Cookie規制とは？内容とデジタルマーケティングへ及ぼす影響も解説

Cookie（クッキー）とは

Cookieとは、Webサイトを閲覧した際に、訪問者が訪れたWebサイトや訪問日時、訪問回数、入力したデータなどの情報をブラウザに記録する仕組みのことです。
情報を記録することで、ユーザーは二回目以降、情報の再入力なしでログインできたり、料金を支払えたりします。

商品を購入する際に個人情報が既に保存されているのも、活用例の一つです。Cookieは、ユーザーのみならず、マーケター側やサイト側においても、非常に重要なものであると言えます。
ユーザーがサイトに訪れた情報や履歴に基づき、ユーザーごとに合わせた情報を提供することができるためです。また、ユーザーに合わせて広告を出すことも可能となっています。

様々なメリットがあるCookieですが、大きく分けて「ファーストパーティーCookie」と「サードパーティーCookie」の2種類があります。
どちらもサイトを訪れた際に、訪問者の情報を記録するものですが、「どこがCookieを発行するか」によって異なります。それぞれの特徴は以下の通りです。

ファーストパーティCookie

ファーストパーティは、Webサイトの訪問先のドメインから直接発行されるCookieです。訪問したサイトが発行したCookieであるため、そのサイトのみ機能します。
ファーストパーティーCookieは、ユーザーの行動を追跡する精度が高い一方で、異なるデバイスやブラウザを利用すると、別のユーザーであると認識されてしまうという欠点もあります。

サードパーティーCookie

サードパーティーは、第三者のドメインから発行されるCookieです。例えば、訪れたサイトに掲載されている広告代理店が挙げられます。
「インテリアのサイトを訪れたら、違うサイトでもインテリア関連の広告が表示されるようになった」というような経験がある方も多いのではないでしょうか。これはサードパーティのCookieによるものです。

サードパーティCookieの場合、サイト側がCookieを発行するわけではないため、サイトに負荷がかからない点が魅力です。
しかし、第三者がユーザーの行動を追跡するなど、プライバシーの観点から問題視され、現在では多くのブラウザがサードパーティーCookieの利用を廃止しています。

Cookie規制の背景

Cookie規制とは、サードパーティーCookieが保存したユーザー情報の利用を制限するものです。サードパーティーCookieは、前述した通り第三者がユーザーの意図しない場所でも行動を追跡しています。
個人情報保護及びプライバシー保護の観点から問題視され、現在のような規制が行われるようになりました。

ファーストパーティーCookieは、情報の追跡を行わないため、制限されることはありません。クッキー規制の背景は、大きく分けて以下の2つがあります。

・EU一般データ保護規則（GDPR）の施行
・日本における改正個人情報保護法の施行

下記では、それぞれの背景を詳しく解説します。

EU一般データ保護規則（GDPR）の施行

一つ目の背景は、EU一般データ保護規則（GDPR）の施行です。EU（欧州連合）では、2018年にEU一般データ保護規則（GDPR）が施行されました。
この規則では、欧州経済領域（EEA）で取得した個人情報をEEA以外に移転することが、原則禁止とされています。

なお、ここでいう個人情報とは、氏名、メールアドレス、クレジットカードなどの情報です。この規則は行政罰規定で、違反すると制裁として罰が科されるケースもあります。GDPRの施行後、他国でもCookieを規制する動きが高まりました。
例えば、アメリカのカリフォルニア州では、カリフォルニア州消費者プライバシー法（CCPA）が2020年から施行されています。これは、カリフォルニア州の市民に対してプライバシー関連の権利を与えると共に、市民の個人情報を利用する事業者に対して、情報の適正管理の義務を定めたものです。

日本における改正個人情報保護法の施行

二つ目の背景は、日本における改正個人情報保護法の施行です。日本では、2020年4月から改正個人情報保護法が施行されています。
これまで、Cookieに関する指針はありませんでしたが、これによってCookieの収集及びCookieに保存された情報を提供する場合は、本人の同意が必須となりました。

規制の対象となるのは、個人関連情報取扱事業者が個人関連情報を第三者に提供し、さらに第三者が個人関連情報を個人データとして取得することが想定される時です。

Cookie規制が必要な理由

Cookie規制が進められている背景には、単に技術的な制限だけでなく、社会的な要請や国際的なルールの動きが関係しており、主な理由としては以下の4つが考えられます。

・個人情報保護の観点
・データ利用の透明性を高める
・健全な市場競争を保つ
・国際的な法規制との整合性

それぞれの理由を詳しく解説します。

個人情報保護の観点

サードパーティーCookieを利用した広告配信やトラッキングは、ユーザー本人が気づかないうちに行動履歴を収集し、広告に活用してきました。特に健康や金融、教育関連のデータはセンシティブ情報にあたり、誤った利用は重大なリスクを生みます。
こうした背景から、法規制強化が進んできました。さらに、データ流出事件や不正利用のニュースが相次いだことで、ユーザーのプライバシー意識が急速に高まり、規制を求める声が強まったのです。

データ利用の透明性を高める

従来はユーザーにとって、自分のデータがどこで収集され、どのように使われているのかを把握するのは難しい状況でした。現在はCookie同意バナーやプライバシーポリシーの整備が求められ、ユーザーが自ら利用可否を判断できる仕組みが広がっています。
これにより企業の説明責任も強化されています。加えて、利用者が「拒否する」という選択肢を持つことで、企業とユーザーとの関係が対等になり、双方向の信頼関係が築かれるようになってきました。

健全な市場競争を保つ

Cookieを活用した広告配信は一部の大手プラットフォームに依存しやすく、中小規模の事業者や新規参入企業にとっては不利な環境を生んでいました。規制の強化により、ファーストパーティーデータの活用やコンテキスト広告の普及が促進され、幅広い企業が参加できる健全な広告市場が形成されつつあります。
これにより、広告業界における多様性や創造性が保たれ、ユーザーにとっても多彩な選択肢が提供される結果につながっています。

国際的な法規制との整合性

EUのGDPR、アメリカのCCPA、日本の改正個人情報保護法など、世界各国で個人データ保護に関する法整備が進んでおり、グローバルに事業を展開する企業は対応が不可欠となっています。
規制を順守することは法的リスクを避けるだけでなく、国際的な企業ブランド価値を高める重要な取り組みといえます。さらに、各国の法律は年々厳格化しているため、早い段階から対応を進めた企業ほど競争上の優位性を確保できるという利点もあるのです。

Cookie規制の内容

Cookieは前述した通り、Webサイトに訪れたユーザーの情報をブラウザに保存する仕組みのことです。そのため、Cookie規制の内容はブラウザによって異なります。
下記では、代表的なブラウザの規制内容をそれぞれ詳しく解説します。

Safariのプライバシー保護機能（Apple）

Appleは2017年に、ユーザーのプライバシーを守ることを目的として、ITP（Intelligent Tracking Preventio）1.0を発表しました。
これはiOSとMacに搭載されているSafari内でサードパーティーCookieを利用したデータ収集を規制するものです。年々規制が強化されており、以下ではITPが現在に至るまでの変化を表にまとめています。
 

ITPの仕様	アップデートされた時期	サードパーティーCookie	ファーストパーティーCookie	ローカルストレージ
ITP1.0	2017年	24時間で削除	無制限	無制限
ITP2.0	2018年	即時	無制限	無制限
ITP2.1	2019年2月	即時	7日間	無制限
ITP2.2	2019年4月	即時	24時間	無制限
ITP2.3	2019年9月	即時	24時間	7日間
ITPフル	2020年3月	即時（完全ブロック）	24時間	7日間

ITP1.0では、サードパーティーCookieの場合、24時間を超えると無効化していました。しかし、サードパーティーCookieで情報を収集していた事業者は、ファーストパーティーCookieもしくはCookieを利用しないローカルストレージで情報を収集するよう、各社のトラッキングの仕様を変更したのです。
このようなことから、Appleは規制を回避する抜け道ができないよう、2020年3月時点でサードパーティーCookieは完全にブロックしています。

Chromeのプライバシー保護機能（Google）

Googleは、2024年後半までに段階的に、ChromeでサードパーティーCookieの利用を廃止する可能性があると発表しました。
最初は2022年1月までにサードパーティーCookieの規制を行うと予告していましたが、2023年後半開始に延期されています。

包括的Cookie保護機能（Firefox）

ブラウザと言えば、AppleとGoogleが特に有名ですが、Firefoxもあります。2020年6月にMozillaは、Windows、macOS、Linux向けのFirefoxブラウザで、プライバシー保護機能をデフォルトで有効にすると発表しました。

Cookie規制がデジタルマーケティングへ及ぼす影響

Cookie規制がデジタルマーケティングへ及ぼす影響は、主に以下の五つがあります。

・リターゲティング広告が配信できない
・オーディエンスターゲティング広告が配信できない
・コンバージョンを正確に計測できない
・アトリビューションを正確に分析できない
・グーグルアナリティクスでの計測精度が低下する

下記では、それぞれの影響を詳しく解説します。

リターゲティング広告の配信ができない

一つ目の影響は、リターゲティング広告の配信ができないことです。リターゲティング広告とは、ユーザーがアクセスしたWebサイトの商品やサービスなどの広告をそのユーザーに対して表示するものです。
一度は購入を考えていたが別の商品やサービスが気になった、間違えてブラウザを閉じてしまったなどの理由で、購入まで至らなかったユーザーに対し、その広告を表示することで購入を促せます。しかし、Cookie規制によってリターゲティング広告が制限されています。

リターゲティング広告は、コンバージョン獲得における費用対効果が、他の広告と比較して非常に高いです。そのため、リターゲティング広告への依存が高い企業も多く、そのような企業はより大きな影響を受けるでしょう。

オーディエンスターゲティング広告の配信ができない

二つ目の影響は、オーディエンスターゲティング広告の配信ができないことです。オーディエンスターゲティング広告とは、誰に配信するのかを決めてから配信する手法です。属性情報や行動履歴情報を組み合わせたデータを利用して、配信するターゲットを決定します。
Cookieを使わない配信方法の場合は、影響が少ないと言えます。しかし、検索クエリの取得など、今まで取得してきたデータに制限がかかっているため、広告効果の分析が非常に難しいです。

特に、DSPやアドネットワークなどのサードパーティーCookieをベースとしている広告媒体は、オーディエンスターゲティングができなくなります。
前述した通り、Cookieをベースとしたリターリターゲティング広告は満足する配信ができないため、バナーランディングページなどの重要性が高まると予想されています。

コンバージョンを正確に計測できない

三つ目の影響は、コンバージョンを正確に計測できないことです。コンバージョンとは、訪問者がWebサイトの目標としているアクションを起こしてくれた状態のことを指します。
例えば、一人の訪問者が商品やサービスを購入した場合、そのWebサイトがコンバージョンを一つ獲得したことになります。

コンバージョン数は、Webサイトでどれだけ目標を達成しているのかを示す指標です。コンバージョンを正確に設定し、どれだけのコンバージョン数を獲得しているのかを常に測定することが、デジタルマーケティングにおいて重要です。しかし、Cookie規制によってコンバージョンが正確に計測できなくなります。
コンバージョンの計測精度が低下すると、適切なマーケティング戦略を練れなくなるため、この点も大きな影響を受けると言えます。

アトリビューションを正確に分析できない

四つ目の影響は、アトリビューションを正確に分析できないことです。アトリビューション分析とは、コンバージョン直前だけでなく、コンバージョンに至るまでにユーザーが接触した複数の経路を評価するためのものです。この計測には、サードパーティーCookieが使用されています。
例えば、ユーザーがリスティング広告→自然検索→バナー広告と、複数の接点を経てコンバージョンまで至ったとします。アトリビューション分析を行うと、各接点にコンバージョンへの貢献度が振り分けられます。アトリビューション分析のメリットは、見えづらい広告の成果も数値で可視化できることです。

デジタルマーケティングでアトリビューション分析が重要視されるようになった理由として、流入経路の多様化が挙げられます。Web広告の手法や出稿先の選択肢が増え、自社サイトへ訪問するまでの経路が非常に複雑となりました。
また、ユーザーが様々なプロセスを経てコンバージョンまで辿り着くケースも少なくありません。アトリビューションは、認知から購入に至るまでのユーザーの行動や心理を理解できるため、広告運用を改善する上で非常に役立ちます。しかし、Cookie規制によって正確な分析ができなくなります。

グーグルアナリティクスでの計測精度が低下する

五つ目の影響は、グーグルアナリティクスでの計測精度が低下することです。ファーストパーティーCookieを使っているため影響は少ないですが、この点も懸念しておく必要があります。Safariからアクセスする場合、ファーストパーティーCookieだと一日で削除されます。
GoogleはCookie規制に対して、ユニバーサルアナリティクス（UA）からGoogle Analytics4（GA4）への移行を予定しています。GA4は、プライバシー保護の観点からCookieを使わずに計測することが可能です。そのため、ユーザーの個人情報をしっかり守りながら、従来よりも精度の高い計測が期待できます。

企業のマーケティング担当者が行うべきCookie規制への対策

前述した通り、Cookie規制はデジタルマーケティングのあらゆる面から影響を及ぼします。そのため、デジタルマーケティングに取り組む企業は、Cookie規制への対策が必要です。
下記では、効果的な対策を三つの観点から解説します。

集客面での対策

集客面での対策は、主に以下の四つのポイントが挙げられます。
広告配信はデジタルマーケティングの一つですが、Cookie規制によりリターゲティング広告やオーディエンスターゲティング広告を配信できなくなります。そのため、Cookieに依存せず、集客することが重要です。
 

広告クリエイティブの質を向上させる

Cookie規制により、ターゲティングの精度が低下している中で、より多くのユーザーに広告をクリックしてもらったり、コンバージョンを獲得してもらったりするためには、広告クリエイティブの質を上げることが重要です。
ターゲットの悩みやニーズを把握した上で、どのような情報を求めているのかを明確にする必要があります。そして、それらを広告クリエイティブへしっかり反映させることで、クリック率やコンバージョン率の改善が期待できます。
 

GAリマーケティングを実施する

Googleアナリティクスで取得したデータを利用して広告配信を行う、GAリマーケティングも一つの対策です。GA管理画面とGoogle広告の管理画面を連携させるだけなので、実施しやすいでしょう。Googleアナリティクスのアクセスや行動データを基に、ターゲティングした上で広告を配信できます。
GoogleアナリティクスはファーストパーティーCookieを使っているため、Cookie規制の影響は受けにくいです。ただし、24時間しかデータが保持されない点には注意が必要です。
 

Cookieを使わない広告手法を導入する

Cookieを使わない広告手法として、コンテキストターゲティング広告とGoogleファインド広告の二つが挙げられます。

・コンテキストターゲティング広告
Cookieを使う配信手法は人へのターゲティングであるのに対して、コンテキストターゲティング広告は特定のWebページなどを対象としています。広告配信側が設定した特定のURL、テーマやキーワードに関するページを広告配信先としてターゲティングするため、ユーザーのデータは必要ありません。
・Googleファインド広告
ファインド広告とは、画像・テキスト形式で配信する広告です。Googleログインユーザーの検索履歴や閲覧履歴などを基に広告を配信するため、Cookie規制の影響を受けません。また、掲載できる箇所も多く、Google Discover、YouTube内、Gmailがあります。

 

SEO対策やSNS集客など広告以外の手法を強化する

Cookie規制の影響は今後も回避できないため、広告以外のマーケティング施策も重要です。具体的には、SEO対策やSNS集客などが挙げられます。自社の目的や状況に応じて、適切なマーケティング施策を行います。

計測面での対策

Cookie規制では、ユーザーのプライバシー保護を意識した計測環境に移行することも求められています。具体的な方法として、以下の三通りが挙げられます。
 

Googleタグマネージャーをサーバーサイドに設置する

Googleタグマネージャーとは、広告の効果測定やアクセス計測などに使用するタグを一元管理できるツールです。無料で利用でき、GoogleタグマネージャーをWebサイトのソースコードへ設置することで機能します。
ユーザーデータのセキュリティ強化とタグ計測精度向上のメリットがある手法です。
 

GA4を導入する

GA4は、Webサイトから集客を行う企業にとって必須なものです。IPアドレスやCookieなどのユーザー情報を保存せずデータを収集するため、Cookie規制の影響を受けません。
 

コンバージョンAPIを導入する（Facebook広告）

Googleだけでなく、FacebookもCookieを使用しない効果測定（コンバージョンAPI）を行っています。コンバージョンAPIは、ブラウザの読み込みエラーや接続の問題、広告ブロッカーの影響を受けづらく、正確な効果測定が期待できます。

法令に従うための対策

個人情報保護の重要性が高まっていく中、企業は法令に従うための対策も行う必要があります。
 

プライバシーポリシーを見直す

自社のWebサイトに掲載されているプライバシーポリシーの内容が、最新の法令に則っているか確認する必要があります。改正個人情報保護法では、プライバシーポリシーで必要となる対策として、以下の4つが求められます。

・個人情報保護のために講じている安全管理措置について詳細に説明する
・海外に個人情報を提供する場合を詳細に説明する
・プロファイリングに関して詳細に記述する
・個人情報を基に行動・関心等を分析する場合、取り扱い方と利用目的を明記する

 

Cookie利用への同意を取得する

場合によっては、Webサイト訪問者へCookie利用に対する同意を求める環境が必要になります。具体的なケースは、Cookieを他のデータと照合することで個人を識別できる情報になる時です。ツールやシステムを導入して、同意を得ます。
ただし、全てのWebサイトに事前同意が必要なわけではないため、注意が必要です。また、自社がデータをどのように活用するかによって、同意を得る際に明示すべき情報は異なります。同意取得が必要かどうか分からない場合は、専門のツール提供会社などに相談すると良いでしょう。

まとめ

今回は、Cookie規制の内容とデジタルマーケティングに及ぼす影響などを詳しく解説しました。年々、Cookie規制は厳しくなっています。今後もCookie規制の影響は避けられないため、デジタルマーケティングに取り組む企業は、何かしらの対策が必要です。
Cookie規制の影響を緩和させる以外にも、プライバシー保護を意識した計測や法令を遵守するため取り組みを実施しなければなりません。場合によっては、レピュテーションリスク（企業やブランドに対するネガティブな評判が広まることによって生じる損失リスク）を被ることもあります。

本記事を参考にして、Cookie規制への対策を行い、効果のあるデジタルマーケティングの戦略を練るようにしましょう。