3rdパーティCookieやIDFAに規制の波 - マーケターなら知っておくべき「プライベートデータ保護」の動向 -

2021年03月05日

データ活用コンサルティングのINCUDATA（インキュデータ） / INCUDATA Magazine / 3rdパーティCookieやIDFAに規制の波 - マーケターなら知っておくべき「プライベートデータ保護」の動向

知らぬ間に自分のオンライン上のデータが第三者に使われている──。こうしたプライベートデータの使用を巡る生活者の不安や不満が「3rdパーティCookie」やApple iOSの「IDFA (Identifier for Advertisers)」の使用制限へとつながり、従来のデジタルマーケティング手法は大きな変化を求められています。その動向についてご紹介いたします。

従来のデジタルマーケティング手法が内包する課題

いま、デジタルマーケティングの手法が大きな変革のときを迎えています。とりわけ、「3rdパーティCookie」やApple iOSの「IDFA (Identifier for Advertisers)」などを生活者の行動分析やマーケティング施策の精緻化に役立ててきたマーケターは、その手法を一から見直す時期にさしかかっているといえます。

なぜ、このような状況が生まれたのかといえば、デジタルマーケティングにおいて3rdパーティCookieやIDFAの利用が進んだことで、生活者のプライベートデータが本人の知らないうちに収集され、第三者に提供されることが当たり前のように行われるようになり、それがインターネットにおけるプライバシー問題へと発展したためです（図1）。

図1：3rdパーティCookieとIDFAがインターネットにおけるプライバシー問題へ

ご存知の通り、3rdパーティCookieとは、Webサイトの運営主（1stパーティ）ではない第三者（3rdパーティ）が収集した当該サイトにおける生活者の行動記録（Cookie）を指しています。デジタルマーケティングにおいては、この3rdパーティCookieがWeb広告のパーソナライゼーションやアクセス解析などに活用されてきました。

3rdパーティによるCookieの収集（あるいは、3rdパーティへのCookieの提供）は、生活者の明確な同意がないままに行われることが多く、生活者から見て活用方法が不透明である上にコントロールすることもできないといった問題を内包しています。そのため、3rdパーティCookieを問題視する声が日増しに高まっています。

一方、IDFAはAppleが提供している広告識別子ですが、生活者のプライベートデータが本人の意図とは関係なく使用されてしまう可能性があると指摘されています。というのも、Apple製端末のネイティブアプリなどに向けて広告を掲載する場合、このIDを使って広告に対する端末利用者の反応やアプリ内の行動を計測したり、行動追跡型の広告を配信したりすることが可能になるからです。

3rdパーティCookie、IDFAにはもう頼れない──プライベートデータの徹底保護へと傾くプラットフォーマーと法規制

こうした3rdパーティCookieやIDFAに対する生活者の不安・不満を解消すべく、Appleや Google といった主要なプラットフォーマーは、プライベートデータの徹底保護の姿勢を鮮明にし、3rdパーティCookieやIDFAの使用に厳しい制限をかける方向に突き進んでいます。例えば、AppleのWebブラウザ「Safari」ではすでに3rdパーティCookieが事実上使用できなくなり、 Google のWebブラウザ「Chrome」でも3rdパーティCookieのサポートを打ち切る方向にあります。

CIAM-01_photo01_2320_1340_compliance-rule-law-and-regulation-graphic-interface-for-business-picture-id1245955623.jpg

IDFAに関しては、Appleでは端末利用者に対してIDFAを広告主などに使わせないようにする選択肢を提供してきましたが、2021年以降はネイティブアプリでのIDFA取得時に利用者の許可を明示的に得るオプトイン方式への転換が予定されています。これにより、多くの利用者が第三者によるIDFAの使用を許可せず、IDFAの使用が実質的に困難になると見られています。

企業によるプライベートデータの取得・使用を巡っては、EU（Europe Union：欧州連合）によるGDPR（General Data Protection Regulation：一般データ保護規則）の施行以降、世界的に規制が厳格化する方向にあります（図2）。

図2：個人のプライバシー保護の厳格化に向かう各国の法規制

各国における法規制はGDPRに準じて厳格化され、Cookieなど、デジタルプラットフォーム上での個人情報に関するデータを企業が取得・活用する場合には、本人の同意と使用目的の明確化が必須となっています。

2020年6月成立の日本の改正個人情報保護法は、GDPRほどの厳格さはないものの、罰則や義務付けが強化されているといった側面があります。例えば、企業が「データベース等不正提供罪」や「委員会による命令違反」を犯した場合の罰則金については、最高額が1億円（従来は50万円）に引き上げられています。また、①提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける、②個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする、といったルールも設けられています。①については、3rdパーティCookieによって収集されたデータが、提供先となる企業のデータと掛け合わせることで「個人を特定することが可能なデータ」となる場合には、企業に提供されるデータについては本人の同意が得られたものでなければならないと解釈できます。

重要性を増すクリーンな“1stパーティデータ”の収集と活用

このように、今後は生活者のプライベートデータを以前にも増して慎重に取り扱う必要が高まります。そして、3rdパーティCookieについてはほぼ使えない状況となり、IDFAを使う場合も個人の同意が必要となります。言い換えれば、生活者が使用を許可したかどうかが曖昧なプライベートデータを収集したり、生活者が同意していない目的のために活用したりするのは、コンプライアンスの面でも、レピュテーションリスクの面でも危うい行為であり、企業としては避けなければならないということです。

ゆえに、これから必要とされるのは、生活者のデータは生活者の利益にために使うという認識のもと、個々の企業が生活者にとってメリットのあるサービスを提供し、生活者の明確な同意のもとでプライベートデータを取得・活用することです。

3rdパーティCookieのようなデータがデジタルマーケティングの中で使われるようになる以前、企業は、個人情報保護の原理原則に則りながら、生活者の同意のもとで個々にプライベートデータを取得し、活用していました。その原点に立ち戻り、個々の企業で自ら正当な手続きを踏んで取得したクリーンな“1stパーティデータ”を収集・蓄積・活用していくことが、これからのデジタルマーケティングには必要不可欠になるといえます。