Cookie規制とは？影響と対策をわかりやすく解説

「最近Cookie規制ってよく聞くけど、どんな対策をすればいいの？」
「Cookie規制は、リターゲティング広告に影響するって本当？」

このような疑問を抱えていませんか？Cookie規制は近年、法律やプラットフォーマー（Google・Appleなど）によって急速に強化が進められており、すでにリターゲティング広告や効果計測などに影響が出始めています。

そこで今回は、Cookie規制についてわかりやすく解説していきます。
Cookie規制を正しく理解することで、今後のマーケティング活動で行うべき対策が見えてくるでしょう。

本記事では、

• Cookieの概要
• 法律によるCookie規制の状況
• ブラウザごとのCookie規制の状況
• Cookie規制によるWebマーケティングへの影響
• Cookie規制に対応するために実施するべきこと

について解説していきます。

この記事を読むことで、Cookie規制について網羅的に理解でき、対応すべきことが明確になります。ぜひ最後まで読んで、今後のマーケティング活動にお役立てください。

Cookie規制を理解するための基礎知識

Cookie規制を理解するには、まずCookieがどんなものかを知っておく必要があります。すでにCookieについてご存知の方は、「法律によるCookie規制」「ブラウザごとのCookie規制」にお進みください。

Cookieとは

Cookieとは、Webサイトにアクセスしたユーザーがとった行動の情報を一時的にブラウザに保存する仕組みのことです。ユーザーがWebサイトを訪問した際に、Webサーバーから発行されます。Cookieの活用は、ユーザーとサイト運営者に下記のようなメリットをもたらします。

ユーザー

• 再び同じサイトを訪れたときにIDやパスワードを入力せずともログインできる
• 以前カートに入れた商品データが残る

サイト運営者

• ユーザーの行動を把握し、利便性を向上できる
• 自社サイトに訪問したことがあるユーザーに広告を配信できる

Cookieの種類

CookieにはファーストパーティーCookieとサードパーティーCookieの2種類が存在します。それぞれの違いは下表の通りです。

Cookie規制の背景

ユーザーの意図しないところで事業者に閲覧履歴や行動履歴が収集・活用されている点が、プライバシー保護の観点から問題視されるようになり、Cookieの利活用に規制される状況に至りました。ここからは、実際にCookieの活用をめぐって起こったトラブル事例を紹介します。

事例①Google・Metaに275億円の制裁金

2022年1月、フランスのデータ保護機関CNILは、GoogleとMetaに対し、ネット上の公正な情報の取り扱いや同意方法を定めた仏国内法に違反したとして、計2億1,000万ユーロの制裁金を科しました。Cookieの受け入れは1回のクリックで済む一方、拒むには複数回クリックしなければならない仕様が、閲覧者に利用を拒否されにくいように手続きを煩雑にしているとして、違法と判断されています。

参照：仏、Googleとメタに制裁275億円　「クッキー」巡り｜日本経済新聞

事例②ケンブリッジ・アナリティカ社問題

2016年に行われたアメリカ大統領選挙やイギリスのEU離脱を巡る国民投票の際、イギリスの選挙コンサルティング会社「ケンブリッジ・アナリティカ社」が、最大8,700万人分のFacebookユーザーの個人データを不正に収集し、告発されるという事件が起きました。不正に取得されたデータを活用して、誘導したい結果を連想させる情報を配信し、選挙結果を操作したのではないかと疑惑がもたれています。告発を受けたケンブリッジ・アナリティカ社は事業の継続が困難となり、業務を停止しました。

参照：ケンブリッジ・アナリティカ廃業へ　フェイスブックデータ不正収集疑惑で｜BBCニュース

事例③リクナビ問題

2019年には、日本の大手就職情報サイト「リクナビ」を運営するリクルートキャリアが、本人に十分な同意を得ることなく就活学生の内定辞退率を予測し、企業に有償でデータを提供していたことが問題となりました。応募者の情報取得とリクナビのユーザーデータの照合のためにCookieが使われていましたが、「提供元では個人が特定できない」として、個人データの第三者提供の同意取得を回避していたのです。この問題は、2022年4月に施行された改正個人情報保護法において「提供先で特定の個人を識別できると想定される場合、Cookie利用に関する事前の同意取得が必要」という規制が追加されるきっかけの1つとなりました。

参照：就活生の「辞退予測」情報、説明なく提供　リクナビ｜日本経済新聞

Cookie規制の状況

トラブルが多発したことがきっかけとなり、世界各国でプライバシー保護関連の法律にて、Cookieの利活用が規制されるようになりました。それに伴い、主要なブラウザでも独自にCookieの制限・廃止する動きが進められています。

法律によるCookie規制

海外の規制

海外では個人情報保護を目的とした法整備が進んでおり、Cookie規制に関連する主な法律に「GDPR」と「CCPA」があります。

GDPR

EU域内の個人データ保護を規定する法律として、2018年5月にGDPR（General Data Protection Regulation：一般データ保護規則）が施行されました。GDPRでは、個人データを収集・処理する際、ユーザーから事前同意を得ることが求められています。

「個人データ」には、CookieやIPアドレスなどが含まれており、規制に違反した場合、多額の制裁金が課されることが特徴です。EU居住者の個人データを取り扱う場合は、EUで活動する企業以外も規制の対象となるため、多くの日本企業も対応が求められています。

CCPA

米国カリフォルニア州で住民にプライバシーに関連する権利を与える法律として、2020年1月にCCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）が施行されました。CCPAでは、自身の個人情報の開示請求・削除・販売停止の権利があることが定められており、事業者は、個人情報を取得する旨をユーザーに通知することや、削除要請への対応などが義務付けられています。

ただし、GDPRのように事前同意を得る必要はありません。対象となる「個人データ」は幅広く定義されており、Cookieデータも該当する上、法の適用対象に日本も含まれるため、対応が必要です。違反した場合、制裁金と住民に対する賠償金が請求されます。

日本の規制

ここ数年、日本でもプライバシー保護の動きが加速しています。「改正個人情報保護法」と「改正電気通信事業法」により、Cookieデータの活用に関する規制が厳しくなりました。

改正個人情報保護法

2022年4月に施行された改正個人情報保護法にて、「個人関連情報」という概念が新たに定義されたことが日本のCookie規制を理解する上で重要なポイントです。個人関連情報とは、特定の個人を識別できない個人に関する情報のことで、Cookieを通じて収集されたデータも、特定の個人を識別できない場合、個人関連情報に該当します。

改正個人情報保護法では、「個人関連情報を第三者に提供し、提供先において保有する情報と組み合わせることで特定の個人を識別できる場合」が規制の対象で、本人の同意の取得が義務付けられました。

参照：個人情報保護法の保護に関する法律｜個人情報保護委員会

改正電気通信事業法

2022年6月17日に公布され、公布日から1年以内の施行が予定されている改正電気通信事業法は、オンラインサービスを提供する事業者を対象に、サードパーティーCookieを埋め込む場合に所定の対策を講じることを求めた法律です。対象となる事業者は、下記のいずれかの対応が求められます。

• 関連情報（※）をユーザーに通知・公表
• 事前にユーザーの同意を取得（オプトイン）
• 後から拒否できる仕組みを導入（オプトアウト）

違反した場合、総務大臣より業務改善命令が下る、電気通信主任技術者資格者証の返納を命じられるといった措置がとられるため、早めに対策を行いましょう。

※①送信する「利用者に関する情報」の内容 ②送信先のサーバーを用いて「利用者に関する情報」を取り扱う者の氏名/名称 ③送信する「利用者に関する情報」の利用目的

参照：電気通信事業法の一部を改正する法律 新旧対象表｜総務省

ブラウザごとのCookie規制

Safari（Apple）のCookie規制

Apple社は、プライバシー保護の観点から、率先してCookie規制を進めています。2017年には、Safariにトラッキング防止機能「ITP」を実装。その後もバージョンアップを繰り返し、当初より規制が厳しくなりました。

2023年1月現在、サードパーティーCookieは完全にブロックされており、今後はCookieに限らずトラッキング目的に使われる仕組みの制限が強化されることが考えられます。

ITPのバージョンアップ

Chrome（Google）のCookie規制

2023年1月現在、Googleが運営するChromeでは、Cookieに関する具体的な規制は行われていません。今後の展開については、2022年7月に「2024年後半にはサードパーティーCookieの段階的な廃止を開始する」と発表されています。

規制の時期に関しては、今回が2度目の延期となっており、延期の理由は、サードパーティーCookieに代わる技術「プライバシー・サンドボックス」の開発やテストが難航しているからとのことです。

Googleの発表

Cookie規制の影響

Cookie規制の影響はすでに出ています。Chromeが予定通り2024年にサードパーティーCookieの規制を行えば、ほとんどのユーザーがサードパーティーCookieを使えない状況となるため、具体的にどのような影響が出るのか知っておきましょう。

リターゲティング広告の精度低下

サードパーティーCookieを活用したマーケティング手法として多くの企業が取り入れている「リターゲティング広告」に大きな影響が出ます。リターゲティング広告とは、自社サイトへの訪問履歴があるユーザーに対し、サイトを離脱した後に訪問したサイトで広告を表示できる手法のことです。

2020年3月に完全ブロックされて以降、SafariのサードパーティーCookieは利用できないため、リターゲティング広告はすでに制限されています。今後、他のブラウザや法律によるCookie規制が拡大した場合、広告の効果がさらに弱まることが考えられるため、リターゲティング広告で収益化を図ってきた企業は、新たな広告戦略を打ち出す必要があるでしょう。

コンバージョン計測精度の低下

サードパーティーCookieの活用が規制されると、広告以外を経由した場合のコンバージョンに至るまでの経路を正しく計測できません。各接点のコンバージョンへの貢献度が評価できないため、改善が難しくなります。

サードパーティーCookieを使用した計測のみを行ってきた企業は、別の計測方法への移行を検討しましょう。

Cookie規制への対策

今後さらなる規制の強化が予想される今、サードパーティーCookieへの依存をやめ、ファーストパーティーCookieを正しく活用できるようになることが、今後のWebマーケティングで成功するためのカギといえるでしょう。ここからは、法律・集客・計測の観点から具体的な対策方法を解説します。

法律を守るための対策

プライバシーの見直し

自社のホームページに掲載されているプライバシーポリシーの内容を、改正個人情報保護法や改正電気通信事業法などの最新の法令に則った文書になっているか、今一度確認しましょう。2022年4月の個人情報保護法改正に伴って修正すべきポイントは、下記の6つです。

• 利用目的の明確化
• 保有個人データの公表事項の追加
• 共同利用がある場合の通知事項の追加
• 仮名加工情報に関する公表事項の追加
• 個人関連情報規制を受けるケースでの同意取得
• 保有個人データの取り扱いに関する請求対応の義務化

Cookie利用への同意取得

Cookieを他のデータと照合することで、個人を識別できる情報になる場合、事前にユーザーからCookie利用への同意を得る必要があります。具体的には、ツールやシステムを導入してホームページにポップアップやバナーを表示させ、ボタンやチェックボックスをクリックしてもらうことでCookie利用への同意を得る方法が一般的です。

ただし、ポップアップやバナーの実装にあたって「同意する前にCookieを取得しない」「拒否をしない限り同意したものとみなしてはいけない」ことに注意しましょう。

集客面での対策

ファーストパーティーCookieの活用強化

Googleアナリティクスからユーザーの情報を分析し、マーケティングに活かす手法がおすすめです。Googleアナリティクスは、ファーストパーティーCookieを用いて取得したデータからホームページの現状を把握できる仕組みのため、Cookie規制の影響を受けにくいという特徴があります。

Googleアナリティクスの管理画面とGoogle広告の管理画面を連携することで、アクセス・行動データをもとに訪問履歴のあるユーザーや類似ユーザーへの広告が可能になります。

広告クリエイティブの質向上

より多くのユーザーに広告クリックやコンバージョンといった行動を起こしてもらうには、広告クリエイティブにこだわることも重要です。ターゲットユーザーの悩みを解決し、ニーズを満たせる情報を的確に把握して広告クリエイティブに反映させることで、クリック率やコンバージョン率が高まります。

Cookieに頼らない広告の利用

Cookieを使わない広告「コンテキストターゲティング広告」「Googleファインド広告」の活用をおすすめします。

コンテキストターゲティング広告は、Webページに掲載されたテキストの内容や画像などをAIが自動で解析し、ページの文脈に沿った広告を表示する施策です。Cookieを使用してユーザーのデータを集めなくても、サイトの閲覧者が興味を持ちそうな広告を配信することができます。

Googleファインド広告は、Googleが提供するサービス（GmailやYouTube等）内の広告枠に、画像・テキスト形式で配信できる広告です。Googleログインユーザーの検索履歴や閲覧履歴などをもとに広告を配信できるため、Cookieを使用しなくても関心度の高いユーザーに高精度なアプローチができます。

広告以外の集客施策の導入

コンテンツSEOやSNS運用など、広告以外の方法で集客強化を図るのも1つの手です。広告と比べて即効性は劣りますが、Cookie規制の影響はほとんどありません。自社に適した方法を導入すれば、大幅な認知拡大や流入の増加も期待できます。

計測面での対策

GA4の導入

Googleが提供する次世代のアクセス解析ツール「GA4」を導入しましょう。Cookieに依存しないトラッキングの仕組みを用いて計測を行うため、Cookie規制の影響を受けません。GA4の本格稼働は2023年7月からと発表されていますが、計測環境を構築しておくためにも早めの導入をおすすめします。

Googleタグマネージャー（GTM）をサーバーサイドに設置

タグ管理ツール「Googleタグマネージャー」を仮想サーバーである「Google Cloud Platform」に紐づける設定を行うことで、精度を落とすことなく計測ができます。通常、管理しているタグの処理をブラウザ上で行うため、Cookie規制の影響を受けますが、この方法では、サーバー上でタグの処理が行われるため、本来サードパーティーCookieとして発行されるものがファーストパーティーCookieとして扱われるという仕組みです。

Facebook広告 コンバージョンAPIの導入

Facebookが提供する「コンバージョンAPI」もCookieを使用せずに効果測定ができるツールです。マーケティングデータを広告主側のサーバーからFacebook広告サーバーへ直接送信する仕組みで、これにより個人情報を保護しながら、精度の高い効果計測が実現します。

しかし、コンバージョンAPIは、Metaシステムのみで利用できる計測方法のため、Metaが提供するFacebook広告・Instagram広告にしか利用できないことに注意が必要です。

Cookie規制を理解し、早めの対策を！

本記事では、

• Cookieの概要
• Cookie規制の状況
• Cookie規制の影響と対策

について解説しました。

今後もプライバシーや個人情報保護への意識はさらに高まり、それに伴ってCookie情報の取り扱いへの規制が強化されていくと考えられます。現在サードパーティーCookieに依存したマーケティングを行っている方は、1日でも早く脱却に向けた対策を考えましょう。

これからのWebマーケティングは、ファーストパーティーCookieを活用した、安全かつ規制の影響を受けない施策を行うことが重要です。本記事を参考に、自社が適切な対策を行えているか見直してみてください。