【イベントレポート】Cookie規制・プライバシー保護で「デジタル広告運用」は何がどう変化する？

2022年8月30日、Web担当者Forum主催ウェビナー「デジタルマーケターズサミット 2022 Summer」に弊社の田中が登壇しました。

【広告主・マーケター限定】デジタルマーケターズサミット 2022 Summer 8/30、31 オンラインLIVE配信 | Web担主催イベント | Web担当者Forum

田中が登壇したオープニング基調講演では、ポストCookie時代の到来やプライバシー制限が進むなか、デジタル広告をこれからも活用していくために知っておきたいことについてお話をさせていただきました。

本記事では、ウェビナーの本論にあたる、デバイスや法律によるCookie制限や、Cookieに依存しない計測やターゲティング方法についてまとめています。

Cookieやプライバシーの制限について、次のような課題感がある方にぜひご一読いただきたい内容となっています。

ポストCookie時代の運用型広告の活用方法を知りたい
プライバシーの制限に対して何をすれば良いのかわからない
Cookieやプライバシーの制限について知りたい

ポストCookie時代の運用型広告の運用に備え、何か対策はされていますか？
Cookieの唯一のデメリットは、第三者が勝手にCookieを利用できてしまうこと
デバイスによるCookie制限
- ITP（Intelligent Tracking Prevention）の衝撃
- ATT （AppTrackingTransparency）による追撃
法律によるCookie制限
Cookie使用同意への対応は、CMPを利用するのがおすすめ
Cookieに依存しない広告の効果測定
- Meta社のコンバージョンAPIと詳細マッチング
Cookieに依存しない広告のターゲティング
- ファーストパーティデータを活用する
- プライバシーサンドボックスなど媒体側の機能提供に期待する
運用型広告の成果を左右するのは計測とターゲティング
ファーストパーティデータをどこに置くか
制限は “Walled Garden” を加速させる
あとがき

ポストCookie時代の運用型広告の運用に備え、何か対策はされていますか？

対策は完了している・・・・・・・・ 1%
対策について現在進行形で対応中・・13%
対策について検討している段階・・・49%
対策はしていない・・・・・・・・・37%

本講演の参加者に向けて、ポストCookie時代への対策の実施状況についてのリアルタイムアンケートを実施したところ、回答者のうち86%（対策について検討してる段階49% + 対策はしていない37%）がまだ対策を進めていないと答えました。

そもそもCookieやプライバシーの制限について、何を知っておくべきなのかがわからない、どこから着手すれば良いのかわからないという方が多いことが、このアンケートからもわかりますね。

本レポートを読み進める前に、「Cookie」についておさらいしておきたいという方は、下記の記事をご参考ください。

Cookie（クッキー）とは？広告運用者が押さえておきたい基本の「き」

Cookieの唯一のデメリットは、第三者が勝手にCookieを利用できてしまうこと

Cookieは、インターネットの発展に寄与してきた、必要不可欠な技術です。

しかしながら、Cookieにもデメリットはあります。それは、第三者が勝手にCookieを利用できてしまうことです。悪用される可能性もゼロではないですよね。

ですので、近年では知らない間にログイン情報やページの閲覧履歴などの行動履歴情報を第三者によって取得されたり利用されないようにするために、Cookieはデバイスと法律の両方で制限されるようになってきました。

デバイスによるCookie制限

Cookieへの制限と聞いて、みなさんもすぐにAppleのITP（Intelligent Tracking Prevention）が頭に浮かんだと思います。

実はAppleは、ITPを実装する以前からもSafariではサードパーティ Cookieをデフォルトでは受け入れない設定にしていたり、Cookieへの制限にいち早く対応していました。

ITP（Intelligent Tracking Prevention）の衝撃

ITPは、2017年にリリースされた、iOS 11から提供された機能です。

もともとSafariはサードパーティCookieを受けつけない仕組みではあったものの、ファーストパーティCookieとして保存されたCookieがサードパーティCookieとしても利用できてしまっていたようで、最終的にはCookie自体をデバイス単位でで制限するという機能に強化されました。

ATT （AppTrackingTransparency）による追撃

Cookieの文脈とは少しズレますが、デバイスによる制限で知っておきたいのが「ATT （AppTrackingTransparency）」です。

ATT （AppTrackingTransparency）は、2022年1月にiOS 14から提供された機能です。

ATTによりアプリの初回起動時にトラッキングの可否についてのポップアップが表示され、「Appにトラッキングしないように要求」を選択すると、IDFA（Identifier for Advertising ※）が使用できなくなります。

IDFAが使用できなくなるということは、計測はもちろんのこと、アプリのターゲティング精度が下がり、広告効果は大幅に下がることになります。

※IDFAとは、すべてのiOS端末に振り分けられる広告識別子のことです。

法律によるCookie制限

ここからは、法律によるCookie制限についてお話をしていきたいと思います。

欧州のGDPR（General Data Protection Regulation：一般データ保護規則）

EU域内の個人データ保護を規定する法律として2018年に施行されたのが、GDPR（General Data Protection Regulation：一般データ保護規則）です。

GDPRではCookieも個人情報として扱われ、保護の対象となっています。

EU域内でCookieを利用するにあたっては、 WebサイトでCookieを利用することの事前通知、Cookie利用のオプトイン（同意すること）やオプトアウト（破棄すること）に関する定めが設けられています。

個人情報をEU域外に持ち出すには？

また、EU域内の個人情報を国外に持ち出しする場合は、定められた越境移転ルールをクリアする必要があります。

越境移転ルール

十分な個人データ保護の保障
BCR（Binding Corporate Rules：拘束的企業準則）の締結
SCC（Standard Contractual Clauses：標準契約条項）の締結
明確な本人同意

しかし、例外もあります。欧州委員会から十分性認定（※1）を受けた次の国では越境移転ルールが適用されません。

アルゼンチン共和国、アンドラ公国、イスラエル国、ウルグアイ東方共和国、英国、英国王室属領ガーンジー、英国王室属領ジャージー、英国王室属領マン島、カナダ、韓国、スイス連邦、デンマーク王国自治領フェロー諸島、日本国、ニュージーランド

日本も入ってますね。日本は十分性認定を受けた国なので、日本国内の個人情報保護法と補完的ルール（※2）を遵守することで、EU域内の個人情報を日本に持ち出すことが可能です。

※1：十分性認定とは、特定の国や地域に対して個人データについて十分な保護水準を確保していると欧州委員会が認めることです。

※2：補完的ルールについては、下記をご参考ください。
参考：日EU間・日英間のデータ越境移転について | 個人情報保護委員会

個人情報の国外移転に該当するものは？

日本の企業が該当しそうな個人情報の国外移転のケースを紹介します。

たとえば、EU域内から日本のWebサイトへ問い合わせた場合も、国外移転に当たります。ですので、グローバルで展開している企業であれば、日本国内の個人情報保護法と補完的ルールに対応する必要があります。

余談ですが、データサーバーが世界各国にありデータの国外移転が日常茶飯事で起きている、Googleの事例もみてみましょう。

Googleは、アメリカの企業です。アメリカは、欧州委員会から十分性認定を受けていません。そのため、EU域内からGoogleにデータ転送する場合は、越境移転ルールの遵守が求められます。越境移転ルールのうち、Googleは欧州委員会と標準契約条項（SCC）を締結しています。しかし、SCCを締結している一方でGDPRには違反していると欧州委員会から指摘をされています。欧州でGoogle アナリティクスが使えなくなるかもしれない、と言われているのはこうした背景からです。

参考：「Googleへのデータ転送は違法」という判決が下りGoogleアナリティクスがEUで違法になる可能性 - GIGAZINE

米国のCCPA（California Consumer Privacy Act of 2018）

CCPA（California Consumer Privacy Act of 2018）は、アメリカのカリフォルニア州在住の消費者、および従業員が保護の対象となる個人データ保護法です。

CCPAでもCookieは個人情報の扱いになります。CCPAではCookieを利用したGoogle アナリティクスによるトラッキング行為は個人情報の販売として捉えられるため、プライバシーポリシーやCookieに関する通知、オプトアウトする権利の通知ページの作成が必要です。

日本の改正個人情報保護法

改正個人情報保護法は、2022年4月に施行された新しい法律です。

欧州のGDPRや米国のCCPAのようにCookie単体を指して個人情報という定義はしていないものの、次のような個人情報とCookieの情報が紐づくケースにおいては、Cookieも個人情報の扱いになります。

Google 広告のクリック情報と営業支援システムやマーケティングオートメーションツール内の個人情報が紐づいている
Google アナリティクスにユーザー ID をアップロードし、アクセス履歴や広告クリック履歴とが紐づいている

必ずしもCookieを制限されるというわけではないものの、Cookieであろうが何であろうが、個人情報が紐づくとその対象となります。

日本の改正電気通信事業法

個人情報保護法と併せて知っておきたいのが、2022年に成立した「改正電気通信事業法」です。

この法を守るべき対象は「電気通信事業を営む者」です。インターネットプロバイダや携帯電話のキャリア、検索サイトやECモールを営む事業者などがそれに当たります。なので、すべての事業者が対象となるわけではありません。

また、電気通信事業を営む事業者の中でも小規模事業者は対象とならない可能性が大きいです。これは1つの目安になりますが、日本の全人口の1割（約1,200万人前後）程度の利用者を有する事業者が対象となるといわれています。

法律遵守にあたり、ターゲティング広告に利用される利用者情報を外部に送信する場合は、通知または公表、個人情報の利用への同意取得、オプトアウト措置のいずれかの措置が必要となっています。

しかし現時点では、施行されたばかりということもあり、通知または公表のみでも容認されています。今後は法律による制限が厳しくなるとも見られるので、Cookie利用に関する同意バナーが必要になるケースも出てきそうですね。

Cookie使用同意への対応は、CMPを利用するのがおすすめ

CMPはConsent Management Platform の略で、Cookie利用に関して同意を取得し、得られた同意の内容によってCookieの利用をコントロールできる同意プラットフォームです。

CMPを導入する際は、Googleが提供する「同意モード」機能に対応したCMPを使うことをおすすめしています。

Googleの同意モードに対応しているCMPを使用していれば、ユーザーの選択に応じて、Google アナリティクスやGoogle 広告、Google以外の計測タグなどの動作を動的に調整可能です。

参考：ウェブサイトとモバイルアプリの同意モード - アナリティクスヘルプ

同意モードの良いところは、ユーザーから同意を得られなかった場合は、代わりにGoogle タグからシグナル（または ping）を使って計測を補完してくれるところです。ただし、Google 広告やGoogle アナリティクス、Floodlight、コンバージョンリンカーのいずれかを使用している場合に限ります。

「Cookie使用の同意が得られなかったので計測できません」と、万策尽きた状態にはならずに計測できる余地が残るため、Cookie使用同意への対応を検討している場合は同意モードに対応したCMPを利用することをおすすめします。

Cookieに依存しない広告の効果測定

さて、ここまでプライバシー保護とCookie制限についてお話してきました。

Cookieの受け入れ拒否やAppleのITPなど、複数の要因により、Cookieは様々な箇所で制限を受けています。

この状況に対応すべく、Cookieを利用しない代替の方法を広告媒体側も模索しています。

Meta社のコンバージョンAPIと詳細マッチング

運用型広告を取り扱う広告媒体のなかでも、Cookieが制限される状況に最も早く対応したのはMeta社です。

Meta社では、Cookieに依存しない計測方法として、「コンバージョンAPI（CAPI）」と「手動詳細マッチング」の2種類を用意しています。

コンバージョンAPI

コンバージョンAPIは、ピクセルタグやCookieを利用することなく広告主のサーバーからAPIを通じて計測に必要なイベントや情報を送る仕組みとなっているので、デバイスの制限を受けることなく効果測定が行えます。

参考：コンバージョンAPIについて | Facebook Businessヘルプセンター

コンバージョンAPIとそれに類する計測の仕組みは、今後も各プラットフォームから登場する予定です。

Meta社のコンバージョンAPI
Google 広告のGoogle Ads API（※現在は、拡張コンバージョンAPI利用のみ）
TikTokのEvents API
Twitter広告のコンバージョンAPI

似たような仕組みであるものの、プラットフォームごとに仕組みの細部は異なるため、プラットフォームごとの対応が必要になります。Metaへの対応が終わっても、追って対応が必要になることが想定されます。

詳細マッチング

詳細マッチングは、クリックした広告の情報やクリックしたユーザーの情報と、コンバージョンしたユーザーの個人情報とを突合させてマッチすることでコンバージョン計測をします。

計測には個人情報のみ利用する仕組みになっているので、Cookieに依存することなく計測を補完することが可能になっています。

Facebook広告「詳細マッチング」とは？効果的な使い方や実装方法

コンバージョンAPIほど実装難易度が高くないため、コンバージョン計測の補完だけでも先に行いたい場合は詳細マッチングから実施することが多いです。

詳細マッチングの実施にはプライバシーポリシーの改定が必要

少し話が戻りますが、改正個人情報保護法は、法改正による対応のみならず、法改正に合わせて更新された、個人情報の保護に関する法律についてのガイドラインへの対応も必要になってきます。

詳細マッチングの実施に関わる法令の改正はないという見方がされているものの、法改正に合わせたガイドライン更新に対しての対応は必要になってきそうです。

法改正に伴い、個人情報の保護に関する法律についてのガイドラインでは、次の2点が更新されました。

対応が必要な項目	ガイドラインにおける更新内容（概要）
利用目的の特定（法第 17 条第 1 項関係）	「利用目的の特定」の趣旨が明確化されたため、趣旨に沿うような表記への改訂を行う必要がある
第三者に該当しない場合（法第 27 条第 5 項関係）	委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合する場合は、委託ではなく、外部事業者に対する個人データの第三者提供として整理する必要があると見られる

今回の法改正により、個人情報の利用目的の特定が必要になるため、ユーザーが預けた個人情報がどのように利用されるのかを具体的に想起できるよう、プライバシーポリシーの改定が必要になることと、個人データの第三者提供として整理する必要があります。

Cookieに依存しない広告のターゲティング

では、ポストCookie時代の到来やプライバシー制限が進むなか、マーケターはどのようにデジタル広告を活用していけば良いのでしょうか。

ファーストパーティデータを活用する

今後、広告のターゲティングでは、ファーストパーティデータも活用していくことが求められます。

ファーストパーティデータとは、広告主側で取得した個人情報（メールアドレスや電話番号など）のリストです。ロイヤリティユーザーへのリターゲティングや類似オーディエンスへの配信などのターゲティングに活用できます。

カスタマーマッチとは？Google 広告で顧客データを活用した広告を配信する方法

また、Google 広告のP-MAXでは、ターゲティングの精度をあげるためにファーストパーティデータをオーディエンスシグナルとして利用することを推奨しています。

Google 広告のP-MAXキャンペーンとは？特徴と設定方法、注意点を解説

プライバシーサンドボックスなど媒体側の機能提供に期待する

Google は2024年後半に予定している Google Chrome のサードパーティCookieサポート終了に向け、新たにCookieの代わりに5つのAPIを使って計測する仕組み「プライバシーサンドボックス」を現在開発中です。

参考：Topics: 新しいプライバシーサンドボックスの提案（インタレストベース広告向け）- Google 広告ヘルプ
参考：プライバシーサンドボックスとは？- Chrome Developers

このプライバシーサンドボックスで提唱されているAPIのうち「FLEDGE」や「Topics API」では、Chrome ブラウザ内の非特定化された情報を使ってリターゲティングや興味関心ターゲティングといったパーソナライズド広告が実現できるよう検討が進められています。

運用型広告の成果を左右するのは計測とターゲティング

運用型広告の自動入札は、計測ができてはじめて機能します。

Cookieへの制限により広告の効果計測に限界が見えてきたなか、従来のCookieを使った計測のために計測タグを単純に実装するだけではより成果を出すための広告運用が実現できません。

法律による個人情報の制限はさらに進むことが想定され、運用型広告をこれからも活用していくためには、Cookieに代わる計測の実装に関する技術的な知識の習得や理解が必要不可欠です。併せて、プライバシー保護に関する法律の情報収集もやっていく必要がありますよね。

法律と技術の2面で連携が必要となるため、法律をマーケター側も知っておかないとなりません。

ファーストパーティデータをどこに置くか

今後、デジタル広告を活用するには、ファーストパーティデータをどこに置くかも重要になってきます。

個人情報に代表されるようなファーストパーティデータは、厳重に扱う必要がある種類の情報なので、どこに預けるかと言う点も重要になってきます。

自社で管理するにしても自前のサーバなのか外部のクラウドサービスなのか、または外部サービスを利用するために第三者へ預けるのか、外部に預けた場合の管理体制やセキュリティなどはどうか？なども検討する必要が出てくるでしょう。

制限は “Walled Garden” を加速させる

プライバシー保護やCookieの制限が進むと、例えばGoogleなら、検索、ショッピング、Gmail、マップ、Google Play、YouTube、Discoverなどが広告配信先の主戦場となってくるでしょう。

なぜならログインが必要なサービス下の広告であれば、ログインユーザーの行動も把握しやすいですし、詳細マッチングのような計測も有効になると考えられるからです。

Google、Apple、Meta、Amazon、Microsoftなどのユーザー情報をもつ企業は、ファーストパーティデータとの突合させて広告の効果計測ができるためまだまだ大丈夫そうです。

しかしながら、その恩恵を受けるには、媒体推奨の計測方法を導入する必要があります。Meta社であれば、まずは詳細マッチングから実施してみるなど、徐々に媒体推奨の計測方法を検討するとこからはじめてみましょう。

あとがき

プライバシー保護やCookie制限の話は、法律と技術の両方を理解しないといけないため、日々の業務をこなす傍らで自ら調べるのには限界があると思います。また、調べた情報が本当に正しいのか、不安に思う方もいるでしょう。

そんなプライバシー保護とCookie制限について学びたい方たちのために、実施されたのが本セミナーです。

実際私も本ウェビナーに参加したことで、個人情報やCookieの使用制限に関わる法律についてより理解を深めることができました。Googleが提供する同意モード機能に対応したCMPを使えば、同意の有無に応じてタグの動作を動的に調整できることや、プライバシーサンドボックスなどの新たな計測機能についても知ることができ、多くの学びがありました。

これからもウェブ広告で成果を出し続けるためには、マーケターもプライバシー保護とCookie制限についてもしっかり知っていく必要がありますね。