ガジェットやアプリの紹介/webディレクター向けのナレッジを発信するブログです。

サードパーティCookieが使えなくなるというニュースのポイントを説明します。

2020年10月10日 2020年12月26日

Goole ChromeでサードパーティCookieを使えなくするというニュースが2020年1月にGoogleから発表されました。
結果、2022年1月頃にサードパーティCookieのサポート終了が予測されています。
「これってどういうこと、サードパーティCookieって何?」って方向けに解説します。

ちょっと小難しい内容ですが、webサイトの制作運用に関わっている人なら、概念は理解しておく必要があると思いまとめた次第です。

一応「Cookieとは?」の説明も入れておきます。

サーバからの指示でクライアントPCに保存されるテキストデータです。

  1. クライアント:webサーバにデータをリクエスト
  2. サーバ:クライアントからのレスポンスに「このCookieを保存して。」という指示を入れる。
  3. クライアント:サーバの指示に従い、そのCookieを保存する。

ということ。
ドメイン名と紐付き、そのドメイン名のwebサイトでの閲覧情報を一時的にPCのローカルディスク上に保存しておく技術です。
以下のような要素の組み合わせになります。

  • 名前:値
  • expires = 有効期限:日時
  • domain = ドメイン:このCookieを送信するドメイン
  • path = ディレクトリ:このCookieを有効にするURLパス
  • secure:セキュアな通信時のみCookieを送信

セッション管理の仕組み

サードパーティCookieの話をする際には、セッション管理ということに触れておく必要があるので頑張って説明します!
ただ、うまく説明できる自信がないので例え話にします。

クラ川くん → クライアントPC
サバ山さん → webサーバ
として・・・・。

クライアント側からサーバ側のログイン画面にログインした際、

サバ山さんは
「クラ川君、この通行手形、手元に持っといてもらっていい?」
という回答をします。それと同時にサバ山さんはそのときに
「クラ川君は訪問済み」
という記帳を行います。
その回答を受けたクラ川くんは、もらった通行手形を自分の手元に持っておきます。

ここまで良いでしょうか。
専門用語を使って説明すると、

  1. クライアントがwebサーバに対してデータをリクエスト。
  2. webサーバがセッションIDを発行し、そのセッションID含むセッション情報をサーバ内に保存する。
  3. クライアントは発行された通行手形(セッションID)を保存する。

という流れです。
で、このセッションIDがCookieという形式で保存される、ということです。
セッション情報のやり取りの中で、クライアントに保存されるのはセッションIDのみです。
ECサイト等でカートに入れた商品の個数などは、サーバ側に保存されています。

じゃ、次にクラ川くんが、そのwebサイトにアクセスしたときに、どうなるか。
クラ川くんは、サバ山さんに以下のように伝えます。

「サバ山さん!ぼく、この前あなたから貰った通行手形、持ってます!」
それを受け取ったサバ山さんは

「クラ川くん、えーと、この記帳を見ると、、確かに君、この前きてるね。了解。」
とか言って、ログインさせてくれたり、以前訪問時のカート情報などをクラ川さんに渡してくれたりするわけです。

ファーストパーティCookieとサードパーティCookie

次に、ファーストパーティCookieとサードバーティCookieについて説明します。
CookieにはファーストパーティCookieとサードパーティCookieがあります。
ファーストパーティCookieとサードバーティCookieの違いは、そのCookieを「どのサーバが発行しているか」です。
ファーストパーティCookieは、閲覧しているURLのWebサーバから発行されるもので、
サードパーティCookieは、ユーザーがアクセスしているドメインのwebサイトとは別のwebサーバから発行されるものです。

サードパーティCookieの何が問題なのか。

先ほど、クライアント側からサーバ側にデータリクエストした場合に、
サバ山さんから
「クラ川君、この通行手形、手元に持っといてもらっていい?」
というレスポンスが返ってくる、ということがあり、そこで、クライアントPCに保存される情報が、Cookieであると言いました。

通常webサーバ側が、保存しておいて欲しいCookieは、クライアントPCが今見ているドメイン(のwebサイト)についてのものです。

けど、たまに、
ごめん、ついでにこれも保存しておいて。別のドメインのものなんだけど。
というレスポンスが返ってくることがある、ということです。
ここで保存されるのがサードパーティCookieです。
このサードパーティCookieはリマーケティング広告(Yahoo)、リターゲティング広告(Google)等に利用されます。

これを今、「セキュリティ的によくないんじゃないの?」
という声があり、その対策が進められているということです。
なぜなら、

サードパーティCookieが有効だと、本人が把握していないドメインから「webサイトをどのように閲覧しているかの行動情報が収集されている状況」が起こるからです。

ちなみに、日本の法律では、Cookieそのものは個人情報では無いという判決が出ているのですが、以下のように情報を組み合わせることで、個人情報に該当する、としています。

提供元では個人データには該当しなくとも、提供先のデータと照合することで個人データに該当する場合、第3者提供については本人同意が得られているかなどの確認を義務付ける。

そんなこともあり、今後サードパーティCookieは使えなくなる、ということになっているわけです。
ただ、それで困るのは、サードパーティCookieを活用しているリマーケティング広告(Yahoo)、リターゲティング広告(Google)等を利用しているマーケティング会社やそのサービスを享受している企業などです。
そこにおいては、今サードパーティCookieの代替技術の準備が進んでいます。

サードパーティCookieの代替技術の準備は進んでいる。

サードパーティCookieに変わる技術として「Privacy Sandbox」というものをGoogleが策定しようとしています。
以下Googleの言葉。

Cookieレスな未来に向けて Googleは、プライバシーサンドボックスが設定する基準にもとづく、広告ターゲティングや測定、詐欺防止の実現を目指しています。
プライバシーサンドボックスに関してもっとも重要なのは、すべてのユーザーデータをChromeブラウザに移し、そこで処理・保存するというGoogleの提案だ。つまり、データはユーザーのデバイス内にとどまり、プライバシーに準拠する。これはいまや、やらなければならないことの最低ラインであり、プライバシーの黄金律だ。

この技術は、2020年1月ごろに「やるよ」と言われた話で、「2022年1月頃にサードパーティCookieのサポート終了」となる場合、いつまでに提供されるものなのか明確には言われていません。
なので、サードパーティCookieを活用している会社にとっては、穏やかではない日々が続きます。
ただ、結果的には、古い前時代的なものを延々と使うのではなく、セキュリティの向上を目的とした、今の時代に即したサービスとして生まれ変わるわけですから、長い目でみれば歓迎すべきことなんだろうな、とは思います。

補足

ネットの情報から理解したことを整理したつもりですが、完全に理解して書いているわけではないので、間違ったことを書いているかもしれません。その場合は、恐れ入りますが、Twitterのダイレクトメッセージなどでコメントをいただけると幸いです。