以前GO RIDE Newsでは

• ヨーロッパ向け越境ECサイトにおけるGDPR対応　   
   

• アメリカ向け越境でのCCPA対応

についてフィーチャーさせていただきました。

参考記事

ヨーロッパ進出するなら要注意！EU独自の 個人情報保護法（GDPR） について知ろう

あなたの企業は大丈夫？カリフォルニアの新州法CCPA

今回は、2022年6月公布の

改正電気通信事業法（2022年6月公布）

について確認していきたいと思います。

なぜなら電気通信事業法の改正法が2022年6月に公布され、公布から1年以内に施行されることになっておりここに事業者のサードパーティCookie 対応義務化が含まれるためです。（2023年6月施行予定）

そもそもなぜサードパーティCookie が規制されるのか？

テキストブック的になりますが総務省のページを確認してみましょう。

ということです。ものすごく簡単に噛み砕くと

利用者がしらないうちにデータが外部送信され広告を含む様々な目的に利用されている現状があるので、利用者に確認の機会を提供することを義務化する目的で制定されています。

そして2023年6月の施行後は下記の３つのいずれかに対応することが義務付けられました。

1. 所定の事項に関連する情報を事前にユーザーに通知・公表する
2. 事前にユーザーの同意を取得する（オプトイン）
3. 後から拒否できる仕組み（オプトアウト）を導入する

 ウェブの場合

アプリの場合

参照：総務省｜自分に関する情報が第三者に送信される場合、 自身で確認できるようになります。

複数の方法が選択可能な点でいくとルールとしてはCCPA に近いように見えます。

今回の改正においても、違反しても罰金などが課されることはなく、総務大臣による業務改善措置命令や違反者の氏名／名称などの公表にとどまるということで、これはCCPA,GDPR とは大きく異なるところです。

ストアを複数国で展開する場合、グローバル越境やEU向け越境　北米向け越境においてシステム選定、システム構成においてデータをどのように処理してGDPR compliant （準拠）である状態にするかということにおいてGO RIDEも問い合わせを受けることがあります。

GDPR, CCPA,  改正電気通信事業法比較表

こちらの調査では2022年5月時点でニューサイトのカテゴリでは77%程度が未対応だったということです。

罰則が厳しく制定されているわけではないということもあるのか、ニュースサイトのカテゴリにおいては、まだ大半のサイトが未対応の状況なようです。　

ヨーロッパではMeta に対して13億ドルの罰金、データ削除命令が出たこともあるということで、国による姿勢の違いが見て取れます。

https://digiday.jp/platforms/eu-regulators-fine-meta-1-3-billion-but-some-say-potential-data-losses-could-be-even-harsher/

先日、アイルランドのデータ保護委員会（以下、DPC）は、ヨーロッパとアメリカ間のデータ転送に関連したプライバシー保護法違反として、メタに対して13億ドル（1805億8560万円）の罰金を科すと発表した。さらに、メタが5カ月以内にEUと米国間のすべてのデータ転送を停止し、6カ月以内に変更を加えなければ、10年分のEUユーザーデータを削除することを強制するものとなっている。

今回の対象になるのは事業者ではなくサービスが対象になるというのがポイントになります

1. メールサービス、ダイレクトメッセージサービス、ウェブ会議システムなど
2. SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービスなど
3. オンライン検索サービス
4. 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス

参照元　https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

また、「電気通信事業参入マニュアル（追補版）ガイドブック」によると、以下の場合も該当するということです。

• 自社の商品やサービス自体がインターネット経由で提供される場合
• 個人が個人事業主として利益を上げる目的で、広告やアフィリエイトプログラムなどを利用し、各種情報提供サイトなどを運営する場合

SaaSやウェブメディアなども「各種情報のオンライン提供サービス」に該当すると思われます。   

ただし、自社の商品を販売するECサイトで、メディア的な要素が皆無で、オンラインでの情報の提供自体を事業としてサービス提供していない場合は、法律上は対象外となるようです。

しかしながら多くのEC事業者は消費者保護の姿勢を積極的にアピールする機会と捉えて

「事前同意取得」を選択する企業が多くなると思われます。

ECサイトでは一番オーソドックスな方法は　2番の事前にユーザの同意を取るですが、こちらはアプリ実装で対応可能です。

ファーストパーティークッキーは、訪問したサイトのドメインから発行されるクッキーでログイン情報やカート内の商品情報の保存などに利用されています。　 

ユーザ側としての利便性の面でのメリットは大きく、現時点でブロックされる懸念もありませんが、 

企業側の観点（EC運営、広告配信）からするとドメインを横断したトラッキングができない

というのが特徴になります。

それに対してサードパーティークッキーは　広告媒体側のドメインから提供されるCookie になります。

サードパーティークッキーの広告配信における利用目的は下記のとおりです。

1. リターゲティング広告
2. アトリビューション分析
3. ウェブ広告の効果計測
4. アフィリエイト広告

企業側からするとユーザがどのようにCVしているのか分析するのに役立つ存在でしたが、ユーザ側からすると勝手にCookie が付与され、情報を吸い出されるため、個人情報保護の観点から問題になってきています。

Chrome

Chrome においては2020年1月に2022年内にサードパーティークッキーの廃止を予告していましたが、2023年6月現在、2024年の後半から段階的に廃止ということで、方向性としては廃止を打ち出しているが、延期を繰り返してきました。

今後はサードパーティCookieを代替し、匿名性を保ちつつ広告主やパブリッシャーにとって機能するプライバシーサンドボックスに移行することが発表されている。

このプライバシーサンドボックスの評価とテストに予想より時間がかかっていしまったのが原因だそうです。

Safari

2017年9月にアップデートされたITP 1.0 から始まりサードパーティークッキーをブロックし始めます。

ITP とは　Intelligent Tracking Prevention の略でApple iOS 11 からブラウザサファリに搭載されているサイトトラッキング防止機能です。

• ITP 1.0 　　2017年9月

サードパーティーCookieを発行したあと24時間後に無効となります。また、有効・無効にかかわらず30日後に削除されます。

• ITP2.0   2018年9月

ITP2.0では、サードパーティーCookieの制限がさらに強化され、過去にそのサイトに訪れた事のないユーザでも、サイト内遷移がなく直帰した場合サードパーティーCookieは即時削除されます。

これにより、サイト内遷移がないユーザへのリターゲティングが実質不可能となりました。

• サードパーティークッキー完全ブロック　2020年3月

サードパーティーCookieは完全にブロックとなりました。 
さらに、サイトに7日間遷移がない場合、すぐに利用可能なストレージデータ(Session Storage 等）が削除となります。 
 

2024年にかけて、これらからサードパーティCookie は今後　最終章に向かう形となり、広告運用におけるCV分析は更に難しくなる方向です。

サードパーティCookie ターゲティングに頼らない広告運用とカスタマージャーニーの設計による、LP 広告改善についてお問い合わせはこちらまで

参考サイト

https://webtan.impress.co.jp/e/2023/05/25/44864

https://japan.zdnet.com/article/35204555/

https://webbu.jp/itp-update-6777