Cookieはいいこと尽くめ。いや、そうでもない?レーズンクッキーのように、サードパーティCookieは賛否両論です。最近では、Googleのような大手企業がCookieの完全廃止を進めています。

サードパーティCookieの台頭からのこの流れは、Cookieレス時代として知られています。業界の見識者たちは、Cookieのない未来はプライバシーとセキュリティの観点から良い兆しであると考えています。とは言え、マーケター、企業、サイト所有者にとっては多くの課題や問題が残ることは確実。さらに消費者にも多少の影響があります。

An image of a cookie crossed out
Cookieは以前よりもいいこと尽くめではない?

Cookieレス時代がすぐそこまで来ている今こそ、未来に備える絶好の機会。今回の記事では、Cookieレス時代とそれに伴う影響、そしてCookieのない未来を最大限に活用する方法について、詳しくご紹介します。

この記事を読んで、デジタルの方のCookieには別れを告げましょう。

Cookieレス時代とは

Cookieレス時代とは、その名の通り、近年さまざまな用途に使用されるサードパーティCookieを廃止する動向を意味します。

しかし、Cookieの廃止がなぜこれほど注目を集めているのでしょうか。Cookieにはすでに馴染みがあるかと思いますが、Cookieの使用頻度や、Cookieのプライバシーに関する懸念事項についてはあまり知られていません。

ユーザーのプライバシーとセキュリティが日に日に重要になるにつれ、GoogleやFirefoxなどの大手企業は、特定のCookieの完全廃止を進めています。

An image showing browsers dropping third-party cookies
Google ChromeなどのブラウザがサードパーティCookieの廃止を計画(出典: MarTech

ユーザーのプライバシー保護の観点からは非常に良いことですが、個々のユーザーの追跡や関連広告の表示に、サードパーティCookieを使用しているサイト所有者やマーケターにとっては一大事です。大手企業がCookieレス時代へ移行していく中、多くのサイト所有者やマーケターがCookieの代替手段を模索しています。

これから本題に入る前に、Cookieとは何か、そしてCookieの欠点について、簡単に押さえておきましょう。

Cookieとは

ウェブ上において、Cookieとはユーザーデータを含む小さなファイル。ユーザーとユーザーが使用するコンピュータを識別するのに使用されます。ユーザーデータには、ユーザー名、パスワード、メールアドレスなどの情報が含まれることがあります。

An image showing first party and third party cookies
焼き菓子のクッキーのように、ウェブCookieにもいくつかの種類がある(出典: Panda Security

Cookieの主な目的はユーザーの識別であり、サイトがユーザーを識別するために使用されています。ご想像の通り、Cookieはログインセッションの維持からコンテキストターゲティングによる広告表示まで、さまざまな用途に有用です。

焼き菓子のクッキーと同じように、Cookieはいくつかの種類があります。

Cookieは、訪問するサイトのウェブサーバーで生成されます。訪問するサイトがCookieの提供をオプトアウトしていない場合、ユーザーには2種類のCookieが付与されます。

  • ファーストパーティCookie─訪問しているサイトから直接送信されるもの。通常はセッションを維持するために使用され、次回訪問時にもログイン状態が維持される。ほとんどの場合、訪問しているサイトが侵害されない限りは安全。
  • サードパーティCookie─訪問しているサイトとは異なるドメインから送信されるもので、通常、広告などを通じて第三者とリンクしている。サイト自体にその意図がなくても、例えばあまり評判の良くない第三者の広告を掲載している場合などに生成される。

サードパーティCookieは、議論を呼ぶものであることは想像に難くありません。次に、サードパーティCookieが物議を醸す理由、そしてそれにもかかわらず広く使用されている理由をみていきましょう。

サードパーティCookie問題

ファーストパーティデータが基本的に良いものされているのに対し(言うなれば、チョコチップクッキーのチョコチップ部分)、サードパーティCookieは無害とは言い難く、この背景にある問題がCookieレス時代の移行につながっています。

では、どのような問題があるのでしょうか。

まず、サードパーティCookieは、ユーザーの同意なしに送信されることが多い点です。つまり、閲覧している広告を通して、ユーザーのコンピュータにサードパーティCookieを忍び込ませ、第三者が勝手にオンラインでのユーザーの行動を追跡することができてしまうということです。

Third party cookie retargeting
Cookieは巧妙にユーザーを追跡する

サードパーティCookieは、この追跡機能を利用して、ユーザーが訪問する他のサイトでパーソナライズされた体験(主に広告表示)を提供することができます。上記の画像は、どのようにユーザーがサードパーティCookieを取得し(受け取り)、表示される広告が変化するかを示しています。

では、これのどこが問題なのでしょう。確かに、ターゲット広告は少し不気味ですが、決定的に悪質とは言えません。

確かに、その通りです。Cookie自体は、サードパーティのものであろうとなかろうと、本質的に悪いものでも有害なものでもありません。ですが、単に多くのユーザーは、自分の行動を追跡されることを不快に感じています。

また、Cookie自体は危険ではありませんが、クロスサイトリクエストフォージェリ(CSRF)やクロスサイトスクリプティング(XSS)などのセキュリティ面での脅威の原因になる恐れがあります。この脅威については後ほど詳しく触れますが、悪意のある第三者が、全く罪のないサイトに対してサイバー攻撃を行うことを可能にするものであることは念頭に置いてください。

このようなプライバシーとセキュリティに関する懸念から、多くの主要検索エンジンがCookieを廃止しています。では、「Cookieレス」というのは、具体的にはどのようなものなのでしょうか。

「Cookieレス」の意味

Cookieレスであることは、サードパーティCookieを使用しない、または受け入れないことを意味します。

ウェブ体験のほとんどはCookieに依存してパーソナライズされており、実際にCookieがない状態を想像するのは難しいかもしれません。ユーザーの情報を識別する手段なしで、ログイン状態を維持し、パーソナライズされた体験を提供し、ターゲット広告を配信することは、果たしてできるのでしょうか。

幸い、Cookieの機能を代替してくれる手段は数多く存在します。多くのサイトやブラウザはまだ移行段階にありますが、皆、Cookieレス時代という1つの目標に向かって進んでいます。

Cookieレス時代の必要性

Cookieレス時代には、特にセキュリティの面で多くのメリットがあります。

ところが、サイト所有者やマーケターにとっては、97%の広告主がサードパーティのデータとCookieを使用していることを考えれば不便が生じます。そのため、Cookieレス時代の必要性について疑問視している人も多く存在しています。

A graph showing that 97% of advertisers use third-party cookies to track their audiences
97%の広告主がサードパーティCookieを使ってユーザーを追跡(出典: Advertiser Perceptions

ここで、サイト所有者とマーケターに朗報です。Cookie固有のプライバシーとセキュリティの問題を解消した上で、ユーザーの体験をパーソナライズしたり、ターゲットを絞ったりすることは可能です。永続的なIDなどのファーストパーティデータや、Googleのプライバシー サンドボックスなど、Cookieの代替手段を利用することができます。

さらに、Cookieレス時代は、完全にCookieがなくなるというわけではないかもしれません。サードパーティCookieの懸念事項が事の発端であるため、ファーストパーティCookie(自社で送信するCookie)は、これまで通り使い続けることができる可能性があります。

また、プライバシーとセキュリティの面でメリットがあっても、Cookieレス時代への備えはまだ面倒に感じるかもしれません。ですが、Cookieの使用を制限すべき理由は他にも多数あり、費用削減につながる可能性もあります。

Cookie廃止の理由

一言で言えば、プライバシーとセキュリティに関する懸念が、Cookieの段階的廃止の背景にある最大の理由です。多くの販売者と消費者が、Cookiの廃止は長期的にデジタル広告の利益につながると考えています。

People agree that a cookieless future is best
多くの人がCookieの廃止に賛同(出典: Advertiser Perceptions

これだけでも十分な理由ですが、Cookieレス時代のメリットは他にもあります。以下、特に重要なものをいくつか取り上げていきます。

プライバシー

プライバシーは、おそらくサードパーティCookie最大の懸念事項であり、多くのブランドや企業がCookieを廃止している1番の理由でもあります。

先で少し触れたように、サードパーティCookieには、多くのプライバシーに関する問題があります。多くのユーザーに関わる最大の問題は、知らぬ間にウェブ上での行動が追跡されることです。広告主やその他の第三者(悪意の有無にかかわらず)は、長い間、ユーザーのブラウザにCookieを保存してきました。

EU一般データ保護規則(GDPR)のような規則は、現在、ユーザーにCookieの使用同意を求めていますが、日頃の習慣や利便性から、以下のようなプロンプトをクリックして解決してしまう人がほとんどです。

A consumer consent prompt from Facebook
FacebookのCookie使用同意のプロンプト

この結果、GDPRの遵守にかかわらず、サードパーティCookieは依然として一般的な問題になっています。

また、Cookieは、第三者がユーザーの位置情報を追跡して広告を掲載するだけでなく、詳細な(かつ潜在的に危険をはらむ)ユーザープロファイルの構築に一役買ってしまいます。一部のSNSでは、このプロファイルデータを部分的にユーザーに公開していますが、知らない間に自分の情報がどれほど知られているか驚かされた経験があるはず。

いずれにしても、不気味でやや侵略的な印象があることは拭えません。企業は、消費者の信頼とプライバシーを重視するようになり、より良い顧客体験を提供すべく、Cookieレス時代に備え始めています。

セキュリティ

プライバシーを侵害するだけでなく、Cookieはセキュリティ上のリスクもあり、招かれざる客を呼ぶ恐れがあります。

ここからは、Cookieが引き起こす可能性のあるセキュリティ上の主な懸念事項をいくつかご紹介します。

  • クロスサイトリクエストフォージェリ(CSRFまたはXSRF)─Cookieは貴重な情報を持っていますが、その性能が優れているわけではなく、リクエストを送信したユーザーが信頼できるかどうか識別することができません。これを利用して、多くの悪意のある第三者がCSRF攻撃を行っています。この攻撃は、信頼できるサイトを通じて有害なCookieをユーザーのブラウザに忍び込ませ、ユーザーが訪れた様々なサイトで悪意のあるリクエスト(ファイルの削除など)を実行するというものです。
  • クロスサイトスクリプティング(XSS)─侵入されたサイトは、XSS攻撃のプラットフォームとして利用されてしまうことがあります。XSSは、ハッカーが悪意のあるJavaScriptやHTMLコードをサイトに掲載し、何も知らないユーザーからCookieやその他のデータを要求する攻撃です。Cookieには、ログイン情報などの機密情報が含まれていることがあり、ハッカーにとって格好の標的となります。
  • セッションの固定化─これまで触れてきたように、Cookieは、サイトのログイン状態を維持するためによく使用され、ブラウザが開いている間、一意のセッションIDを保存するセッションCookieが使用されます。ハッカーは、自分のセッションIDを指定したURLをユーザーに送信すると、そのユーザーのログイン情報を乗っ取ることができます。このURLでログインした場合、特定のサイトのアカウントにハッカーがアクセスできるようになってしまいます。
  • Cookieの投入─ほとんどのCookieは、パスまたはドメイン名と関連付けられていますが、全てではありません。サイトが複数のCookieを検出した場合は、無作為にそのうちの1つが選ばれます。これを利用して、多くのハッカーはユーザーのブラウザにCookieを侵入させ、サイトがそれを取得させようとします。サイトがこのCookieを取得してしまうと、ログイン情報を渡すなど、ハッカーが望むあらゆるリクエストが実行されてしまいます。
  • Cookieのキャプチャ─認証に使用されるセッションCookieなどは、安全なSSLまたはTLS経由で送信されるのが最善ですが、これはあくまでサイト次第であり、必ずしも実現できるわけではありません。安全な接続で送信されたCookieは暗号化されますが、安全でない接続で送信されたCookieは読み取られる可能性があります。多くのハッカーがこの安全でない接続を盗聴し、貴重なユーザーデータを入手しようとしています。

上記のようなセキュリティ上の脅威は、ユーザーだけでなく、ユーザーが訪問するサイトにも影響を与えます。多くのサイト所有者は、このような脅威を恐れてCookieレス時代に備え始めています。

広告詐欺(アフィリエイト詐欺)

Cookieは、不正な購入やページアクティビティに利用される場合もあります。これは大した問題でないように思えますが、何百万ドルもの詐欺通販が行われています。

Cookie stuffing is a major vector for ad fraud
Cookieの詰め込みは広告詐欺の主要手段

多くの企業がアフィリエイトプログラムを立ち上げ、第三者が自社製品を宣伝することを許可しています。誰かがアフィリエイトを通じて商品を購入すると、アフィリエイターは売上の一部を受け取ることができる仕組みです。この売上は、通常、アフィリエイトのCookieとユーザーからの売上を関連付けることによって追跡されます。堅実な追跡方法のように思えます。

しかし、これは大きな間違い。ほとんどの正当なアフィリエイトプログラムとそのアフィリエイターは該当しませんが、一部の詐欺的なアフィリエイターは、このシステムを悪用しています。通例では、Cookieを詰め込み、悪意のある第三者が侵害されたサイトに不正なCookieを忍び込ませます。これに気づかないユーザーがサイトを訪れると、Cookieが取得されてしまい、アフィリエイトページと密かに通信して、不正な販売が行われます。

これを防ぐべく、広告主やアフィリエイトプログラムも、Cookieレス(そして不正のない)時代に備え始めています。

費用削減

消費者のプライバシーの保護、セキュリティの強化、不正行為の監視と軽減には、費用が嵩むことは容易に想像できるはず。残念ながら、現実はその想像からそれほど大きく外れません。

Cookieは広告主、マーケター、サイト所有者に数々のメリットがありますが、その反面、セキュリティを心配する人にとっては大きな負担となります。Cookieレス時代の詳細はまだ明確ではありませんが、Cookieを廃止することで、このリスクとそれに伴う費用を削減できる可能性が高いと言われています。

Cookieの有無にかかわらず、サイトの所有者とユーザーにとって、セキュリティの監視は欠かせません。ですが、Cookieレス時代では、Cookieが原因で起こり得る脅威を心配する必要がなくなるため、より手軽で費用も節約できるかもしれません。

サードパーティのCookieはいつGoogle Chromeから廃止されるのでしょうか?

2024年1月4日をもって、GoogleはChromeからサードパーティのCookieを段階的に削除し始めます。とはいえ、これはChromeブラウザの全アクセス数の1パーセントにしか影響を及ぼしません。スタートは非常に遅いものとなっています。

サードパーティCookie完全終了の具体的なスケジュールは公開されていません。2024年の後半または終わりに向けての完了を願いますが、Googleによる今後の対応を見守る他ありません。広告主におけるこのような変化を背景として、Googleは、規制当局がGoogleによるサードパーティCookie向け代替案を調査することができるよう、1パーセントの目標達成時に本移行作業の一時停止を余技なくされます。

Cookieレス時代がもたらす影響

Cookieレス時代は、プライバシーとセキュリティの面で多くのメリットがありますが、誰もが手放しで喜べるわけではありません。

Transitioning to a cookieless future may be difficult
Cookieレス時代への移行は誰もが得することとは限らない(出典: Marketoonist

Cookieレス時代に移行した後は、実際にどのような影響が出るのでしょうか。

Cookieを悪用するハッカーだけでなく、多くのサイト所有者、マーケター、企業が既にCookieの廃止という課題に直面しています。Cookieを使ってユーザーの追跡やカスタマージャーニーの構築を行なっている場合には、代替となる追跡技術やソリューションを探すことになるでしょう。

次に、Cookieレス時代が具体的にどのような影響を与えるかをみていきます。

ユーザーに与える影響

一般ユーザー(消費者)にとっては、Cookieレス時代はいいこと尽くめです。多くのブラウザとサイトがCookieを完全に廃止するため、ユーザーのCookieとセッションが悪用されることはなくなり、安心してブラウジングすることができます。

ひいては、サイトがCookieを使用してユーザーの行動を追跡したり、侵略的なユーザープロファイルを構築したりすることも不可能になります。総合的に見れば、Cookieレス時代は、ウェブを閲覧する多くのユーザーにとって朗報と言えます。

サイト所有者に与える影響

サイト所有者にとってもCookieレス時代は有望ですが、課題も生まれます。

Site owners have many privacy-friendly alternative tracking signals to choose from
サイト所有者にはプライバシーを尊重した代替の追跡技術が必要(出典: QuoIntelligence

サイト所有者の場合は、Cookie関連のセキュリティ問題をそれほど心配する必要はありませんが、ユーザーとの関係を見直し、安定したユーザー体験を確保しなければなりません。

例えば、ほとんどのサイトでログインセッションの維持にセッションCookieを使用していますが、Cookieレス時代では、安全面を考えれば好ましくありません。その代わりに、ファーストパーティデータ戦略を採用し、より安全な他の個人識別子(ID)を利用するのが賢明です。

マーケターに与える影響

広告主は、主にサードパーティCookieを使用してターゲット広告を配信するため、デジタルマーケティング業界が最も影響を受けるでしょう。

An image showing the 5 step path to cookieless digital marketing
Cookieレス時代でデジタルマーケティングに新たな機会が(出典: Aritic

しかし、それが必ずしも悪いわけではなく、実はどちらかといえばメリットになります。Cookieレス時代では、マーケティング目的で収集されるデータのほとんどが事実上排除されるということを意味するのに、なぜメリットになるのでしょうか。

それは、CookieレスのトレンドとCookieの代替手段を常に把握できるようになるためです。Cookieは、長年信頼できる標準の手段ではあったものの、ユーザーデータを収集する唯一の信頼できる(あるいは最も安全な)方法というわけではありませんでした。後で触れていきますが、多くのマーケターは、特に高性能な広告ブロッカーに対抗し、ファーストパーティデータ戦略を採用して、ターゲット広告を継続していくことになります。

もちろん、Cookieレス時代が与える影響は、代替手段の採用以上に大きいものです。Cookieの廃止によって長年確立されてきた多くのマーケティング戦略が実行困難になる中で、マーケターは、独自のデータを構築する方法を探り、クローズドプラットフォーム(別名:ウォールドガーデン)と友好的な関係を築きながら、Cookieレス時代に合わせてマーケティング部門での指導を強化していく必要があります。

Cookieレス時代に備える

たとえ準備ができていなくても、Cookieレス時代は既に到来しています。

An image showing the timeline of a cookieless future
Cookieレス時代は数年前から始まっている(出典: Similarweb

Google Chromeなど、サードパーティCookie廃止を延期している主要ブラウザもありますが、今はすでにCookieレス時代への移行段階にあります。サイト所有者、マーケター、企業にとって、今こそがCookieレス時代に備えるのに最適な時期です。

以下ご紹介するヒントを参考に、Cookieレス時代に賢く備えましょう。

新たなプライバシーの脅威を常に意識する

Cookieレス時代は、プライバシーに関するさまざまな脅威を取り除いてくれますが、完全に排除できるわけではありません。企業がCookieに代わる新たな追跡技術を採用しても、ハッカーなどの悪意あるユーザーが新たな策を見つけるのは時間の問題です。

ファーストパーティデータが次の大きな攻撃経路にならないとしても、プライバシーとセキュリティの新しいトレンドには、常に注意を払いましょう。過去20年間が示すように、最高峰の技術であっても、リスクを伴えば淘汰される可能性は十分あります。

代替IDを使用する

Cookieは、ユーザーを把握するのに非常に有用です。Cookieレス時代において、企業やマーケターはどのようにユーザーを追跡・識別すればいいのでしょうか。

Authenticated IDs are the future and an alternative for cookies
Cookieの有力な代替となりつつある認証ID(出典: EY

答えは、代替の識別子(ID)と追跡技術です。ここから、企業が実践している成功例をいくつかご紹介します。

  • コンテクストターゲティング─Cookieやその他の最新技術の使用に先駆けて、単に関連するマーケティングチャンネルに広告を掲載するだけのコンテクストターゲティングが、大きな成功を収めています。ユーザーの同意を求めたり、プライバシーを保護したりする手間をかけずに、関連するサイトやチャネルに広告を表示するだけでOKです。
  • ユニバーサルID─Cookieの廃止が進み、多くのプラットフォームがユニバーサルIDに注目しています。Google Chromeではサポートされないようですが、他の多くのプラットフォームでは、セキュリティリスクを伴わずにユーザーを識別する便利な手段として、ユニバーサルIDが採用されています。このIDは通常、相互運用可能で、ウェブ上のユーザー追跡の安全な手段として、セキュリティプラットフォームで生成されます。
  • コホート─コンテクストターゲティングと同様、コホート(類似の関心や性質を持つユーザーグループ)は、シンプルかつ効果的な追跡手段。個別にユーザーを特定するのではなく、アクティビティ情報を利用して、類似した特性や趣味嗜好を示すグループに、ターゲットを絞った体験を提供することができます。
  • オンデバイス─デバイスデータは、コホートを向上させる可能性を秘めています。デバイスのデータに基づいて個人をマーケティングするのではなく、第三者がユーザーを特定のコホートに分類するために、必要な情報のみをデバイスで公開することができます。ユーザーの匿名性を守りながら、実証済みのユーザーの行動に基づいて、ターゲットを絞った体験を提供することが可能になります。

優れたプライバシーポリシーを作成する

Cookieレス時代の到来は、ユーザーのプライバシーほど大切なものはないということを物語っています。

A cartoon strip about privacy
もっと多くの人がAlan(下段中央で発言している人)に耳を傾け、ユーザーのプライバシーを尊重すべき(出典: Marketoonist

顧客は、これまで以上に自分のプライバシーを気にかけています。コンプライアンスに準拠したプライバシーポリシーを既に持っていても、本当に顧客にとって最善の内容になっているかどうか、再度確認することをお勧めします。これを怠れば、将来的にまた変更を加えなければいけなくなるかもしれません。

まとめ

Cookieレス時代は既に到来しており、マーケターやサイト所有者は、今こそ新たな時代に備える絶好の機会です。

Cookieレス時代には、プライバシーとセキュリティの面で、数々のメリットがありますが、マーケティングでCookieを使用し、顧客をターゲットにしている場合には、課題が残ります。

KinstaのアプリケーションホスティングデータベースホスティングWordPress専用ホスティングAPMツールを使用すると、より良いCookieレス体験を実現することができ、1つのコントロールパネルからその結果を確認することができます。

KinstaのマネージドWordPressホスティングにご興味がありましたら、無料の見本アカウントをお試しいただくか、カスタマーサポートまで今すぐお問い合わせください。

Jeremy Holcombe Kinsta

Kinstaのコンテンツ&マーケティングエディター、WordPress開発者、コンテンツライター。WordPress以外の趣味は、ビーチでのんびりすること、ゴルフ、映画。高身長が特徴。