GDPRや個人情報保護法などの法令、各主要ブラウザによる規制により、ここ数年でCookieの取り扱いに関する環境は大きく変化しました。Cookieには「ファーストパーティCookie」と「サードパーティCookie」の2種類がありますが、より厳しい規制を受けているのは、サードパーティCookieです。

PCやスマホなど端末による差はあるものの、Chromeを含む3ブラウザで現在80%以上のシェアを占めていると言われています。主要ブラウザ各社によるサードパーティCookieの規制では、SafariとFirefoxが先行していますが、いよいよ2024年中にChromeでも同様の規制が始まるため、ほとんどすべてのブラウザでサードパーティCookieが使用できなくなります。

現在、次善策として、Chromeの結果を頼りにSafariやFirefoxの数値を推測する手法で分析や施策の評価を行っている企業の方も多いと思います。2024年はいよいよ従来のマーケティング手法やアクセス解析を抜本的に見直す時期と認識しているものの、具体的な対応についてはまだ判断できていないという方も多いのではないでしょうか。

ユーザのプライバシーを守ることは、企業として最優先に考えるべき事項のひとつではありますが、マーケティング施策とプライバシー保護のバランスをどうとっていくか、しばらくは試行錯誤の難しいかじ取りが続きそうです。

この記事では、ファーストパーティCookieに関する基礎知識と今後ファーストパーティCookieは、どのような活用を見込めるのかについて見て行きます。

GDPR時代におけるファーストパーティCookieの重要性

GDPRによって、Cookieや端末IDなどのオンライン識別子が法的に保護の対象とされ、違反した企業への罰金判決が現実のものとなってから、主要ブラウザ各社によるトラッキングCookie排除の動向にも拍車がかかっています。

ここで今回のテーマであるファーストパーティCookieの基本的な概要を押さえておきましょう。

ファーストパーティCookieとは？

ファーストパーティCookieは、ユーザが直接訪問しているWebサイトのサーバから発行され、ユーザのブラウザに保存される小さなファイルのことで、各ユーザに固有の文字列情報を付与しています。Webサイトが提供する機能を実現したり、ユーザの利便性向上の目的で使用され、Webサイトの運営者が、Cookieで提供する機能や生存期間を含めてコントロールすることができます。

ファーストパーティCookieでできること

ファーストパーティCookieでは、Webサイトを訪問したユーザのログイン情報の保持、言語設定の記憶、入力情報の記録、ショッピングカートの状態の保持などの機能を提供しています。必ず最初は、Webサーバ側からユーザ側にSet-Cookieし、ユーザのブラウザにCookieの情報が保存されるため、「サーバサイドCookie」もしくは、「必須Cookie」とも呼ばれています。

アクセス解析やCDPにおいて、トラッキングを行う目的でもファーストパーティCookieが使用されています。この場合、主にJavaScriptのタグを使用し、ユーザの行動データを収集した後、Webサイトとは別の企業が管理する外部のサーバにデータを送信しています。

JavaScriptを使用するとブラウザに保存されているファーストパーティCookieを操作できるため、CookieにユーザのWebサイトへの訪問回数やサイト上での行動、アクションなどの情報を記録できます。このCookieは、サーバ側から発行された必須Cookieではなく、トラッキングを目的としているため「トラッキングCookie」とも呼ばれています。

ファーストパーティCookieに影響を与えるAppleのCookie規制

GDPRでは、ファーストパーティCookie、サードパーティCookieの区別なく、オンライン識別子全てを個人データと定義し、その取扱いや保護に罰則を伴う厳しいルールを定めています。

GDPR等の法規制の下、各社がファーストパーティCookieに対する規制にまでは踏み込まない中、Appleは提供するSafariにおいて、トラッキング目的と判断できるファーストパーティCookieをことごとく規制対象とする姿勢を示しています。その範囲は年々拡大し、アップデートを経るごとに厳しくなっています。

2019年4月、AppleはSafariのITP2.2で、JavaScriptタグを用いたトラッキング目的のファーストパーティCookieの有効期限を24時間に制限する規制を初めてリリースしました。

それから4年が経過し、2023年4月にリリースしたSafari16.4では、WebサーバとJavaScriptタグの送信先であるタグサーバのIPアドレスのレンジが一定以上異なる場合、たとえサーバサイドのファーストパーティCookieであっても、Cookieの有効期限を7日間に制限するアップデートをリリースしています。

これは、Cookieを発行したWebサーバと送信先のサーバのあて先が異なるため、サーバサイドのファーストパーティCookieでありながら、トラッキングを目的としていると判断できるためです。

プライバシー保護の下、いかなるトラッキングも許容しない企業姿勢で規制強化の手を緩めないApple。今のところファーストパーティCookieを規制対象としているのは、Appleのみですが、主要ブラウザ各社の動向は、今後も十分に注視しておく必要があります。

ファーストパーティCookieとクロスドメイントラッキング

2016年4月のGDPRの制定後、Appleがプライバシー保護を掲げてCookie規制に舵を切ったのが2017年。最初の規制対象はサードパーティCookieでした。以降、ファーストパーティCookieを代用し、ドメインを跨いだユーザ行動の追跡を可能にするさまざまな技術が開発されては、AppleがITPの規制対象に加えるという歴史が繰り返されてきました。

では、ITPの目的とは何なのでしょうか？

WebKitのTracking Prevention Policyによると「ITPによって全てのcovert tracking（隠れたトラッキング）と全てのcross-site tracking（ドメインを跨いだトラッキング）を防ぐことを目的としている。」と明記されています。

【参考】：Tracking Prevention Plicy

ファーストパーティCookieは、自サイトのドメインが発行しています。そのため、ファーストパーティCookieは、そのままではドメインを跨いでユーザの行動を追跡することはできません。ここでは、企業がどのようにファーストパーティCookieを代用してドメインを跨いだトラッキングを実現していったのか、その手法の一部をみて見てみましょう。

リンクデコレーション（リンク装飾）

Webサイトに訪問した際、URLの「？」以降に付与された長い文字列を見たことがあると思います。これをパラメータと呼びます。（例：auriq.co.jp/news?rtmetrics=123　など）

このパラメータには、URLに静的に付与するものと動的に付与するものの2種類があります。

・静的に付与されているパラメータの例

記事の発行日やカテゴリ、商品のサイズや色、同一ページ内にある同一商品のページ内の掲載位置、サイト遷移時にランディングページからの遷移元を判定、など

・動的に付与される例

リンクのクリックをトリガーにJavaScriptを用いて各種情報を動的に付与するコードをリンクに付加し、継続的にユーザのトラッキングを続けているもの

ITPによりサードパーティCookieが規制対象となった後、企業は、動的に付与するパラメータの用途を拡張し、JavaScriptを用いて遷移元のファーストパーティCookieの文字列情報を遷移先のサイトに引き渡す手法を開発しました。

これは、サードパーティCookieの役割を「ファーストパーティCookie＋JavaScript」で代用するという発想で、比較的簡単に実装できることから短期間で爆発的に利用者が増加しました。

しかし、Appleはリンクデコレーションを用いたユーザトラッキング手法を2019年4月にリリースしたITP2.2で規制対象に追加しました。

Google Analyticsを用いてクロスサイトトラッキングを行っていた企業は、この規制によって、サイトAからサイトBに遷移したユーザが24時間以上経過してから、サイトBで商品を購入した場合、サイトAにアトリビューションのスコアを付けることができなくなりました。

ITP2.2により、サイトBのCookie情報が削除され、サイトBで新たにユーザにCookieが付与されるため、データ上では別のユーザとなってしまうためです。

ローカルストレージ

AppleはITP2.2によって、リンクデコレーションを使って遷移元から遷移先に受け渡したファーストパーティCookieの文字列情報をJavaScriptによって遷移先のサイトのCookieに書き込んだ場合、Cookieの有効期限を1日に制限しました。

その対策として、企業はCookieの文字列情報をブラウザ内のCookie以外の場所、ローカルストレージに保存することで、Cookieの有効期限の短縮を回避する手法を開発しました。

しかし、Appleはすぐに反応、ローカルストレージを用いた対策を2019年9月にリリースしたITP2.3で規制対象に追加しました。これによりリンクデコレーションを用いた一連の手法は、ITP対策としては完全に機能しなくなりました。

DNSサーバで名前解決する

リンクデコレーションの利用が困難になった後、ユーザトラッキングにおいて、Cookieの有効期限の短縮を回避するための手法は、次第にシステム寄りの対策にシフトしていきます。Cookieを発行する単位であるドメインの名前解決、DNSを用いた対策手法が編み出されました。

・CNAME方式

解析対象サイトのドメインを管理しているDNSサーバにCNAMEレコートを設定、解析対象サイトのサブドメインを割当て、割当てたドメインの別名として、アクセス解析サービスのドメインを登録する方式です。

解析対象サイトのサブドメインは自ドメインのため、JavaScriptを使用することなく、HTTPヘッダを用いた「必須Cookie」として、ファーストパーティCookieが発行できるため、ITP2.3の規制の回避が可能でした。

しかしAppleは、CNAMEをチェック対象に追加、CNAMEの登録がある場合、ドメインと別名をチェックし、一致しない場合、Cookieの有効期限を7日間に制限しました。

この方式は、2020年11月にリリースされたiOS14.2から規制対象となっています。

・NSレコード方式

解析対象サイトのサブドメインを割当て、NSレコードにアクセス解析サービスのDNSサーバのドメインを登録、ドメイン管理の権限そのものをアクセス解析のサービス事業者に委譲する方式です。

解析対象サイトのドメインを管理しているDNS経由で、アクセス解析のタグサーバへのアクセスを発生させ、HTTPヘッダを用いた「必須Cookie」としてファーストパーティーCookieを発行、DNSの設定にCNAMEを使用しないため、iOS14.2の回避が可能でした。

しかしAppleは、解析対象サイトのWebサーバとアクセス解析サービスのタグサーバのIPアドレスのレンジをチェック対象に追加、IPアドレスのレンジが一定以上異なる場合、Cookieの有効期限を7日間に制限しました。

この方式は、2023年4月にリリースされたiOS16.4から規制対象となっています。

DNSの設定に手を入れるということは、明らかに対策のハードルが一段階上がったことを意味します。ここで断念した企業の方も多いのではないでしょうか？

GDPRなどの法制度の下、全てのトラッキングを防ぐことを目的としたAppleの宣言は、着実に実行されています。GDPR等のプライバシー関連法令を遵守し、HTTPプロトコルに準拠したいわゆる「必須Cookie」を用いた解析を行うことが、現時点では確実な対策と言えるでしょう。

ベンダー主導のCookie規制については、ホワイトペーパーでも詳解しています。

合わせてご参考下さい。

【関連記事】：ベンダー主導のCookie規制とは？企業は規制にどう対応すべきか

ファーストパーティCookieをどのように活用するか？

サーバサイドのファーストパーティCookieであっても規制対象に加わってきている今、アクセス解析においてこのままファーストパーティCookieに依存し続けることは、将来的なリスクを伴うと言えるでしょう。

ゼロパーティデータを含めて、企業はどのようなデータを何の目的で収集し、どのように活用し、安全に管理し、そして不要となったものを確実に廃棄していくか、各プロセスにおけるエビデンスを伴った管理、データのライフタイムに添った総合的な設計と運用の実行が求められています。

GDPRや個人情報保護法、電気通信事業法など、企業の事業やサービス提供エリア、Webサイトが対象とする国や地域によって、遵守すべき法制度は異なります。そのような中、RTmetricsの既存ユーザの多くは、ファーストパーティCookieを用いた設定を実装し、日ごろの分析業務を行っています。

RTmetricsのユーザは、主要ブラウザ各社が実施するCookie規制についても、それほど憂慮しなくてもよい環境にいます。それは、RTmetricsではトラッキング目的のCookieは使用しておらず、使用するファーストパーティCookieの全ては、HTTPプロトコルに基づく必須Cookieによる実装だからです。

設置場所は解析対象のWebサイトと同一であるため、パケットキャプチャとログ型はもちろん、タグ型の実装であってもWebサーバとタグサーバのIPアドレスのレンジが異なることはありません。

2024年、アクセス解析の基盤をどうしていくか検討中の方は、ぜひRTmetricsを選択肢にお加えください。