近年Web広告を取り巻くプライバシー問題について規制が厳しくなってきている。今回はITPについてまとめてみる。

• そもそもITPとは？
• Cookie（クッキー）とは？
• 3rd Party Cookie（サードパーティクッキー）とは？
• ITPによって規制されること
  • ・ユーザーが直帰した場合は即時削除される
  • ・ITP2.0から1st party cookieまで規制の対象になった
  • ・Cookie代替案のlocalStorage（ローカルストレージ）も制限される
• 具体的にはなにができなくなるのか
• ITPへの各媒体の対応

そもそもITPとは？

ITPとはIntelligent Tracking Preventionの略で、AppleがSafariに搭載しているトラッキング防止機能のこと。Appleがユーザーのプライバシー保護を目的に年々この機能を強化している。簡単にいうと、「勝手に行動データ収集されて広告のターゲティングに使われているの気持ちわるくない？プライバシーの保護のために勝手に行動データ取られるの規制しますね」というもの。AppleがITP対応を強化すると、その抜け道を見つけてなんとかしようという人たちが出てくるため、いたちごっこの状態になっている。

ITPの対象となるのは、Safariブラウザでインターネットを閲覧しているユーザー。現在日本でのモバイルブラウザシェアのうち、Safariは６割程度を占めていると言われてるので結構なインパクトになる恐れがある。

▼ブラウザシェア情報を公開している有名なサイト
StatCounter Global Stats - Browser, OS, Search Engine including Mobile Usage Share

Cookie（クッキー）とは？

ウェブサイトへアクセスすると、WebサーバからWebページの情報とともにCookieが発行される。Cookieはウェブサイトを閲覧したブラウザに保存され、再度そのサイトに訪問する際に送信＆Webサーバ側で照合されることで、固有のブラウザからのアクセスである事を判別する。一度アクセスしたサイトから離れて戻ってきた際に、前回のログイン情報が維持されていたり、お気に入りに追加した商品が残っていたり、フォーム自動入力がされたりするのはCookieのおかげである。Cookieがあることで、私たちは日々インターネットをスムーズに使えている。

3rd Party Cookie（サードパーティクッキー）とは？

Cookieには２種類ある。
・1st party cookie（ファーストパーティクッキー）
自社サーバーから発行されるCookie。つまり、訪問中のサイトのドメインから提供されるもの。前述したように、ログイン情報を保存するなど自社サイトの使い勝手アップのために活躍している。
・3rd party cookie（サードパーティクッキー）
第三者サーバーから発行されるCookie。つまり、広告媒体側のドメインから提供されるもの。リターゲティング広告やWeb広告の効果測定において活躍している。
サイト内に広告枠がある場合、広告をクリックするとアドサーバーを介して広告に設定されたWebサイトに遷移する。このアドサーバーから発行されるのが3rd party cookieということである。 

上の図が書いてある下記の記事がとても分かりやすいので、詳しくは↓の記事を。

infinity-agent.co.jp

ITPによって規制されること

規制の変遷についても上述の記事に詳しく書いてあるので参照いただければと思うが、概要だけ記載。

・ユーザーが直帰した場合は即時削除される

最初は「過去訪問履歴のないドメインのLPからで直帰したときは、セッション終了後に3rd party cookie情報を30日後に削除しますよー」という比較的緩いものだったが、それが「過去の訪問有無問わず、ユーザーが直帰した場合は24時間後に削除しますよー」になり、「過去の訪問有無問わず、ユーザーが直帰した場合は即時削除しますよー」になり、という…

・ITP2.0から1st party cookieまで規制の対象になった

最初は3rd party cookieのみ規制の対象だったが、ITP2.0から1st party cookieまで規制の対象になった。

当時のITP1.1環境下では、リダイレクトを行い、あたかも1st party coolie かのような3rd party cookieを生成するという方法でトラッキングを行った広告媒体・計測ツールが多かったからです。

・Cookie代替案のlocalStorage（ローカルストレージ）も制限される

一部の広告媒体では、Cookieが使えなくなった代わりにlocalStorageを使うことでトラッキング情報を補っていたが、これももれなく規制対象に。最大7日間で無効となった。（2020年7月現在）
localStorageはHTML5の新機能であり、ブラウザがJavaScriptを用いて任意の情報を保存できるという仕組み。ユーザーの情報を保存できるという点ではCookieと類似。ただし、下記の記事によると、単純な仕組みがゆえにセキュリティ観点で問題があり、セキュア情報などを含む場合は推奨しないとのこと。そういう観点で問題がない（もしくは問題があるが気が付いていない）場合はユーザー情報の保存先として使っている可能性がありそう。

techracho.bpsinc.jp

ちなみに、同じプライバシー対策でも、異なる2つのアプローチがある。サーバにアクセスすること自体をブロックするのか、Cookieの送信のみをブロックするのか。ITPは後者のケースであり、ページ閲覧情報などは送られるが、Cookieは送られないため誰が見たかは特定できない。 コンテンツブロッカーなどは前者のアクセス自体をブロックするというものであり、そもそも仕組みが違うらしい。詳しくは下記の記事が分かりやすくて良いです。

www.marketechlabo.com

具体的にはなにができなくなるのか

・コンバージョントラッキングができなくなる
・リマーケティング広告が配信できなくなる
・Cookieを使うツールで計測ができなくなる
　・GoogleアナリティクスやAdobe Analyticsなどのウェブ解析ツール
　・Treasure DataなどのCDP
　・ABテストツール

　などなど

ITPへの各媒体の対応

2020年1月に、GoogleはChromeにおける3rd party cookie利用について、今後２年以内にサポートをやめる方針だと発表。プライバシー保護意識が高まるなか、対応せざるを得なかったと思われる。２年という猶予期間で、リターゲティングに変わるターゲティングを開発しているもよう。

クロームのエンジニアリングディレクター、ジャスティン・シュー氏はブログ投稿で、「ユーザーはデータがどのように使われるかを巡る透明性や選択肢、規制を含むプライバシー保護の強化を求めており、こうした要求の高まりに対応するためウェブ上のエコシステムに進化が必要であることは明らかだ」と指摘した。

www.bloomberg.co.jp

Criteoやアドエビスは、CNAME方式にすることで代替案を提案している。
CNAMEとは、DNS (Domain Name System)サーバーにあだ名を付ける仕組みのこと。広告主サイトのドメインに対して媒体のサブドメインをもらう（あだ名をつける）ことで、そこからCookieを発行することで1st party cookieと認識され、ITPのCookie保管期間制限による影響を回避することが可能になるということらしい。
簡単に言うと、名前をごまかして1st party cookieと誤認させることで回避しよう！ということ。

ただ、この方法だとユーザーがオプトアウトできなくなり、GDPRに違反しているのでは？と今話題になっているらしいので、雲行き怪しい。いずれ規制対象になる気がする。そうなるとCriteo結構やばいのでは？というのを下記で分かりやすく解説してくれています。

note.tatsuo.online

...

こういった環境下でWebマーケターとして今後どのように対応していくべきなのか、何を準備しておくべきなのか、はまたそのうちまとめてみる（かもしれない）。