あらゆる事業でWeb広告およびマーケティングの重要性が高まっている昨今、特にマーケターはCookie規制を理解しておく必要があります。

そもそも、広告・マーケティングに広く活用されてきたCookieとはどのようなものなのでしょうか？ こちらでは、Cookieとは何か、なぜ規制が進んでいるのか、マーケターはどのように対応すべきかを解説します。

Cookie（クッキー）とは

Cookieとは、WebサイトやWebサーバーにアクセスした情報を一時的にブラウザに保存するための仕組みです。Cookieによって、次回Webサイトに訪問したときの閲覧がスムーズになるほか、個人情報などを入力するフォームなどに前回入力した情報が再表示されるようになります。

Cookieには次の2種類があり、それぞれ異なる特徴を有します。

• ファーストパーティーCookie（1st party Cookie）
• サードパーティーCookie（3rd party Cookie）

ファーストパーティーCookie（1st party Cookie）は、訪問したWebサイトが発行するCookieのことです。サードパーティーCookie（3rd party Cookie）は、それ以外のドメインが発行するCookieです。それぞれの詳細は次項から説明します。

ファーストパーティーCookie（1st party Cookie）

ファーストパーティーCookie（1st party Cookie）は、ユーザーが訪問しているWebサイトから発行されているCookieのことで、Webサイト上の閲覧履歴、ログイン情報のほか、買い物カゴに入れた商品情報や個人情報などが保存されます。

また、ファーストパーティーCookieで保存された情報は、基本的に同じサイト内で利用されます。

サードパーティーCookie（3rd party Cookie）

サードパーティーCookie（3rd party Cookie）はユーザーが訪問したWebサイト以外のドメインから発行されるCookieを指します。主にWebサイト内に設置された広告に利用されているCookieです。

たとえば、ある商品を検索した後に異なるWebサイトを訪問した際、そのWebサイトの広告枠に検索した商品が表示されるのはサードパーティーCookieによって情報の保存と追跡が行われているためです。

Cookie規制とは

Cookie規制は、サードパーティーCookieが保存するユーザーの識別情報の利用を制限するものです。

サードパーティーCookieでは、ユーザーの意図しない場所でもWebサイトを横断して行動履歴を収集しています。これが個人情報保護およびプライバシー保護の観点から問題視され、規制が行われるようになりました。

よって、情報の追跡を行わないファーストパーティーCookieについては現状制限されていません。

Cookie規制の背景

2つのCookieのうち、サードパーティーCookieにおいては欧州を中心に規制が進んでいます。その背景として、主に次の2つのポイントが挙げられます。

• EU一般データ保護規則（GDPR）の施行
• 2022年4月に日本で施行される改正個人情報保護法

EU一般データ保護規則（GDPR）の施行によって、EUだけでなく他国の企業もGDPRに準ずる形でCookie規制に対応するようになりました。日本では、2022年4月に施行される改正個人情報保護法によって、Cookieに対する規制が設けられるようになります。

EU一般データ保護規則（GDPR）の施行

欧州連合（EU）では、2018年5月25日にEU一般データ保護規則施（GDPR）が施行されました。この規則では、欧州経済領域（EEA）にて取得した個人情報（氏名、メールアドレス、クレジットカード情報など）をEEA外に移転することを原則禁止としています。この規則には行政罰規定があるため、違反すると高額の制裁金が課されることもあります。

GDPR施行後、他国でもCookieを規制する動きが高まっています。アメリカ・カリフォルニア州ではカリフォルニア州消費者プライバシー法（CCPA）が2020年1月1日から施行されています。CCPAでは、カリフォルニア州の市民に対してプライバシーに関連する権利を与えるとともに、市民の個人情報を利用する事業者に情報の適正管理の義務を定めています。

2022年4月に日本で施行される改正個人情報保護法

前述の通り、日本では2022年4月から改正個人情報保護法が施行されます。

これまで、日本ではCookieに関する明確な指針がありませんでしたが、改正個人情報保護法が施行されると、Cookieの収集およびCookieに保存された情報の第三者への提供には本人の同意を得ることが必須となります。

規制の対象となるのは、個人関連情報取扱事業者が個人関連情報を第三者に提供し、さらに第三者が個人関連情報を個人データとして取得することが想定される場合です。

たとえば、Cookieを収集しているWebサイト（個人関連情報取扱事業者）が、そのCookieを別会社のECサイト（第三者）と共有し、ECサイト側ではCookieと顧客情報を紐付けて利用しているような状態がこれにあたります。これまで、ユーザーの同意がなくともCookieを共有できていましたが、改正法の施行でユーザー側の同意が必要になるのです。

Cookie規制による影響

これらのCookie規制によって、各企業には次のような影響が出てくると考えられます。

• リターゲティング広告が利用できなくなる可能性がある
• ユーザーの属性や興味関心などからのマーケティングが困難になる
• コンバージョン数減少の可能性
• 広告効果計測ツールにおける数値が不正確になる

Cookie規制によって、サードパーティーCookieを利用するリターゲティング広告や、サードパーティーCookieと顧客情報を紐付け活用するマーケティングが困難になるでしょう。その結果、コンバージョン数が減少することも考えられます。

また、サードパーティーCookieの利用を拒否するユーザーがでてくることで、広告効果計測ツールで取得する数値が不正確になる可能性があります。

ただし、これらはあくまでもサードパーティーCookieのみで、ファーストパーティーCookieについては改正法施行後も変わらず利用できます。

企業が行うべきCookie規制への対応方法

事業やマーケティングにおいてCookie規制の対象になり得る企業は、改正法への対応として次のような対策を講じる必要があります。

• Cookie発行（履歴取得）時にユーザーの同意を得る
• データ開示や削除請求があった場合は対応できるような体制にする
• データを第三者に提供する場合もユーザーからの同意を得る

これらの対策を実行するために、具体的には次のような対応を検討しましょう。

• 同意管理ツールの導入
• サードパーティーCookieへの依存を軽減する体制づくり

同意管理ツールの導入

Webサイトの訪問者に対してCookieの取得を同意し管理する同意管理ツールの導入で、Cookie規制に対応できます。

Cookie同意管理ツールとは、Webサイトの運営者がユーザーに対してCookieから取得したデータの活用法を明示しながら、Cookie取得の同意を求められるツールです。近年、多くのWebサイトやアプリでCookie利用に関する同意を求めるバナーやポップアップが表示されるようになりましたが、これにも同意管理ツールが利用されています。

取得を拒否された場合には、Cookieを取得できない状態になります。また、同意撤回を求められた場合やデータ開示の要求にも対応できるのが一般的です。

Cookie同意管理ツールは無料・有料含め複数あります。同意取得のデザインや設置場所をカスタマイズできるか、外部システムと連携できるか、各国規制に対応できるものかなどを確認し、自社の状況やCookieの利用方法を踏まえて選択しましょう。

同意管理ツールの導入によって、各国の規制や日本の改正個人情報保護法に即座に対応できるようになるほか、同意記録の管理や同意状況の外部システムとの連携も容易になります。

サードパーティーCookieへの依存を軽減する体制づくり

サードパーティーCookieを活用するリターゲティング広告は、費用対効果の高さから多くの企業が利用してきました。しかしこれからは、リターゲティング広告をはじめとするサードパーティーCookieに頼らない、規制に対応した体制づくりが重要となります。

自社サイトの拡充やサポート体制の強化など顧客満足度向上のための体制づくりと施策の実行、見込み顧客の獲得・認知度向上に向けたSNS運用などに注力し、サードパーティーCookieに依存せずデータを獲得していく必要が生じるでしょう。

マーケターが行うべきCookie規制の対策

Cookie規制によって、特に大きな影響を受けるのが広告領域です。企業のマーケティング担当者は、今後Cookie規制への対策を念頭に置き広告戦略を練らねばなりません。

具体的には、次のような対策が必要です。

• ターゲティング手法の変更
• リターゲティングに頼らない広告戦略

ターゲティング手法の変更

マーケターは、サードパーティーCookieを利用するリターゲティングではなく、異なる手法でターゲティングを行う必要があります。リターゲティング以外の手法には次のものがあります。

• ファーストパーティーデータの活用
• ゼロパーティーデータの活用

まず考えられるのは、規制対象外のファーストパーティーCookieの活用です。ファーストパーティーデータに含まれる氏名や住所、電話番号など、顧客から同意のうえ直接取得したデータは規制の対象外です。たとえば、Googleアナリティクスから取得されるサイト内の滞在時間やセッション数もファーストパーティーデータであるため、マーケティングに活用できます。

分析の必要がないゼロパーティーデータの活用も進んでいくでしょう。これは、顧客自らが積極的に企業と共有しているデータのことです。たとえば、顧客自らが望んで提供する個人情報やメルマガの購読意思、購入への意思などがゼロパーティーデータにあたります。

リターゲティングに頼らない広告戦略

リターゲティングに頼らない広告戦略として、主に次の2つが考えられます。

• フルファネル戦略
• コンテクスチュアル広告

サードパーティーCookieに依存するリターゲティング広告から脱却し、顧客育成を重視した広告戦略への転換が必要になるでしょう。フルファネル戦略とは、すべてのファネルに対し一気通貫のマーケティング施策のもとアプローチしていく手法を指します。消費者が見込み顧客となり、実際に購買しその後優良顧客になるよう段階に応じて広告を展開していきます。

また、ファーストパーティーデータを用いたコンテクスチュアル広告も有効です。コンテクスチュアル広告とは、コンテクスト（文脈）にそった広告を配信する手法です。Webサイトの文脈やキーワードなどを解析し、それにマッチする広告を表示させます。ユーザーが閲覧しているページに関連する広告が表示されるため、ユーザーに受け入れられやすいという特徴があります。