Party Cookieを利用すると、Web広告によってユーザーが行動を起こしたコンバージョンが把握できます。測定された行動履歴は、マーケターが次なる一手を探るために活用されていました。
しかし、規制によってCookieを基準とした顧客行動の分析は難しくなりつつあり、サイトや広告の改善に向けた代替手段が求められています。
Cookie規制によってCookieがすべて使えなくなるわけではありません。しかし、Cookieに含まれる個人データを利用する場合は、ユーザー本人の許可を得る必要があり、自社のCookieポリシーをユーザーに伝える義務もあります。
さらに、Cookieポリシーを理解したユーザーが、Cookie取得の許可(オプトイン)や拒否(オプトアウト)を自ら選択できるようにする仕組みを用意する必要もあります。
各国のCookie規制の内容が少しずつ異なるなか、日本企業には難しい舵取りが求められます。ここでは、マーケターがとるべき対策をご紹介します。
3rd Party Cookieを使ったリターゲティング広告に依存しない集客、つまり、他社サイトの広告からの流入に頼らない集客体制へのシフトを検討してみましょう。例えば、自社サイトや自社アプリ、企業公式アカウントによるSNSなどのオウンドメディアの活用が考えられます。
自社Webサイトへのアクセスの測定や解析には、GA4などの3rd Party Cookieを使わないツールを利用します。
例えば、従来のGoogleアナリティクスでは3rd Party Cookieのデータを利用してアクセス解析を行なっていました。一方、最新のGA4では、Cookie規制で制限されていない1st Party CookieのデータとGoogle AIとを組み合わせた解析が可能となります。
Cookieを収集・活用する場合は、プライバシーポリシーにCookieポリシーを掲載します。プライバシーポリシーとは、Webサイトで収集する個人情報や個人関連情報の取扱いの方針について記載し公開するものです。
Cookieポリシーには、Cookieによって取得するデータの種類や利用の目的、Cookieデータの取得拒否や削除の方法、第三者への提供についてなどを記載します。最新の法規制に対応するためには、法務やコンプライアンスの専門家とともに作成すると良いでしょう。
Cookieデータを利用する場合、ユーザーにCookie利用について事前の同意を求めたり、あとから拒否したりできる仕組みを検討します。
ただし、現時点の規制においては、すべてのWebサイトにおいて事前同意や拒否の仕組みが必須なわけではありません。自社におけるCookie利用の形態と、対象となりえる法規制を照らし合わせ、どこまでの仕組みが必要となるのか検討しましょう。
Cookie規制とは主に3rd Party Cookieの利用を廃止していく取り組みであり、根底には企業による個人情報の身勝手な利活用に対する人々の反発があります。
Brazeでは、マーケターが3rd Party Cookieに頼らない形で質の高いマーケティングを実行できるよう、いち早く対策を進めています。
例えば、シンプルなアンケートフォームによってゼロパーティデータ(顧客本人が同意の上で提供するデータ)を収集する機能を自社サイトに持たせることなどが可能です。データの分析はもちろん、収集段階からサポートする仕組みを提供しています。
詳細を知りたい方は、以下の記事もぜひあわせてご覧ください。
Brazeの最新情報を定期的にお届け
