ファーストパーティーCookieとサードパーティーCookieの違いって結局、何？：今さら聞けないCookieの話

GoogleのサードパーティーCookie廃止の方針が二転三転し、デジタル広告業界は大きく混乱しました。そもそも問題の根本である「Cookie」とは何なのか。ファーストパーティーCookieとサードパーティーCookieの違い、これらがなぜ重要なのかを詳しく見ていきましょう。

[池田智幸，Criteo]

　Googleは2024年7月、Webブラウザ「Chrome」において計画していたサードパーティーCookieの完全廃止を取りやめ、ユーザーの同意の下にサードパーティーCookieのサポートを継続する予定であると発表しました。消費者のプライバシー保護に関わるこの問題は、デジタル広告業界のみならず大きな関心を呼んでいます。

　Googleの決定は現状維持を意味するものではなく、広告主はサードパーティーCookie依存からの脱却に向けて、引き続き多面的なアプローチを模索して行かなければなりません（関連記事：「2度あることは3度あった GoogleのサードパーティーCookie廃止再延期にアドテク各社がコメント」）。そこで、おさらいの意味で、あらためてCookieの果たす役割やオンライン体験にどのような影響を与えるのかについて、説明したいと思います。

ファーストパーティーCookieとサードパーティーCookie

　CookieとはWebサイトがユーザーのブラウザに保存する小さなデータ片のことです。Cookieはオンライン体験の重要な一部分を担っていますが、全てのCookieが同じように作られているわけではありません。

　ファーストパーティーCookieは、ユーザーが訪問しているWebサイトによって作成・コントロールされ、ユーザーの閲覧体験をよりスムーズでパーソナライズされたものにします。Cookieには、ログイン情報、言語設定、およびショッピングカートの中身が記憶され、Webサイトでの相互作用をより便利にします。

　ファーストパーティーCookieは、ユーザーがWebサイトを初めて訪問したときに作成されます。ブラウザはファーストパーティーCookieを自動的に受け取り、通常は小さなテキストファイルとしてユーザーのデバイスに保存します。これらのファイルには、ユーザーと閲覧セッションに関する固有のデータが含まれているため、Webサイトは再訪問したユーザーを認識し、思い出すことができます。

　この仕組みは、特定のサイトでのユーザー体験を向上させるためにあります。行きつけのカフェがお客さんのお気に入りのコーヒーを覚えているようなものだと考えてください。

　これに対してサードパーティーCookieは、ユーザーが訪問しているWebサイトとは別のWebサイトが発行するもので、Webサイトの舞台裏の代理人のような存在です。具体的には、ユーザーが広告ネットワークやソーシャルメディアのプラグインなどの第三者サービスが統合されているWebサイトに訪問したときに作成されます。ブラウザはファーストパーティーCookie同様に、ユーザーのデバイスにこれを保存します。例えば、あるサイトで靴を閲覧すると、別のサイトでその靴の広告が表示されることがあります。このようなクロスサイトトラッキングは、広告主がユーザーの閲覧習慣に基づいてターゲットを絞るのに役立ちます。しかし、プライバシーに関する懸念も生じるため、今では多くのブラウザがこの機能をデフォルトでブロックしています。

3つの観点から見た違い

　ファーストパーティーCookieとサードパーティーCookieの主な違いは、その起源と目的にあります。ファーストパーティーCookieが単一のWebサイトでの利用体験の向上を目的としている一方、サードパーティーCookieはターゲティング広告のために、複数のサイトにわたるユーザーの行動をトラッキングします。2種類のCookieの明確な違いについて、データ収集、プライバシー、パーソナライゼーションという3つの観点から、あらためて整理してみましょう。

1. データ収集と所有権

　ファーストパーティーCookieは、ユーザーが訪問しているWebサイトのWebサーバまたはそこで実行されているJavaScriptが設定します。データを収集する目的は、機能性の向上やユーザー体験のパーソナライズなどです。

　サードパーティーCookieは外部サーバ（アドテクベンダーのサーバなど）、またはユーザーが訪問しているサイトに埋め込まれたコードを経由して設定します。サードパーティーCookieは、複数のWebサイトがデータを収集し、サードパーティーの広告主や分析プロバイダーとのデータ共有を可能にします。

2. ユーザーのプライバシー

　ファーストパーティーCookieはCookieを作成したドメインのみがアクセスできるので、一般的にプライバシーの侵害性が低いと言えます。一方、サードパーティーCookieは、サードパーティーのサーバのコードを含む全てのサイトからアクセス可能です。複数のWebサイトにわたってユーザーをトラッキングできるため、プライバシーの懸念につながります。

　現在、多くのブラウザはサードパーティーCookieをデフォルトでブロックしています。また、GDPR（EU一般データ保護規則）やCCPA（カリフォルニア州消費者プライバシー法）などの規制では、WebサイトはサードパーティーCookieを使用していることを開示するとともに、無効にするオプションを提供することが義務付けられています。

3. パーソナライズされた広告

　ファーストパーティーCookieは、Cookieを所有するWebサイト上でのパーソナライズされたコンテンツやレコメンデーションを有効化することで、ユーザー体験およびエンゲージメントを向上させます。全てのブラウザでサポートされており、ユーザーはファーストパーティーCookieを自由にブロックまたは削除することができます。

　サードパーティーCookieは、今日の広告主がユーザーの閲覧行動に基づいてオープンなWeb全体にわたってターゲット広告を配信できるようにするための主要な仕組みです。しかし、先述したように、デフォルト設定でブロックされることが増えています。Chromeでの使用禁止は撤回されましたが、少なくともユーザーの同意なしにサードパーティーCookieを使用することはできなくなりつつあります。そうなれば、パーソナライズされた広告の有効性が影響を受ける可能性があります。

「セカンドパーティーCookie」とは？

　例えば、あなたの行きつけのコーヒーショップが、あなたが何を注文するか覚えているとします。この情報を（あなたの同意を得て）近くのパン屋と共有したら、それがセカンドパーティーデータということになります。つまり、セカンドパーティーCookieは、ある会社にとってのファーストパーティーCookieですが、信頼関係の下で別の会社と共有されます。

　ファーストパーティーCookieは、特定のサイトでのユーザー体験を向上させるためのものです。これに対してセカンドパーティーCookieは、信頼できるサイト同士でファーストパーティーデータの共有を行います。そしてサードパーティーCookieは、より広範なトラッキングとターゲティングに重点を置いているのです。

Cookie管理のベストプラクティス

　Webサイトの所有者にとって、明確で分かりやすいCookie同意の仕組みを導入することは、コンプライアンスと透明性のために重要です。これは、Cookieの目的を説明し、Cookieの受け入れまたは拒否を選択するための目立つバナーやポップアップの利用で実現できます。

　透明性とコントロールは信頼関係構築の鍵です。企業はユーザーがいつでもCookieの設定を確認し、管理できるようにする必要があります。専用のCookie設定ページまたはプリファレンスセンターを提供することは、ユーザーが自分のCookieの設定をカスタマイズできるようにする良い方法です。

　プライバシー規制にも準拠しなければなりません。規制を把握し、自社のCookieの慣行を該当する法令に合わせることは不可欠です。

　これらのベストプラクティスに従うことで、企業はパーソナライゼーションとプライバシーのバランスを取り、ユーザーの信頼を維持しつつ好ましいオンライン体験を提供できるようになります。

寄稿者紹介

池田智幸

いけだ・ともゆき　Criteo　パートナーシップ戦略責任者。オーバーチュアにてシニアマネージャーとして営業戦略、代理店戦略の立案をはじめ、モバイルセールスチーム、業種・業態に特化したコンサルティングおよび営業キャンペーンなどを指揮。その後、オットージャパンにてイーコマース事業のマネージメント、アドビシステムズのクロスメディア向けリッチコンテンツ配信サービス立ち上げを担当。Marin SoftwareとRubicon Projectで日本ビジネスの責任者を務め、Eyeotaでは事業開発ヘッドとして従事。Criteoに入社後サプライチームを統括したのち、現職のHead of Strategic Partnershipsとして他社との戦略的なパートナーシップや、識別子に関するプロジェクトをけん引。