最終更新日 : 2024.04.22

【2023年版】Cookie規制とは？日本の状況・影響・対策方法まで解説

この記事をシェアする

マーケティングトレンド

ファーストパーティーCookieを活用して広告効果を正確に測定！導入実績1万件突破の広告効果測定ツール「アドエビス」とは？

Cookie規制とは、法規制やブラウザの自主規制によって、Cookieの利用が制限されることを指します。しかし、Cookie規制の詳しい内容や影響について正しく理解できている方はどれほどいるでしょうか。

「近々、Google ChromeもCookieを規制するらしい！」
「Cookie規制って最近よく聞くけど、どんな対応をすればいいの？」

このように考えている方は、この記事を読んでCookie規制への理解を深めていただければと思います。

Cookieには「ファーストパーティーCookie」と「サードパーティーCookie」の2つがあり、現時点でCookie規制の対象になっているのは主にサードパーティーCookieです。

サードパーティーCookieは、用途によってはユーザーが意図しない場所でもWebサイトを横断して行動履歴を収集しています。これが個人情報保護の観点から問題視され、規制が行われるようになりました。

この記事では、海外と日本の法律や、ブラウザによるCookie規制の内容をはじめ、Cookie規制がWebマーケティングに与える影響、企業がCookie規制にどう対応していく必要があるのかを詳しく解説していきます。

Cookie規制について網羅的に理解し、さらに今後の対策について検討したい方は、ぜひ最後までお読みください。

無料オンラインセミナー「Cookie規制で何が起こる？デジタル広告の成果最大化に必要なデータ分析」お申し込みはこちら

1. Cookie規制を理解するための基本知識
2. 法律によるCookie規制の状況（海外・国内）
- 2-1. 海外の法律によるCookie規制の状況
- 2-2. 日本の法律によるCookie規制の状況
3. ブラウザごとのCookie規制の状況（Apple・Googleなど）
4. Cookie規制がWebマーケティングに与える影響
- 4-1. リターゲティング広告が制限される
- 4-2. ビュースルーコンバージョンの計測が制限される
5. マーケターの87%がCookie規制の影響を既に実感している
6. Cookie規制に対応するために企業が実施すべきこと
7. ファーストパーティーCookieを活用した広告効果測定ならアドエビス
8. まとめ

1. Cookie規制を理解するための基本知識

「Cookie規制」について理解する前に、「Cookie（クッキー）とは何か」について解説します。

Cookieの概要や種類についてご存じの方は「2. 法律によるCookie規制の状況（海外・国内）」「3. ブラウザごとのCookie規制の状況（Apple・Googleなど）」からお読みください。

1-1. そもそも「Cookie（クッキー）」とは

「Cookie（クッキー）」とは、「Safari」や「Chrome」といったWebブラウザに、訪問したWebサイトにおける行動ログや入力したユーザー情報を一時的に保管しておく仕組みのことです。

「Cookieを活用すると以下のようなメリットがあり、ユーザーにもサイト運営側にも便利な仕組みといえます。

1-2. Cookieには2種類ある

Cookieには、ユーザーが訪れたサイトのドメインが発行する「ファーストパーティーCookie」と、別ドメインが発行する「サードパーティーCookie」の2種類があります。

	ファーストパーティーCookie （1st Party Cookie）	サードパーティーCookie （3rd Party Cookie）
発行元	ユーザーが訪問したサイトのドメイン	ユーザーが訪問したサイト以外のドメイン
主な用途	・ログイン状態の維持・入力情報の保持・カート情報の保持・サイト内のユーザー行動をトラッキング	・リターゲティング広告（アクセス履歴のあるサイトの商品を別サイトに広告として表示）・ドメインを横断したユーザー行動のトラッキング
企業のメリット	・ユーザーの利便性を向上できる・行動履歴を追跡できる	・他ドメインのWebサイトに広告を表示でき、効果が高いマーケティングを行える・ドメインを横断してユーザー行動をトラッキングできる
ユーザーのメリット	・利便性の向上	・関心・興味がある広告を取得できる
ユーザーのデメリット	・サイト運営者に個人情報を預けるリスクがある	・知らないうちに第三者に行動履歴や個人情報を取得されてしまうリスクがある → 近年問題になり始めている

ファーストパーティーCookie（1st Party Cookie）

ユーザーが訪問したサイトのドメインが発行するのが「ファーストパーティーCookie（1st Party Cookie）」です。

例えば今ご覧いただいているアドエビスのサイトにアクセスすると、「ebis.ne.jp」のドメインがユーザーが使っているブラウザ（例えばChrome）にCookieを付与します。

ブラウザにユーザーの閲覧履歴や入力情報などが保管されるため、ログインやカートの状態を保持したり、一度入力した情報を再入力しなくて済んだりするメリットがあります。

一方、サイト運営者は、ユーザーの来訪情報やサイト内での行動履歴を追跡・取得し、マーケティングや分析に活用できます。

サードパーティーCookie（3rd Party Cookie）

ユーザーが訪問したサイト以外のドメインから発行されるクッキーが「サードパーティーCookie（3rd Party Cookie）」です。

例えばユーザーがアドエビスのサイトにアクセスしたとき、「ebis.ne.jp」以外のドメイン（例：Google広告）が発行したCookieが、サードパーティーCookieとなります。

ファーストパーティーCookieは主にユーザーの利便性向上を目的としたものですが、サードパーティーCookieは主に企業のマーケティングに寄与するものです。

サードパーティーCookieの仕組みを使うと、以下のような「リターゲティング広告」が可能になります。

ユーザーがA社の公式ホームページを訪問し、商品を閲覧
後日、ユーザーはA社とは関係がないニュースサイトを閲覧
ニュースサイト内に、A社の広告が表示される

A社の公式ホームページで商品を閲覧→後日ニュースサイトを閲覧中にA社の広告が表示される

その他にも、ドメインを横断したユーザー行動のトラッキングが可能となり、サイト外の行動も含めた効果測定が可能となります。

サードパーティーCookieの仕組みをさらに詳しく知りたい方は、「サードパーティーCookieとは？仕組み・問題点を分かりやすく解説」の記事もご覧ください。

1-3. サードパーティーCookieの問題が顕在化

サイト運営者や広告主にとってサードパーティーCookieは、ドメインをまたいで広告出稿や効果測定ができる便利な仕組みです。しかし、個人情報やプライバシーの観点から疑問視され始めました。

サードパーティーCookieを活用したパーソナライズド広告を受け取ったユーザーからすると、]「知らない間に第三者に個人情報が活用されている」「プライバシーの侵害ではないか」「監視されている気がして嫌だ」と感じる原因となります。

このような問題点を受け、法律やブラウザ側で、主にサードパーティーCookieやこれを活用して得られるデータ（Cookieデータ）を対象にした規制が始まりました。

2017年	・Apple社が、Safariブラウザに「ITP1.0」（トラッキング防止機能）実装
2018年	・Apple社が、Safariブラウザに「ITP1.0」（トラッキング防止機能）実装
2020年	・アメリカでCCPA（カリフォルニア州消費者プライバシー）施行・Apple社「ITP2.3」でサードパーティーCookieが完全にブロック
2022年	・Mozilla社がFirefoxブラウザで、「包括的Cookie保護（Total Cookie Protection）」をデフォルトで有効にすることを発表
2024年	・Google社が、ChromeブラウザでのサードパーティーCookieを廃止予定

Cookie規制には「法律による規制」と「ブラウザ運営企業による規制」の2種類があります。それぞれ次の章から詳しく解説していきます。

2. 法律によるCookie規制の状況（海外・国内）

まずは、法律によるCookie規制について、海外と日本国内の状況を解説していきます。

2018年5月にEUでGDPR（一般データ保護規則）が施行されたことを皮切りに、日本を含めた各国でCookie規制が進んでいます。

2-1. 海外の法律によるCookie規制の状況

海外では欧米諸国を中心に個人情報保護を目的とした法律の整備が進んでおり、Cookieに関わる具体的な対応が求められています。

▼ Cookieに関わる法規制の内容

EU（欧州連合）のGDPR（一般データ保護規則）	・ユーザーがサイトを利用する前にCookieを受け入れる「事前同意取得（オプトイン）」を義務化
米国（カリフォルニア州）のCCPA（カリフォルニア州消費者プライバシー法）	・ユーザーがCookieデータを第三者に販売されるのを止めたいときに利用停止（オプトアウト）できる仕組みを義務化・Cookieデータを第三者に販売する場合には、利用停止（オプトアウト）を選べるバナーなどの設置を義務化 ※いずれもCookieデータが「個人データ」に該当する場合

EU（欧州連合）では、2018年5月にGDPR（一般データ保護規則）が施行されるとともに、EUにおけるデータ保護とプライバシーに関する一連の規則である「ePrivacy指令」がGDPRを具体化し補完するものであると位置づけられるようになりました。ePrivacy指令では、ユーザーが持つ端末にCookieデータを保存したり、既にその端末に保存されている情報にアクセスしたりするためには、原則として、ユーザーがサイトやアプリを利用する前にCookieを受け入れるための「事前同意（オプトイン）」を講じる必要があります。ePrivacy指令はEU加盟国に対して国内法の整備を要求するものですが、事業者に適用されるのは、ePrivacy指令に基づき制定された国内法です。現在、EU加盟国に直接効力を有するePrivacy規則の成立に向けて審議中ですが、未成立の状況にあります。

また、GDPR上、CookieIDのようなオンライン識別子は「個人データ」に該当しますので、Cookieデータの取扱いにはGDPRが適用されることになります。

一方、米国には、国内全域に適用される「連邦法」と各州で制定する「州法」が存在します。連邦法レベルでは包括的な個人データ保護法は存在しませんが、州法レベルでは包括的な個人データ保護法を制定する州もあります。特に知られているのが、2020年1月に施行されたカリフォルニア州消費者プライバシー法（CCPA）です。

CCPAではEUにおけるePrivacy指令のように、Cookieの利用に特に焦点を当てた規制は設けられていません。しかし、対象となる「個人データ」が幅広く定義されており、Cookieデータも個人データに該当するため、CCPAにおける諸規制を遵守しなければならない場合があります。CCPAでは、個人データを第三者に販売（共有）する場合には、本人がオプトアウト（ユーザーが個人データの提供停止を希望した場合に提供を停止すること）ができる仕組みを整え、Cookieを利用するサイトには「Do　Not Sell My Personal Information」と記載されたオプトアウト権行使のための画面を設置する義務があります。そのため、CCPAの下では、Cookieを受け入れるかを事前にユーザーに聞く必要はありません。

2-2. 日本の法律によるCookie規制の状況

日本では2022年4月に「改正個人情報保護法」が施行され、2023年6月には「改正電気通信事業法」が施行されました。これらの改正法にはCookieデータに関連する内容が含まれています。

▼ Cookieに関わる法改正の内容

改正個人情報保護法（2022年4月施行）	・「個人関連情報」という概念が新設され、Cookieデータも個人関連情報に含まれる可能性がある・ある事業者（提供元）が第三者（提供先）に個人関連情報を提供する際、当該第三者（提供先）が提供された個人関連情報を自社（提供先）で保有する個人情報等と組み合わせることで、特定の個人を識別できるかたちで提供を受けることが想定される場合、提供元に「本人同意が得られていること」を確認することが義務付けられた。（本人同意を得るのは提供先。ただし、提供元による同意取得の代行も可能）
改正電気通信事業法（2023年6月施行）	・サードパーティCookieデータを含む利用者情報を第三者に提供する場合に、「関連情報を事前にユーザーに通知」「事前にユーザーの同意を取得」「後から拒否できる仕組み」のいずれかに対応することが義務付けられた

改正個人情報保護法
（2022年4月施行）

・「個人関連情報」という概念が新設され、Cookieデータも個人関連情報に含まれる可能性がある
・ある事業者（提供元）が第三者（提供先）に個人関連情報を提供する際、当該第三者（提供先）が提供された個人関連情報を自社（提供先）で保有する個人情報等と組み合わせることで、特定の個人を識別できるかたちで提供を受けることが想定される場合、提供元に「本人同意が得られていること」を確認することが義務付けられた。（本人同意を得るのは提供先。ただし、提供元による同意取得の代行も可能）

改正電気通信事業法
（2023年6月施行）

・サードパーティCookieデータを含む利用者情報を第三者に提供する場合に、「関連情報を事前にユーザーに通知」「事前にユーザーの同意を取得」「後から拒否できる仕組み」のいずれかに対応することが義務付けられた

それぞれの法改正において、Cookieに関連する内容について解説します。

改正個人情報保護法（2022年4月施行）

改正個人情報保護法では「個人関連情報」という概念が新設されました。個人関連情報とは、簡潔に言えば、個人情報には該当しない、個人に関する情報をいいます。Cookieを通じて収集された閲覧履歴などのデータも、特定の個人を識別できない場合には、この「個人関連情報」に含まれる可能性があります。一方で、当該データが他の個人情報と紐づけるなどして特定の個人を識別できる場合には、「個人関連情報」ではなく「個人情報」に該当します。そのため、データが個人情報保護法上のどのカテゴリに該当するかの把握が必要です。

しかし、提供する情報が個人関連情報であっても、提供先において、提供先が保有する情報と組み合わせると特定の個人を識別できてしまうケースがあります。

例えば、A社が個人関連情報であるCookieデータを取得したとします。これを第三者であるB社に提供し、B社が自ら保有する情報と当該個人関連情報とを組み合わせることで特定の個人を識別できるとします。このようにA社からB社に個人関連情報を提供し、B社が当該個人関連情報を他の情報と紐づけて個人情報として取得することが想定される場合、改正個人情報保護法では規制の対象となります。

具体的には、提供先のB社はユーザー本人から同意を取得する一方で、A社はB社により同意が得られていることをB社に確認する義務があります。

改正電気通信事業法（2023年6月施行）

電気通信事業法の改正法が2023年6月に施行されました。

改正電気通信事業法では、主にサードパーティーCookieを活用する場合を念頭に規制が設けられました。規制の対象は、電気通信事業法に基づき届出等をした電気通信事業者と、政令で定める電気通信役務（オンラインサービス等）を他人の需要に応ずるために提供する事業者です。

改正電気通信事業法の下では、Cookieデータを含む利用者に関する情報を第三者に提供する（外部送信する）場合、以下の3つのいずれかに対応することが義務付けられました。

所定の事項に関連する情報を事前にユーザーに通知・公表する
事前にユーザーの同意を取得する（オプトイン）
後から拒否できる仕組み（オプトアウト）を導入する

なお、電気通信事業法を所管する総務省は、当初は、外部送信規律への対応方法として、ユーザーの同意取得を義務付ける案のみが検討され、事前の通知・公表やオプトアウトの導入による対応を認めない方向で検討していました。しかし、事業者団体等からの反発を受け、当初の案は見送られ、同意を取得する方法のほかに、関連情報をユーザーに通知・公表することやオプトアウトの機会を設けることでも足りることになりました。

3. ブラウザごとのCookie規制の状況（Apple・Googleなど）

Cookie情報を保有する仕組みを持つブラウザ側も、Cookie規制を進めています。

ブラウザ側がCookieをブロックする仕様を採用してしまえば、Cookieを利用したくても利用できなくなります。特にブラウザシェア率が高いブラウザでCookie規制が進めば、その影響は多大なものになります。

日本のブラウザシェア率(※)とCookie規制の概要をまとめたのが以下の図です。（2022年9月時点）

日本のブラウザシェア率とCookie規制の状況 — ※ 参照元：StatCounter – Browser Market Share Japan（August 2022）

ブラウザごとのCookie規制について、詳しく解説していきます。

3-1. SafariはサードパーティーCookieを全面廃止

各ブラウザの中でも率先してCookie規制を進めているのが、Apple社のSafariです。SafariはiOSやMacに標準搭載されているブラウザであり、日本国内で約26%のシェアを得ています（2022年8月時点）。

Apple社は「プライバシーを守り、自分の情報をコントロールできるように製品を設計する」という理念を掲げており、Safariブラウザでは既に具体的なCookie規制が行われています。

2017年にAppleは「ITP（Intelligent Tracking Prevention）」というトラッキング防止機能をSafariに実装しました。その後もバージョンアップを繰り返し、規制内容がより厳しく進化しています。

※1：4つ以上のサイトからリダイレクトされているファーストパーティーCookieの場合
バージョン	発表日	サードパーティーCookie	ファーストパーティーCookie	Local Storage
ITP1.0	2017年9月	30日で削除（過去に訪問がないユーザーは24時間で削除）	制限なし	制限なし
ITP1.1	2018年3月	直帰した場合は24時間で削除	制限なし	制限なし
ITP2.0	2018年9月	直帰した場合は即時削除	条件によっては即時削除(※1)	制限なし
ITP2.1	2019年3月	直帰した場合は即時削除	JavaScriptで付与されたCookieの場合、最大7日で削除	制限なし
ITP2.2	2019年5月	直帰した場合は即時削除	JavaScriptで付与されたCookieの場合、最大7日で削除	制限なし
ITP2.3	2019年9月	直帰した場合は即時削除	JavaScriptで付与されたCookieの場合、最大7日で削除	最大7日で削除
追加機能	2020年3月	完全にブロック	JavaScriptで付与されたCookieの場合、最大7日で削除	最大7利用日で削除
iOS16	2023年9月	完全にブロック	最大7利用日で削除	最大7利用日で削除

2022年9月以降は、サードパーティーCookieは完全にブロックされ、ファーストパーティーCookieやLocal Storageも最大7利用日で削除されるようになっています。

Appleは、Cookieに限らずトラッキング目的に使われる仕組みを次々に削除対象にしています。今後も規制を回避するための抜け道はその都度、アップデートで制限されることが考えられます。

3-2. Chromeは2024年にサードパーティーCookieを廃止予定

日本国内のブラウザシェアTOPを誇るGoogle社のChromeは、Cookie規制に消極的な姿勢を見せています。2022年8月現在、ファーストパーティーCookieにもサードパーティーCookieにも具体的な規制はありません。

Google社は以前から「サードパーティーCookieを廃止する」と発表しているものの、その廃止予定を何度も延期しています。

2020年	「2022年以内にサードパーティーCookieを廃止する」と発表
2021年	「2023年までにサードパーティーCookieを段階的に廃止する」と発表
2022年7月	「サードパーティーCookie廃止は2024年後半から順次行う」と発表

Google社は延期の理由として、サードパーティーCookieに代わる技術「プライバシー・サンドボックス」の開発やテストに時間がかかっていると述べています。

サードパーティーCookieを廃止すれば自社サービス「Google広告」にも大きな影響があるのでしょう。そのため、代替技術が完成するまでの間は、ChromeでのサードパーティーCookie規制は行われないのではないかと考えられます。

3-3. Microsoft Edgeはトラッカーの規制がある

Microsoft社のブラウザ「Microsoft Edge」では、ブラウザの「追跡防止」機能により、有害な可能性があるトラッカーがブロックされるように設計されています。

SafariのようにサードパーティーCookieを全面的にブロックするような厳しい規制ではないものの、既に一部のCookieに影響が及んでいます。

また、Microsoft EdgeはGoogleが開発したブラウザエンジンを使用しており、ChromeのサードパーティーCookie規制が行われればそれに追従する可能性があります。

3-4. FirefoxはトラッカーのCookieをブラウザの初期設定でブロック

Mozilla社のブラウザ「Firefox」では、現状、Safariのように全面的にCookieをブロックするようなCookie規制は行われていません。

ただし、ブラウザの初期設定では、トラッカーのCookieをブロックし、トラッカー以外のサードパーティーCookieはサイトごとに隔離されるような設定になっています。設定をカスタマイズすることは可能ですが、そのまま使うユーザーが多いと考えられます。

ファーストパーティーCookieはデフォルトでブロックされません。

4. Cookie規制がWebマーケティングに与える影響

日本のCookieに関する法規制はEUと比較すると厳格とはいえず、特定の状況以外ではユーザーへの事前同意取得の義務付けはありません。しかし、ブラウザによるCookie規制の影響は既に出ています。

3章で解説した通り、既にSafariとFirefoxでは、サードパーティーCookieがほぼ使えない状況にあります。この2社のブラウザシェアを合計すると30.5%となり、サイト利用者の約3割はサードパーティーCookieを利用できない状況といえます。

※ 参照元：StatCounter – Browser Market Share Japan（August 2022）
	日本でのシェア(※)	サードパーティー Cookieの規制	ファーストパーティー Cookieの規制
Safari （Apple社）	25.55%	全面ブロック（使用できない）	JavaScript使用のみ最大7利用日で削除
Chrome （Google社）	50.17%	2024年にブロック予定 ※延長の可能性あり	規制なし（使用できる）
Edge （Microsoft社）	14.91%	トラッカーは規制対象	規制なし（使用できる）
Firefox （Mozilla社）	4.95%	トラッカー以外はサイトごとに隔離	ユーザー操作がないトラッカードメインの場合には定期的に削除
その他	4.40%	ー	ー

ChromeはまだCookie規制を行っていませんが、予定通りに2024年にサードパーティーCookieが規制されれば影響はさらに甚大なものとなります。Safari・Firefox・Chromeの3社のブラウザシェア合計は80.67%となり、ほとんどのユーザーがサードパーティーCookieを使えない状況となります。

それでは、サードパーティーCookieが規制されると具体的にどんな影響があるのでしょうか。

4-1. リターゲティング広告が制限される

サードパーティーCookieが規制されることで影響が大きいものに「リターゲティング広告」があります。

リターゲティング広告とは、自社サイトの訪問履歴があるユーザーがサイトを離脱した後にも追跡して広告を表示できる手法のことです。

サードパーティーCookieの利用が制限されると、サードパーティーCookieの仕組みを活用したリターゲティング広告も利用が難しくなります。

リターゲティング広告など、サードパーティCookieを活用した広告配信が制限される

自社商品やサービスに興味を持っているユーザーにアプローチできるリターゲティング広告は、広告効果が高い手法といえます。このような広告が出しづらくなることは、マーケティングにおいて大打撃になりえます。

特に、リターゲティング広告をメインに収益化していた企業は、新しい広告戦略を打ち出す必要があるでしょう。

4-2. ビュースルーコンバージョンの計測が制限される

サードパーティーCookieを使えば、サイトAで表示された広告をユーザーが閲覧し、クリックはしなかったものの別のルートでコンバージョンに至ったケースを計測できます（ビュースルーコンバージョン）。

しかしサードパーティーCookieが規制されると、サイト内で別ドメインが発行したCookieは無効化されてしまいます（または一定期間で削除されてしまいます）。そのため、コンバージョンを正しく計測することが難しくなります。

5. マーケターの87%がCookie規制の影響を既に実感している

日本でのCookie規制の影響は、現状では一部のブラウザによるものだけです。日本でのブラウザ使用率1位のChromeではまだ規制されていないため、「実際そんなに影響はないのではないか？」と感じる方もいるかもしれません。

しかし、当社（株式会社イルグルム）が2021年に実施したアンケート調査(※)によると、既に87%ものマーケターがCookie規制の影響を実感しています。
※調査対象：企業で「経営/経営戦略」「マーケティング/企画」「販促/広報」業務に携わる方320名

「日々のマーケティング活動の中でCookieの利用規制の影響を受けていると感じたことはありますか」という質問に対して、「非常に影響を受けていると感じる」が33.9%、「どちらかといえば影響を受けていると感じる」が53.2%という回答結果になりました。

Cookieの利用規制の影響について、具体的にどのような場面で影響を受けていると感じますか？

具体的な影響（複数回答）としては、「リターゲティングの効果が悪くなっていると感じたとき」（71.8%）、「広告の効果計測ツールで正しく計測できてないと感じたとき」（52.3%）、「媒体の管理画面で成果数が減っていると感じたとき」（31.5%）、「周囲から対策・対応を求められたとき」（19.5%）などが挙げられました。

主に、Web広告の効果測定においての影響を実感しているマーケターが多いことが分かります。

参考：アドエビス、WebマーケティングにおけるCookie利用規制の影響を調査。87％がCookie利用規制の影響を実感、対策への関心高まる

6. Cookie規制に対応するために企業が実施すべきこと

ここまで説明したように、Cookieに対しての法規制やブラウザの自主規制が近年進んでおり、その影響を既に感じているマーケターも高い割合となっています。

プライバシーや個人情報保護を重視する流れがある中で、今後もCookie規制が厳しくなる可能性があります。こうしたCookie規制に対応するために企業が今後実施すべきこととは何でしょうか。

結論からお伝えすると、「サードパーティーCookie依存をやめ、ファーストパーティーCookieを正しく活用する方向性」に進むことが大切です。

規制の対象となっているのは「サードパーティーCookie」の方であり、自社サイトが発行する「ファーストパーティーCookie」は今後も活用できます。また、Cookie規制が今以上に厳格化したとしても、ユーザーから正式にCookie利用の同意を得ていれば問題にならないと考えられます。

やみくもに「クッキーレス」（Cookieに依存しないマーケティング手法）を進めるのではなく、自社内のCookieデータを適切に管理し、今後の法規制に備えるのがおすすめです。

具体的に、Cookie規制に対応するために企業が実施すべきことを以下の順に解説していきます。

Cookie規制に対応するために 企業が実施すべきこと

【注意】サードパーティーCookie代替手段の採用は慎重に
サードパーティーCookieへの依存をやめる
保有している利用者情報の状況を把握する
プライバシーポリシーを作成してユーザーに周知する

6-1. 【注意】サードパーティーCookie代替手段の採用は慎重に

最初に注意点として、「サードパーティーCookieの代替手段の採用は慎重に行いましょう」ということをお伝えします。

ドメインを横断してユーザー行動を追跡できるサードパーティーCookieは、Webマーケティングにおいて非常に便利な技術です。そのため、「サードパーティーCookieが規制されても、それに代わる手段が無いだろうか」と考える方も多いことでしょう。

しかし、それが「プライバシーを侵害するもの」や「自分でコントロールできないもの」であれば、その代替手段もサードパーティーCookieと同様に規制対象になる可能性が高いと考えられます。

事実、SafariブラウザのCookie規制後に代替手段として用いられたLocal Storageは、ITP2.3から規制対象となり最大7利用日で削除されるように変更されました。今後も、代替手段については追加で規制対象になる可能性が高いといえます。

また、Google社がCookieの代替技術として開発していた「FLoC」は、プライバシーを侵害するものだと批判され、開発を中止しています。現在はFLoCに代わり「Topics API」を開発中です。Topics APIには、第三者に提供される情報をユーザーが拒否できる仕組みが取り入れられるようです。

Google社の新技術は規制対象にならない可能性もありますが、サードパーティーCookieの代替手段を採用する際には慎重に判断すべきだといえるでしょう。

6-2. サードパーティーCookieへの依存をやめる

もし現在、サードパーティーCookieを活用した広告（リターゲティング広告）やトラッキングに依存しているならば、まずはそこからの脱却を考えましょう。なぜならば、サードパーティーCookie廃止の動きは今後も止まらないと想定されるからです。

既にSafari（ブラウザシェア率25.55%）とFirefox（ブラウザシェア率4.95%）では、サードパーティーCookieがほぼ使えない状況にあります。つまり既にサイト利用者の約3割はサードパーティーCookieを利用できないということです。

今後の法改正やブラウザの規制によって、サードパーティーCookieを利用できないケースはさらに増えると予想されます。

サードパーティーCookieに依存しない広告手法やマーケティング、トラッキングの手段を開拓する必要があるでしょう。

6-3. 保有している利用者情報の状況を把握する

規制が厳しくなる一方のサードパーティーCookieに対し、自社で集めたファーストパーティーCookieは今後も利用可能です。

適切にファーストパーティーCookieを活用するため、既に保有している利用者情報の把握が急務となります。現在保有している利用者情報はプライバシーの観点で問題がないか、どこでデータを管理しているのか、どこまでの利用が消費者から承認されているかを再確認しましょう。

また、（ファーストパーティーCookieを含む）Cookieデータが個人情報保護法上の「個人情報」（「個人データ」）に該当する形で取り扱われているかを確認する必要があります。個人情報保護法では、個人データの第三者提供には提供元の事業者による本人の同意の取得が必要となります。一方、既に述べた通り、個人関連情報を第三者に提供し、提供先の事業者において当該個人関連情報を個人データとして取得する場合には、提供先で同意を取得しなければならない（ただし、提供元による同意取得の代行も可能）ほか、提供元においても同意が取得されているかを確認しなければならないからです。

同時に、自社内でCookieを含む利用者情報の管理体制を整え、個人情報の漏えいや滅失などが起こらないようなセキュリティ対策も必要です。

6-4. プライバシーポリシーを作成してユーザーに周知する

保有している利用者情報の把握や管理体制が整ったら、社内でプライバシーポリシーを作成し、サイト内で周知することをおすすめします。

サイトや企業として取得する利用者情報にはどのようなものがあるかを把握し、利用目的（何に使用するのか）を明確にして文書化します。利用者情報を第三者提供する場合の理由や、共同利用する可能性がある利用者情報なども、共同利用について定める法の要件に従って明確にすると良いでしょう。

7. ファーストパーティーCookieを活用した広告効果測定ならアドエビス

ここまで解説してきたように、サードパーティーCookieは既に法改正やブラウザの自主規制により活用できないケースが出ています。さらに、今後の規制内容によっては影響が拡大する可能性もあります。

このままサードパーティーCookieを活用したWeb広告やトラッキング計測を続けても、将来的に活用が困難になるかもしれません。

しかし、自社サイトのドメインから発行されるファーストパーティーCookieについては、引き続き活用が可能です。サードパーティーCookieから脱却するために、ファーストパーティーCookieの活用をぜひご検討ください。

Webマーケティングにおいて広告効果測定やコンバージョン計測は欠かせないものです。「脱Cookie」で効果測定を諦めてしまうのではなく、ファーストパーティーCookieによる広告効果測定を強化しませんか？

アドエビスでは、サイトのドメインが発行するファーストパーティーCookieを活用した広告効果測定ツールです。Cookie規制に対応した高精度なトラッキング手法でデータ計測を行っています。

今後のデジタルマーケティングにおいて、プライバシーや個人情報保護へのさらなる配慮が求められるようになります。しかし企業側で複雑なプライバシー技術を理解し、データを蓄積・活用するのは、単独では難しい問題です。

そういった際には、テクノロジーベンダーのアドエビスとともに、効率的に精度の高いデータ計測環境の整備をぜひご検討ください。

8. まとめ

この記事では、Cookieの基礎知識からCookie規制の詳しい内容まで解説してきました。

「Cookie規制」という言葉とともに、「脱Cookie」や「クッキーレス」について論じられることも多く見受けられます。しかしCookie規制の詳細を見てみると、ファーストパーティーCookieを正しく取得・活用することの重要性をご理解いただけたのではないでしょうか。

「脱Cookie」ではなく「脱サードパーティーCookie」を目指し、今後は適切にデータを活用していくことに目を向けましょう。

Cookie規制にも対応した広告効果測定についての相談がある方は、お気軽にアドエビスまでお問い合わせください。