ポスト・クッキー/IDFA時代に向けたデータ対応について

トレジャーデータ株式会社 2021年7月16日

3,606 1 minute read

ホーム » すべての記事 » ポスト・クッキー/IDFA時代に向けたデータ対応について

個人情報保護のための規制により、サードパーティCookieやIDFA等の識別IDの利用に制限がかかるようになりました。これらを用いてユーザーをターゲティングし、広告配信等に利用してきた企業は対応を余儀なくされます。

従来の手法が使えなくなりつつある今、同等の施策を継続するためにはどうしたらよいのか。デジタル・アドバタイジング・コンソーシアム株式会社（以下、DAC）の西橋誠氏が、データ規制の実態とポストCookie／IDFAの代替手段を解説しました。

※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング〜」(2021年5月開催)のセッション「ポスト・クッキー/IDFA時代に向けたデータ対応について」をもとに編集しました。

西橋誠氏

デジタル・アドバタイジング・コンソーシアム株式会社

パートナービジネス本部第四ソリューションコンサルティング部　マネージャー

2013年同社に入社し、コンシューマー向けサービス開発、デジタルマーケティングの提案、コンサルティング業務に従事。データ基盤構築ならびに1stPartyDataを活用したデジタルマーケティング施策の立案から運用までを支援している。

ここから先は、PLAZMA会員のみ、お読みいただけます。

今すぐ会員登録（無料）・ログイン

西橋誠氏

デジタル・アドバタイジング・コンソーシアム株式会社

パートナービジネス本部第四ソリューションコンサルティング部　マネージャー

＜目次＞

はじめに：デジタルマーケティングとデータ規制

現在、オーディエンスデータを取得するためには大きく分けて2種類の識別IDが利用されています。一つはブラウザで発行されるCookie――主にサードパーティCookieです。もう一つはアプリで発行されるもので、AppleのIDFAやGoogleのADID等があります。

デジタルマーケティングではこれらの識別IDを用いてユーザーを識別してきました。しかし2020年にはプライバシー保護のための規制により従来の手法が使えなくなるという大きなニュースがいくつも報道されました。

今回は法的な規制、技術的な規制を踏まえた上で、「どのような影響があるのか」「どのような対策を行えばよいのか」という方向性をお話しします。

データ規制には「法的規制」と「技術的規制」がある

インターネット上でのプライバシー保護のための規制には法的な規制とブラウザ・デバイスによる規制があります。背景を整理しましょう。

従来のID管理は対象が従業員であるため、基本的に企業はそのユーザーの属性を把握した状態で展開します。ユーザーがアクセスする先のソフトウェアも基本的に人事・経理のツール、ERP、CRMといったものです。

インターネット上のプライバシー保護：法的な規制

日本国内では個人情報保護法が施行されており、同法を運用する個人情報保護委員会があります。法律以外の業界の自主規制として、JIAAのガイドラインなどが設けられており、事業者はこれらにしたがってサイトの運営やプライバシーポリシーの制定を行っています。

個人情報保護法における個人情報の定義

ただし、デジタルマーケティングで個人が識別できる情報を扱うのは珍しく、多くのケースでは匿名化された情報が使われます。

日本国内法の動向を図にまとめました。2年ごとに改正情報が見込まれています。CookieやIDFA等の識別子情報自体は現状個人情報とはみなされませんが、2020年に公布された改正個人情報保護法では、個人情報にあたらない情報でも個人情報との突合の際には本人同意の確認義務が盛り込まれている点が大きなポイントです。

上記は国内法における個人情報の定義です。デジタルマーケティングで用いられるCookieやIDFAは「個人関連情報」にあたります。

「個人情報」「個人関連情報」に関する同意取得

2020（令和2）年法改正の最大のポイントとして、個人関連情報を取得する際の同意取得が挙げられます。

Cookieやサイト閲覧ログ等の個人関連情報が提供元から事業者に提供され、その提供先事業者で個人情報と紐づく場合は、本人同意が得られていることの確認が義務づけられました。個人関連情報すべてに同意が必要なわけではなく、限定されたケースのみで確認が必要というのがポイントです。

個人関連情報ではなく「個人情報」を提供する場合については、元々本人の同意が必要です。上図に記載している次項をあらかじめ通知・公表することで同意したものとみなす、いわゆるオプトアウト規定も手段として考えられますが、その場合は個人情報保護委員会への届け出が必要になります。

欧州における個人情報保護

国が違えば法律も異なります。欧州では先進的に個人情報保護を進めており、Cookie等のデータに関する同意取得が法令化されています。取得の目的や取得するデータを示し、目的ごとに同意を取る必要があります。

個人情報の同意取得が非常に厳しく義務化されている欧州では、同意を取得するためのCMP（コンセント・マネジメント・プラットフォーム）と呼ばれるソリューションが広く普及しています。Webサイトを訪問したユーザーに対してポップアップを表示し、「どこのベンダーの」「何のツールに」「どのような情報を」「何の目的で」提供するのかを示して個別に許可／不許可の選択ができるツールです。

日本国内の業界自主規制

これらの法的な規制に対して、日本国内では業界の自主規制もあります。個人情報を扱っていなくても、各事業会社はこういったガイドラインに則ってサイトを運営する必要があります。

参考までに、DACが提供するDMP「AudienceOne（オーディエンスワン）」ではユーザーに対して以下のような利用規約を提示しています。

インターネット上のプライバシー保護：技術的な規制

技術的な規制で一番大きな注目を浴びたのは、やはり2020年1月にGoogleのChromeが2年以内にサードパーティCookieを制限すると報道された件でしょう。(※ 2021年6月24日に2023年末に延期との発表がありました) 　

ブラウザによる規制はさかのぼること約3年前から、Appleの標準ブラウザSafariでも段階的に行われていました。サードパーティCookieが徐々に使えなくなり、ファーストパーティCookieにも制限がかかり、現在ではiOS上の全ブラウザでITP（Intelligent Tracking Prevention）の運用が開始されています。

注釈に記載の通り、ファーストパーティCookieに対する規制はJavaScriptを利用した場合のみなので、サーバーサイドタグ等を利用すればまだ使えるという状況です。

Googleによる制限については続報が出ており、Googleの「Chromium Blog」では代替技術の試験的な運用を始めていると発表されました。また「Google Ads & Commerce Blog」では、サードパーティCookieに代わる識別子は使わないと表明しました。それと同時に、ユーザー識別はしないが群データというものを単位で提供する「FLoC」と呼ばれるAPIを公開するとして注目を浴びています。

IDFAのオプトイン性もデジタルマーケティングにおいて影響が大きいとされています。Appleは2020年6月頃、iOS14より広告識別子であるIDFAをオプトイン制にすると発表しました。

現在既にiOS14.5がリリースされており、IDFA取得のデフォルト設定がオンからオフに切り替わりました。ユーザーの許諾もアプリごとに得る必要があります。

技術的な規制の影響範囲

技術的な規制によるデジタルマーケティングへの影響範囲を「ターゲティング広告」と「効果計測」の2つの観点から整理しました。

まず、ターゲティング広告に関する影響範囲です。DSPやアドネットワークでは、広告の行動ターゲティングでやサイトリターゲティングに影響があります。メディアを問わず、アプリのリエンゲージメント広告も対象です。

サードパーティCookie規制やIDFAのオプトインによってターゲティング可能なIDの総量が減るので、広告インプレッション数が減ってしまうという影響が考えられます。

Walled Gardenと呼ばれる、いわゆるFacebook、Twitter、LINE等の広告プラットフォームではソーシャルのユーザーIDベースでターゲティングを行っており、Cookieを利用していないので影響がありません。また、単一のWebメディア内でサイトを横断しない場合はファーストパーティCookieベースでのターゲティングになるため影響がありません。

続いて、効果計測に関する影響範囲です。メディアを問わず、広告接触後のコンバージョン、サイト上での行動、アプリをインストールしたか等を計測する手法が、サードパーティCookie、IDFAの規制によって影響を受けます。

今までも情報の欠損はありましたが、計測可能な条件が減るためにその欠損の幅が広くなります。成果の総量が正しく測れない、条件別での効果比較ができない等の影響が考えられます。

こちらもターゲッティング広告と同様、Walled Gardenはサービス内のエンゲージメント計測なので影響はなく、クリック回数を計測するインプレッション／クリック計測はメディアを問わず影響はありません。

技術的な規制に対する代替手段は？

技術的な規制を踏まえて、代替手段検討の方向性を4象限で整理しました。x軸はユーザー識別の粒度を表し、左側はユーザーを個々に識別する手法、右側がユーザーの識別は行わず統計の値のみで識別する手法になっています。y軸は確定／推計を表し、上が確定データを用いたアプローチ、下が推計データを用いたアプローチとなっています。

右下の第四象限は実質ありませんが、整理の欄外として参考に記載しています。ユーザーの識別とはまた別の文脈で、コンテキシャルターゲティングなども今改めて注目されている領域といえます。

第一象限：統計レベルの識別・確定データを用いる

サードパーティCookieが使えなくなると同時に、Chromeであればプライバシーサンドボックスと呼ばれる代替手段の企画が発表されています。プライバシーサンドボックスの一番大きなポイントは、ブラウザがユーザーの興味関心情報を保持していることです。

上図右側の広告主DSPのようなマーケティング事業者側にはIDが渡されず、どのようなユーザーか、どのような広告の枠が発生しているかという情報は全てブラウザが保有しています。APIを通じて広告枠のリクエストだけを広告主のDSPに送り、インプレッションとクリックの情報だけが結果として報告される仕組みになっています。

広告主DSPの手元にはIDが届かないので、広告を閲覧したユーザー、クリックしたユーザーの情報は取得できません。そのため、アトリビューションの分析やリタゲ広告等の施策はできなくなります。

AppleもGoogle同様、IDFAのオプトイン制への移行にあたって代替手段を提示しています。それが独自の規格であるSKAdnetworkの機能強化の実施です。

OS側にユーザーのIDを保有して広告事業主やマーケティング会社にIDを渡さず、統計データのみが提供される仕組みです。

第二象限：ユーザーを個々に識別・確定データを用いる

第二象限はサードパーティCookieを使わずに別の識別情報でユーザーを識別しようとするものです。

代表的なものとしてLiveRampの「IdentityLink」を参考に掲載しています。広告主側とパブリッシャー側の利用しているメールアドレスをキーに、独自のIDでリンクさせて広告を発生させる仕組みになっています。

推計データではなく確定的なIDを用いているので、質の高いマッチングが可能です。一方でマッチングがメールアドレスを持っている範囲に限られるという課題があります。

技術的な話題からは逸れますが、広告プラットフォームが提供する「Clean Room」も最近注目を浴びています。元々アドプラットホーム上で広告の効果計測をする際はサードパーティベンダーの解析ツールや計測タグをサイトに導入していましたが、今回の規制によりそれが利用できなくなったため、プラットフォーマーが分析環境を提供しようという考えに基づいたサービスです。