はじめての３分間クッキー講座

■クッキーレス時代、前号のおさらい
前回、『見えてきた「クッキーレス時代」次の一手』をお届けしました。内容は、プライバシー保護という名のもと、アップル社による「クッキー狩り」とも言える取組がオンラインビジネス上に引き起こしている、致命的な課題とその対策でした。例えば、「広告経由のコンバージョンが正しく測定できなくなっている」「グーグル・アナリティクスの精度が著しく落ちている」など、もう内緒にはしておけないほど一気に影響が広まっている状況をかいつまんでご説明いたしました。特に、国内のスマホユーザの７０％近くを占める「iPhoneユーザ」の行動が２４時間以上はほとんど追えなくなってきている現状に対する今とるべき対策については、ぜひ前号をご参照いただきましてすぐに対策いただきたいと思います。

このアップルの「クッキー狩り」に対して、生命線を絶たれまいと反撃しているのが
a.グーグル、ヤフー、フェイスブック、クリティオなどの「広告プラットフォーム」
b.グーグルアナリティクス、アドエビスなどの「アクセス解析サービス
c.A8ネットなどの「アフィリエイトサービス」
です。グーグルが２０２３年に代替技術を提供してくれるまで待てばいい、というそのような悠長なことを言ってられる状況では無くなってきており、それはもう壮絶な「イタチごっこ」が繰り返されているわけです。

「はじめての３分間クッキー講座」
一方で、「そもそもクッキーって何？」というお声もいただきましたので、YouTubeチャンネルで非公開動画を作ってみたので、今回はそちらをもとに、おさえておくべきポイントをご紹介してみます。

・クッキーは大きくわけて２種類ある
クッキーは２種類の匿名IDカード

ファーストパーティークッキーと、サードパーティークッキーです。
セカンドパーティークッキーはありません。
第三者はあるけれど、第二者が辞書にないのと同じとご理解ください。

・クッキー、それは「匿名のIDカード」
クッキーの正体はスマートフォンやパソコンに貼り付ける匿名のIDカードといえます。氏名、年齢は分からないけれども識別番号が付与されているネームカードをイメージしていただければよろしいかと思います。

・ホームページが閲覧できるしくみ
ホームページが閲覧できるしくみ

例えば「55v. jp」というサイトをスマホで訪問します。するとスマホ上にはまだ画像や文言といったデータがありませんので、「55v. jp」というサーバが、画像や文言をスマホに送信してくれます。これがホームページ閲覧できる仕組みですよね。

・クッキー「匿名のIDカード」はいつどこに貼り付けられるのか？
クッキーはこうして仕込まれている

往々にして、この時一緒に「クッキー」が発行されています。どこから発行されるかというと「55v. jp」が、先ほどの画像や文言と同じように、サーバからクッキーをスマホのブラウザに「ピタッ」と貼り付けるわけです。このクッキーはこれ以降、サーバとブラウザで情報交換されることになります。

ここで重要なのは、「訪問したドメイン」のクッキーを「訪問したドメインのサーバ」が発行したことです。「訪問したドメイン」のクッキーを「ファーストパーティークッキー」といいます。さらに「サーバ」が発行したので、「サーバサイドクッキー」と呼ばれます。つまり、「訪問したドメイン」の「サーバが発行した」クッキーなので、「サーバサイドのファーストパーティクッキー」となります。
このクッキーの特長は「訪問したドメインが発行したので信頼性が高い」ことです。今回のアップル社の「クッキー狩り」からは対象外とされています。

例えば「55v. jp」で、ある商品をカートにいれたけど買わなかったとします。そうすると「この匿名IDは○○という商品をカートに入れた」とクッキー経由でサーバに情報が蓄積されます。
なので、たとえば１０日後に「55v. jp」に訪れると「カートに商品があります」と表示されるわけです。
カートに商品があります

カートに入れた、という記録以外に、前回の訪問履歴・ログイン履歴・閲覧したページの履歴・カートに入れた商品・履歴からのオススメ商品など、が、期限の制限を受けずに保存が可能になります。

では、「55v. jp」に訪れると「ようこそ宮松利博さん」などと自分の名前が表示されることがありますが、これは「55v. jp」に登録している個人情報がクッキーとひもづくことで表示されているケースが多いです。たとえば、「杉並区阿佐谷在住、メールアドレスはｘｘｘ、男性、５０代、月に１度は高知県で宿泊する」といった情報が格納されていれば、それをクッキーで呼び出すことも可能です。
１ｓｔパーティクッキーと登録情報の連携

・サードパーティクッキー
サードパーティクッキー

一方、55v . jp に訪れているのに、違うドメインがクッキーを発行する場合があります。これが「サードパーティークッキー」です。現時点では、ほぼこの技術は使われることは無くなっています。ネット上にクッキー狩りの対象となるアップルiPhoneユーザが多いことが理由です。
現在は、この「サードパーティークッキー」に変わる方法を模索しているわけですが、働きは同じなので見てみましょう。
よくウェブの現場では「タグを埋め込んでおいて」という会話を耳にしますね。数行で書かれた文字をHTML内に記載するアレです。
例えば、グーグル・アマゾン・フェイスブック・クリティオ・A8ネットなどが発行しているタグです。
これを埋め込むと、ファーストパーティークッキーと違って、たとえば、55v . jp　からではなくその他の第三者のドメインがクッキーを発行します。このために「サードパーティークッキー」と呼ばれます。

「サードパーティークッキー」はどんな働きをするかというと、
たとえば、　3prty.com（※１）　というサードパーティがあったとします。すると「匿名IDのｘｘｘｘ番が、55v.jpで、ダイヤモンドを見た」という情報が、スマホのブラウザに「ペタリ」とクッキーが貼られます。さらにこのクッキー経由で、その情報が3prty.comのサーバに記録されます。そうすると、「3prty.com」と提携している「2525j.com」に訪問すると、先ほどみた「ダイヤモンド」の広告が表示されるわけです。いわゆる世の中でうっとうしいと言われている「おいかけ広告」「リマーケティング広告」です。
サードパーティークッキーの働き

さらには、旅行サイトを訪問すれば、「月に２回、高知県のホテルを検索しているな」とか、タクシーアプリを利用すれば「杉並区阿佐谷近辺の利用が多いな」などの情報が「3prty.com」に蓄積されて、このスマホに貼り付けられたサードパーティの「匿名IDカード」経由で、「杉並区阿佐谷在住、男性、５０代、月に１度は高知県で宿泊する」という興味関心データができあがります、意識してようがしていまいが、です。
サイト閲覧履歴から興味・関心を学習したプライバシー満載のクッキー情報

「けしからん！クッキー単体でも十分に個人情報だ！排除すべきだ！」サードパーティクッキーは、このようにブラウザの閲覧履歴から個人を特定できるため、問題になっているわけであります。

最近では、すでにアップル社のプライバシーへの取組（ITPやiOS対応など）で、ほぼサードパーティクッキーは死滅しています。その代わり、下図のように、サーバサイドのファーストパーティクッキーで偽装する方法がトレンドになってきています。（クライアントサイドのファーストパーティクッキーについては今回は紙面の都合上割愛します。）
Apple対広告分析企業のイタチごっこ概略

どうすればよいか？また最新の対策方法はブログなどでもまとめて参りますが、本紙５月号と１０月号に掲載されていますのでぜひご覧下さい！

※１：（prtyはドメイン問題を避けるため英文の綴りを変えてます）

 - JECCICA記事, お知らせ, その他, コラム, ニュース