2020年6月5日、新型コロナウイルス感染拡大の第一波が収束した頃、国会では「個人情報の保護に関する法律等の一部を改正する法律案」が可決されました。

その半年前の2019年1月14日、米国Googleが自社の公式ブラウザ「Google Chrome」でサードパーティCookie（クッキー）のサポートを2022年までに終了すると発表。

さらに、その3年前の2017年に米国Appleがリリースした公式ブラウザ「Safari」にIntelligent Tracking Prevention（ITP）という機能を追加。

この3つの出来事は一見関係がないようですが、web上での個人のプライバシー保護という観点では密接なつながりがあります。

今回は、国内外の個人情に対する報保護強化の流れと、ちょっと分かりにくい「ターゲティング広告」や「Cookie」などとの関係について詳しく解説します。

ターゲティング広告とは？

ユーザーの登録情報や閲覧履歴を分析して、そのユーザーに適した広告を配信するのが「ターゲティング広告」と呼ばれるものです。例えば、アマゾンで商品を探したり購入したりすると、次にアマゾンのサイトにアクセスしたときに類似商品が「おすすめ商品」などとして表示されますが、これもターゲティング広告の一種です。

主なターゲティング広告には次の様な種類があります。

オーディエンス ターゲティング

ユーザーの年齢・性別・地域などの属性、webサイトの閲覧履歴、商品の購入履歴などのデータを分析しそのユーザーに最適な広告を配信する手法。

コンテンツ ターゲティング

ユーザーが検索したキーワード、閲覧したコンテンツなどの内容に関するデータを分析しユーザーの関心や興味に合った広告を配信する手法。

位置情報 ターゲティング（ジオターゲティング）

スマートフォンのGPSなどでユーザーの位置情報を得て、周辺エリアのレストランや商業施設などの広告を配信する手法。

デバイス ターゲティング

使用しているデバイス（PCやスマホなどの機器、通信キャリアなど）に特化した広告を配信する手法。

リターゲティング

ショッピングサイトで買い物カートに商品を入れたが購入に至らなかったなどのユーザーに対し、購入を促進するためにその商品の広告を配信する手法。

このように「ターゲティング広告」は、ユーザーにとっては自分が興味のある広告／情報を配信されるので利便性が向上し、販売サイドにとっても必要とするユーザーに効率よく広告を届けることが可能となります。

一方、多くのユーザーがweb上で自分の行動をどこかの企業に監視・追跡され、個人情報がリスクに晒されるのではという不安を感じているのも事実です。

個人情報を保存するCookie（クッキー）

ターゲティング広告を可能にしているのは「Cookie」と呼ばれる存在です。Cookieは、ユーザーがどんなWebサイトを閲覧したか、どんな商品を購入したか、何を検索したか、あるいはサイトへのログインIDやパスワードなどのさまざまな情報を保存します。

そのため、どこかのサイトにログインするときに「ID」や「パスワード」を忘れても自動的に入力してくれる等のメリットがあります。ユーザーが訪問したサイト（ドメイン）が発行するCookieは「ファーストパーティCookie」と呼ばれ、そのサイト内の利便性の向上にしか使われないのですが、今回問題となっているのは第三者が発行した「サードパーティCookie」と呼ばれるものです。

ユーザーを追跡するサードパーティCookie

ファーストパーティCookieが訪問したサイト内でしか使用されないのに対し、サードパーティCookieはユーザーが訪問しているサイト以外から発行され、サイト横断的にユーザーを追跡して情報を収集するのです。

ユーザーが広告表示されているサイトを訪問すると、サイトのCookieの他に広告を配信しているサーバーからもCookieが発行され、ユーザーがサイトを離れた後もサードパーティCookieから追跡されます。

ネットバンキングやeコマースなどさまざまな取引がネット上で行われている現状を考えると、サードパーティCookieの存在はユーザーのプライバシー保護の観点において放置できない問題となっています。

Googleが選択した戦略

毎月100億以上のページビューによってブラウザの利用状況をグローバルに測定している「statcounter」によると、2021年のブラウザの世界シェアは次のようになっています。

Desktop PC

Mobile

サードパーティCookieの規制によってユーザーのプライバシー保護を強化すると、当然のことながら圧倒的なシェアを持ち世界最大の広告企業であるGoogleの広告収入は大きな打撃を受けてしまいます。

これに対しGoogleが出した答えは2019年に提案した「Privacy sandbox（プライバシーサンドボックス）」と呼ばれるものです。これは個人が特定できない仕組みでユーザー情報をブラウザーが管理し、必要に応じてサードパーティに情報提供するもので「ターゲティング広告」に置き換わる仕組みと考えられています。

しかし、各サードパーティからは以前と同様の売上は確保できないのではないか、Googleが個人情報を握ることで広告マーケットが支配されるのではないかなどの懸念も出ています。

方針が明確なApple

個人情報の保護強化と広告ビジネスの両立を目指すGoogleとは対象的に、Appleは2017年からサードパーティCookieによるユーザーの追跡を防止する「ITP（Intelligent Tracking Prevention）」という機能を導入することによってユーザー情報の保護を目指す選択をしています。

各国で進む個人情報保護を強化する法規制

冒頭で触れたGoogle、Apple、我が国の「個人情報の保護に関する法律等の一部を改正する法律案」の背景には、2018年5月25日にEUで施行されたGDPR（General Data Protection Regulation）があります。

GDPRはそれまでのEUデータ保護指令（Data Protection Directive 95）よりも個人データやプライバシーの保護に関し厳格に規定しています。対象はEUにある企業だけではなく、EU居住者の個人情報を収集・処理するEU以外の企業にも適用されます。

違反した場合の罰則は、最大で2,000万ユーロまたは全世界における年間売上の4％のいずれか金額が大きい方という厳しい内容です。

企業が個人情報を取得するには、目的、保存期間、第三者への提供の有無などをユーザーに伝え、同意を得ることが必要となります。この「個人情報」にはIPアドレスやCookieも含まれることから、各ブラウザーが対応に迫られました。 そして、EUに続き米国カリフォルニア州でも同様の法律が制定され、日本の「個人情報の保護に関する法律等の一部を改正する法律案」へとつながっているのです。

Googleはなぜターゲティング広告の開発をやめるのか／まとめ

サイトをまたいでユーザーの行動を追跡するには問題がありますが、Googleの「Privacy sandbox」が本当にターゲティング広告と同様の広告活動をサードパーティに提供できるのかはまだ分かっていません。

また、ファーストパーティCookieは今後もユーザーの同意を前提に各ブラウザーで発行されるため、GAFAの様な巨大企業がより有利になり独占が強まるのではないかという見方もあります。しかし、目に見えないところでユーザーの行動を監視する「サードパーティCookie」が姿を消すことは個人情報の保護にとっては良いことです。

今後は個人情報の保護規制の対象とならないファーストパーティCookieの重要性が増すと予測されており、広告会社がweb広告をどのように展開するのか動向に注目が集まっています。