3rd party cookieとIDFAの規制と対策

この記事は約11分で読めます。

データは死ぬのか、どうなのか。
正しく恐れ、対応していくための情報をまとめました。

規制動向

法的な規制

改正個人情報保護法

日々刻刻と変化するため、2021年2月時点情報で記載します。

日本国内の状況として、2020年6月に改正個人情報保護法が成立しました。
施行は2年以内ですので、どんなに遅くとも2022年5月には適用されます。
この法律において理解すべき点は2点で、

CookieやIDFA/AAIDといったRDIDなどの識別子は個人情報になるわけではない

個人情報との突合の際に本人同意の確認義務が発生する

というものです。
データを集めるのはOK、使おうとする際には注意が必要、という形です。

この”突合”の概念が厄介で、例えば、自社で集めたCookieデータをYahoo!に受け渡し、Yahoo!内での検索ログを見てもらう、みたいな行動は、個人を特定しているともいえるので、同意なしではほぼアウトです。

この同意も、暗示的な同意(オプトアウト:データ使うのやめてください、と生活者側からアクションを起こす必要がある)では不十分で、

明示的な同意(オプトイン:データ使ってもいいですか?と企業側から問いかける)が必要です。

このサイトではCookieを収集してマーケティングデータ分析・広告配信に利用します。OKですか?
といったポップアップがそれに該当します。

日本国内法の個人情報定義

記憶に新しいリクナビ事件(リクナビIDから内定受諾率・内定辞退率を予測し、企業がそのデータを購入していた)により、個人情報の定義は厳しくなりました。

個人に関する情報は、

匿名加工情報
特定の個人を識別できない&元の情報に復元できないように加工された情報のこと。
=not個人情報

仮名加工情報
他の情報と照合しない限り特定の個人を時期別出来ない情報のこと。

個人情報

個人関連情報
個人が特定できる情報。

の3種類ですが、そのうち、仮名加工情報(なにかと紐づければ個人がわかってしまう情報)が個人情報扱いされるようになり・・

本人同意を得ないと、照合してはいけない、という話になっています。

技術的な規制

3rd party cookieの話

2017年9月に始まったAppleによるITPのバージョンアップ連発に加え、2020年1月にGoogle Chromeが2022年までに3rd Party Cookieを制限する方針を発表しています。

時期プレイヤー概要
2017年9月AppleITP1.0
3rd Party Cookieを24hで無効化
2018年9月AppleITP2.0
3rd Party Cookieを即時無効化、1st Party Cookieを30日で無効化
2019年2月AppleITP2.1
3rd Party Cookieを即時無効化、JS利用1st Party Cookieを7日で無効化
2019年5月AppleITP2.2
3rd Party Cookieを即時無効化、JS利用1st Party Cookieを1日で無効化
2019年8月GoogleCookie代替APIとしてPrivacy Sandboxを発表
2019年9月AppleITP2.3
3rd Party Cookieを即時無効化、1st Party Cookieをlocal strageでも7日に制限
2020年1月Google2022年までに3rd Party Cookieの段階的廃止を宣言
2020年9月AppleiOS14
safari以外にも、iOS上の全ブラウザでITP適用
2021年1月Google2021年4月以降Privacy Sandboxの試験的な運用開始を宣言

Privacy Sandboxの中身ですが、
・個人を特定しないターゲティングをcookieではなくAPIで実現します
・人間とアドフラウドの判別をブラウザ側で実施します
・CV計測もClick ThroughのみAPIで取ります
・ウェブサイト側からアクセスできる個人データ量を制限します(ある程度母数がないとデータ渡しません)

といったものです。

Cookieの未来はちょっと暗い、といった状況ですね。

IDFA規制の話

Appleによると、2020年6月にRDID(iOSなのでIDFA)について、オプトイン方式に変更する、と宣言しました。

・・宣言したものの導入は先延ばしが続き、iOS14.5からスタートする方針とのことです。

これに対し、例えばFacebookは対策を打ち出しつつバチバチに噛みついている等、混迷を極めています。

IDFAデータ取得はデフォルトOFF、データを取得する際にオンにしてもらうようなオファーを出すことになります。。。

一説によると、オプトインの承諾率は悪いものだと30%ほどだとか。データ量がかなり減るので、分析環境は厳しいものになっていきます。

規制の影響

ターゲティング手法について

影響がないものも存在します。
3rd Party CookieやIDFAに依存しないメディア・・つまり、

データが囲われているプラットフォーム:Facebook、Twitter、LINE
単一ドメイン配下のメディア

による

そのプラットフォーム/メディアの中でのターゲティング、です。
Facebook IDを利用してFacebookの中で広告を配信すること、自社メディアの中で自社サイト訪問状況に応じて自社内でレコメンド商品を変えること、等が該当します。

逆に、影響を受けるのは上記以外のすべてです。

自分とは異なるメディアやプラットフォーム、加えてDSPやアドネットワークなどは
ターゲティング可能なIDの数が減少するので、リーチポテンシャルが減少します。

ただし、IDFAをオプトインしてくれている、Android、規制されていないブラウザなどでは配信可能なので、全体としては広告を止めた方がいいほどのインパクトではなさそうです。

トラッキングについて

自社メディア・単一プラットフォームで完結するものについては計測可能です。
例えば、Facebookのイイネボタン、LINEの投稿ボタンなどが該当します。

逆に、それ以外のデータはとることができません。

こちらは広告配信よりも深刻で、ImpデータはとれるがCVと紐づかない(最悪、ClickはURLとCVを紐づければ取れるが、ビュースルーはほぼ不可)、アプリインストールが取れない等、どの施策が影響していたのかを細かい粒度で追いかけることがどんどん厳しくなっていきます。

代替手法の考察

代替手法の領域の考え方

3rd Party CookieやIDFAなどのオープンなIDに依存しないデータを、ターゲティング広告やトラッキング/広告計測に活用する方法を考えます。

データについて考えるときの軸は、

・個人レベルでのデータなのか、個人を束ねた傾向レベルでのデータなのか(全体的なインパクトを追いかけることしかできないのかどうか)

・確定したデータなのか、推計したデータなのか(ロジックを適用するとこの人とこの人は同じ人だよね、という状態なのかどうか)

上記2つです。

個人レベル×確定データ

オプトインを前提として、CookieやIDFAではないより強固なユーザー識別キーであるメールアドレスや何かしらのプラットフォーマーのログインIDを取得、それらを媒体社と事業会社の間で共有利用する仕組み

プラットフォーマーが用意しているクリーンルームを使う方法

プラットフォーマーに閉じた世界で情報を集約する方法

の3つがあります。

より強固なユーザー識別キーを使う方法

例えば、LiveRampのように、メールアドレス(彼らはゼロパーティーデータと呼んでます)などをキーにして、人をIDでマッチングする方法があります。

この方法であれば、SafariやChromeなどCookie規制条件下でも紐づけが可能で、かつ、個人情報に紐づくデータについても不可逆な匿名化(暗号化処理)を施すことにより、ちゃんとした情報管理が可能です。

まあ問題は、日本でどれだけIDが取れるのか、というはなしですが・・。

Clean Roomの活用

Google、Yahoo!、Facebookなど、プラットフォーマーが用意するデータクリーンルームの活用により、広告効果測定の領域で特に重要になってきます。

なぜなら、ImpとCV情報が乖離してしまっているので・・。

従来、広告プラットフォーマー側が解析ツールなり計測タグなりに情報を紐づけて計測・広告配信していました。
このスキームではCookie規制/IDFAオプトインによって計測数が減ってしまいます。

そこで、各プラットフォーマーが進めているClean Roomを活用します。
具体的には、データをプラットフォーマー側に流し込み、計測データと配信データをプラットフォーマーIDで紐づけ、そのデータを分析する、という流れです。

取り出せるデータは、例えばGoogle Ads Data hubでは50サンプル以上のもの、など個人を識別できないような制限が加わりますが、広告効果を評価するには十分なわけです。

Facebook CAPI

Conversion API、略してキャピです。

Cookieを補完するCV計測手法としての、サーバーtoサーバーでのCV計測方法です。
導入会社のサーバーで補足可能な1st party data(メールアドレスや氏名、IPアドレスやUA)をfacebookに送信し、facebook側で受け取ったCVシグナルを利用して、FBユーザーとマッチングによりCV計測判定を行います。

現在は計測のみですが、将来的には配信まで使えるようです。

・・CAPI、導入めんどくさい(得意先側の作業負荷が大きい)パターンと、そうじゃないパターンがあるので、この部分で代理店を比べてみてもいいかもしれません。

個人レベル×推計データ

各社・各サービス内に固有のクローズドIDを、それぞれの会社で横でつなぐ=IDマッチングを行い、効果計測やターゲティング広告に活用していく仕組みです。

2nd Party Data、的な使い方ですね。

例えば、1st Party Cookieで推定するid5 universal idであれば、ドメインの異なる1st party cookieを、ユーザーの同意取得を前提に、フィンガープリントのアプローチでCookieマッチングを行う方法です。

利用規模は25億デバイス/月、CriteoやTTDなど70以上のアドテクベンダーと連携しているそうです。

傾向レベル×確定データ

iOSの世界観

AppleはIDFAオプトイン必須にあたり、オプトイン拒否者のアプリインストールも計測できるよう、SKAdnetwork(エス・ケー・アドネットワーク)うの機能を強化し、ユーザー個人の識別情報は渡さず、全体の傾向感を把握できます。

方法としては、

媒体からAppleに登録し、広告主の署名入り広告を配信

その広告からアプリインストールが行われた場合、アプリの初回起動時に媒体情報をApple側に送信

インストールが一定の閾値や期間を越えた場合、インストール結果がAppleから媒体に共有されます

といった流れです。

この方法、計測はできますが、配信はできません。
媒体側にID情報が存在しないためです。

Google Chromeの世界観

ユーザー個人の識別と、文脈や興味関心(コンテキスト・インタレスト)を分離したスキームで検討されているようです。

流れとしては、

  1. ブラウザが、ユーザーの興味関心情報を保有します
  2. ユーザーの興味関心データを利用し、媒体/DSPが広告を配信できます。
  3. この配信結果を、興味関心レベルで把握できます。

留意点として、

配信時の情報では、
・その人が誰なのか、どんなサイトを見ているのかと紐づけることはできません。
 (サッカー好きな人に配信します、でしかないということです)
・サイト側はその人が誰なのかを紐づけることはできません。

といった形で、またデータを格納することもないので、計測はできますが、配信はできません。

傾向レベル×推計データ

この粒度だとすごくふわっとしてしまいますが、例えばGumGumのようなコンテキシャルターゲティングなどが該当します。

ユーザーを群像として把握しつつ、ウェブサイトにも適合したコンテンツを出す、という形です。

おわりに

CookieやIDFAは死んでいきますが、完全にお亡くなりになるわけではないこと、また、たとえお亡くなりになるとしても代替手段が4方向で用意されていることを考えると、未来が閉ざされているわけではありません。

特にプラットフォーマーの分析環境、ADHや箱庭などの情報アップデートとデータの取り合い/オープンスタンスは状況が刻々と変わるため、適宜代理店に確認を入れるのがいいかな、と思います。

負けないように、気を付けましょう。