個人情報保護のための規制により、サードパーティCookieやIDFA等の識別IDの利用に制限がかかるようになりました。これらを用いてユーザーをターゲティングし、広告配信等に利用してきた企業は対応を余儀なくされます。
従来の手法が使えなくなりつつある今、同等の施策を継続するためにはどうしたらよいのか。デジタル・アドバタイジング・コンソーシアム株式会社(以下、DAC)の西橋 誠 氏が、データ規制の実態とポストCookie/IDFAの代替手段を解説しました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「ポスト・クッキー/IDFA時代に向けたデータ対応について」をもとに編集しました。
はじめに:デジタルマーケティングとデータ規制
現在、オーディエンスデータを取得するためには大きく分けて2種類の識別IDが利用されています。一つはブラウザで発行されるCookie――主にサードパーティCookieです。もう一つはアプリで発行されるもので、AppleのIDFAやGoogleのADID等があります。
デジタルマーケティングではこれらの識別IDを用いてユーザーを識別してきました。しかし2020年にはプライバシー保護のための規制により従来の手法が使えなくなるという大きなニュースがいくつも報道されました。
今回は法的な規制、技術的な規制を踏まえた上で、「どのような影響があるのか」「どのような対策を行えばよいのか」という方向性をお話しします。
データ規制には「法的規制」と「技術的規制」がある
インターネット上でのプライバシー保護のための規制には法的な規制とブラウザ・デバイスによる規制があります。背景を整理しましょう。
従来のID管理は対象が従業員であるため、基本的に企業はそのユーザーの属性を把握した状態で展開します。ユーザーがアクセスする先のソフトウェアも基本的に人事・経理のツール、ERP、CRMといったものです。
インターネット上のプライバシー保護:法的な規制
日本国内では個人情報保護法が施行されており、同法を運用する個人情報保護委員会があります。法律以外の業界の自主規制として、JIAAのガイドラインなどが設けられており、事業者はこれらにしたがってサイトの運営やプライバシーポリシーの制定を行っています。
個人情報保護法における個人情報の定義
ただし、デジタルマーケティングで個人が識別できる情報を扱うのは珍しく、多くのケースでは匿名化された情報が使われます。
日本国内法の動向を図にまとめました。2年ごとに改正情報が見込まれています。CookieやIDFA等の識別子情報自体は現状個人情報とはみなされませんが、2020年に公布された改正個人情報保護法では、個人情報にあたらない情報でも個人情報との突合の際には本人同意の確認義務が盛り込まれている点が大きなポイントです。
上記は国内法における個人情報の定義です。デジタルマーケティングで用いられるCookieやIDFAは「個人関連情報」にあたります。
「個人情報」「個人関連情報」に関する同意取得
2020(令和2)年法改正の最大のポイントとして、個人関連情報を取得する際の同意取得が挙げられます。
Cookieやサイト閲覧ログ等の個人関連情報が提供元から事業者に提供され、その提供先事業者で個人情報と紐づく場合は、本人同意が得られていることの確認が義務づけられました。個人関連情報すべてに同意が必要なわけではなく、限定されたケースのみで確認が必要というのがポイントです。
個人関連情報ではなく「個人情報」を提供する場合については、元々本人の同意が必要です。上図に記載している次項をあらかじめ通知・公表することで同意したものとみなす、いわゆるオプトアウト規定も手段として考えられますが、その場合は個人情報保護委員会への届け出が必要になります。
欧州における個人情報保護
国が違えば法律も異なります。欧州では先進的に個人情報保護を進めており、Cookie等のデータに関する同意取得が法令化されています。取得の目的や取得するデータを示し、目的ごとに同意を取る必要があります。
個人情報の同意取得が非常に厳しく義務化されている欧州では、同意を取得するためのCMP(コンセント・マネジメント・プラットフォーム)と呼ばれるソリューションが広く普及しています。Webサイトを訪問したユーザーに対してポップアップを表示し、「どこのベンダーの」「何のツールに」「どのような情報を」「何の目的で」提供するのかを示して個別に許可/不許可の選択ができるツールです。
日本国内の業界自主規制
これらの法的な規制に対して、日本国内では業界の自主規制もあります。個人情報を扱っていなくても、各事業会社はこういったガイドラインに則ってサイトを運営する必要があります。
参考までに、DACが提供するDMP「AudienceOne(オーディエンスワン)」ではユーザーに対して以下のような利用規約を提示しています。
インターネット上のプライバシー保護:技術的な規制
技術的な規制で一番大きな注目を浴びたのは、やはり2020年1月にGoogleのChromeが2年以内にサードパーティCookieを制限すると報道された件でしょう。(※ 2021年6月24日に2023年末に延期との発表がありました)
ブラウザによる規制はさかのぼること約3年前から、Appleの標準ブラウザSafariでも段階的に行われていました。サードパーティCookieが徐々に使えなくなり、ファーストパーティCookieにも制限がかかり、現在ではiOS上の全ブラウザでITP(Intelligent Tracking Prevention)の運用が開始されています。
注釈に記載の通り、ファーストパーティCookieに対する規制はJavaScriptを利用した場合のみなので、サーバーサイドタグ等を利用すればまだ使えるという状況です。
Googleによる制限については続報が出ており、Googleの「Chromium Blog」では代替技術の試験的な運用を始めていると発表されました。また「Google Ads & Commerce Blog」では、サードパーティCookieに代わる識別子は使わないと表明しました。それと同時に、ユーザー識別はしないが群データというものを単位で提供する「FLoC」と呼ばれるAPIを公開するとして注目を浴びています。
IDFAのオプトイン性もデジタルマーケティングにおいて影響が大きいとされています。Appleは2020年6月頃、iOS14より広告識別子であるIDFAをオプトイン制にすると発表しました。
現在既にiOS14.5がリリースされており、IDFA取得のデフォルト設定がオンからオフに切り替わりました。ユーザーの許諾もアプリごとに得る必要があります。
技術的な規制の影響範囲
技術的な規制によるデジタルマーケティングへの影響範囲を「ターゲティング広告」と「効果計測」の2つの観点から整理しました。
まず、ターゲティング広告に関する影響範囲です。DSPやアドネットワークでは、広告の行動ターゲティングでやサイトリターゲティングに影響があります。メディアを問わず、アプリのリエンゲージメント広告も対象です。
サードパーティCookie規制やIDFAのオプトインによってターゲティング可能なIDの総量が減るので、広告インプレッション数が減ってしまうという影響が考えられます。
Walled Gardenと呼ばれる、いわゆるFacebook、Twitter、LINE等の広告プラットフォームではソーシャルのユーザーIDベースでターゲティングを行っており、Cookieを利用していないので影響がありません。また、単一のWebメディア内でサイトを横断しない場合はファーストパーティCookieベースでのターゲティングになるため影響がありません。
続いて、効果計測に関する影響範囲です。メディアを問わず、広告接触後のコンバージョン、サイト上での行動、アプリをインストールしたか等を計測する手法が、サードパーティCookie、IDFAの規制によって影響を受けます。
今までも情報の欠損はありましたが、計測可能な条件が減るためにその欠損の幅が広くなります。成果の総量が正しく測れない、条件別での効果比較ができない等の影響が考えられます。
こちらもターゲッティング広告と同様、Walled Gardenはサービス内のエンゲージメント計測なので影響はなく、クリック回数を計測するインプレッション/クリック計測はメディアを問わず影響はありません。
技術的な規制に対する代替手段は?
技術的な規制を踏まえて、代替手段検討の方向性を4象限で整理しました。x軸はユーザー識別の粒度を表し、左側はユーザーを個々に識別する手法、右側がユーザーの識別は行わず統計の値のみで識別する手法になっています。y軸は確定/推計を表し、上が確定データを用いたアプローチ、下が推計データを用いたアプローチとなっています。
右下の第四象限は実質ありませんが、整理の欄外として参考に記載しています。ユーザーの識別とはまた別の文脈で、コンテキシャルターゲティングなども今改めて注目されている領域といえます。
第一象限:統計レベルの識別・確定データを用いる
サードパーティCookieが使えなくなると同時に、Chromeであればプライバシーサンドボックスと呼ばれる代替手段の企画が発表されています。プライバシーサンドボックスの一番大きなポイントは、ブラウザがユーザーの興味関心情報を保持していることです。
上図右側の広告主DSPのようなマーケティング事業者側にはIDが渡されず、どのようなユーザーか、どのような広告の枠が発生しているかという情報は全てブラウザが保有しています。APIを通じて広告枠のリクエストだけを広告主のDSPに送り、インプレッションとクリックの情報だけが結果として報告される仕組みになっています。
広告主DSPの手元にはIDが届かないので、広告を閲覧したユーザー、クリックしたユーザーの情報は取得できません。そのため、アトリビューションの分析やリタゲ広告等の施策はできなくなります。
AppleもGoogle同様、IDFAのオプトイン制への移行にあたって代替手段を提示しています。それが独自の規格であるSKAdnetworkの機能強化の実施です。
OS側にユーザーのIDを保有して広告事業主やマーケティング会社にIDを渡さず、統計データのみが提供される仕組みです。
第二象限:ユーザーを個々に識別・確定データを用いる
第二象限はサードパーティCookieを使わずに別の識別情報でユーザーを識別しようとするものです。
代表的なものとしてLiveRampの「IdentityLink」を参考に掲載しています。広告主側とパブリッシャー側の利用しているメールアドレスをキーに、独自のIDでリンクさせて広告を発生させる仕組みになっています。
推計データではなく確定的なIDを用いているので、質の高いマッチングが可能です。一方でマッチングがメールアドレスを持っている範囲に限られるという課題があります。
技術的な話題からは逸れますが、広告プラットフォームが提供する「Clean Room」も最近注目を浴びています。元々アドプラットホーム上で広告の効果計測をする際はサードパーティベンダーの解析ツールや計測タグをサイトに導入していましたが、今回の規制によりそれが利用できなくなったため、プラットフォーマーが分析環境を提供しようという考えに基づいたサービスです。
計測用データとして使えるキーは各社様々です。このようなサービスもポストオープンID、ポストCookieの解決手段としては非常に重要性が増すのではないでしょうか。
ポストCookieへの危機感から、サーバーサイド計測も注目されています。参考例として挙げたFacebookのコンバージョンAPIは、Webサイト上で計測タグを貼って計測する今までの手法とは異なり、クライアントサーバーから直接Facebookにコンバージョンのシグナルを送信する仕組みになっています。
これにより、今までのオープンIDやCookie、IDFAを使わずにコンバージョン計測が可能になります。
第三象限:ユーザーを個々に識別・推定データを用いる
第三象限は、ファーストパーティCookieを用いて各社ベンダーが固有にIDを作る手法です。例として海外のベンダーのID5を挙げています。
ファーストパーティCookieはドメインによってIDも異なるので、A.comでIDが123だったユーザーがドメインB.comではIDがXYZになるということが起こります。この場合、通常であれば別々のユーザーとして認識されます。
ID5の「Universal ID」は、推定技術を用いた独自の分析でドメインが異なるIDをマッチングし、同一のユーザーを識別しようとするものです。
第一・第二象限の確定データを用いるアプローチと異なり、Cookieベースのためデータの総量が多いというメリットがあります。ただし当然「あくまで推定データである」という点は留意しなくてはなりません。
技術的な規制に対する代替手段のまとめ
いずれの代替手段の検討においても、技術の選択やパートナーの選択が非常に重要になります。取りうる選択肢を以下に整理しました。
確定データを使う/推定データを使う、ユーザーを識別する/しないといった技術的選択肢、プラットフォーマーやOS、ブラウザ、サードパーティ等々パートナーの選択肢、それぞれの組み合わせによって施策の優先順位を検討するとよいでしょう。
DACにおける統合ID技術の研究
DACはサードパーティCookieに依存しない統合IDの技術を確立し、2021年1月にプレスリリースを行いました。現在実験的な導入テストを行っており、今後順次ローンチを予定しています。
今回は法的な規制と技術的な規制、ポストCookie時代に向けた事態を整理しました。これからも正しく恐れて、最新の情報をキャッチアップしながら対策を検討判断するという原則は変わらないと考えています。
DACでは、確定データを使う際の基盤構築や活用支援、消費者同意取得のコンサルティングやCMPツールの導入支援を行っています。DMP「AudienceOne」を活用したポストCookieソリューションの導入支援も行ってますのでぜひご相談ください。
DAC/AudienceOneについて、さらに詳しい情報をお知りになりたい方はmkt_solution@dac.co.jp までお問い合わせください。
