近年、プライバシー保護の観点からCookieに関する規制が頻繁に議論されています。本文書では、広告に限らずWeb上で広範囲にわたって利用されているCookieを、非技術者の方にも分かりやすく解説します。

Cookieは快適なWeb体験に必要なもの

Cookieとは、Webブラウザでサイトを閲覧した際に、データを一時的に保管しておく仕組みのことです。CookieはWeb上のさまざまなシーンで利用されており、例えば特定のページを訪れた履歴や入力情報を記憶することで、快適なWeb体験を実現していますが、特にWeb広告においては非常に重要な技術です。ユーザーひとりひとりに適切な広告を配信するためには、Web上での行動履歴や入力情報が大いに役に立つからです。

ファーストパーティCookieとサードパーティCookie

Cookieには大きく分けて『ファーストパーティCookie』と『サードパーティCookie』の二種類があります。 両者の違いはとてもシンプルで、Cookieの発行元がどこのドメインかで分類されます。

例として、https://example.co.jpというWebサイトを考えてみます。このWebサイトでは、2つのCookieが付与されます。

1つ目のCookie(Aとします)は、ログインに必要な情報を記録するCookieです。一度ログインすると次回から情報入力の手間を減らすように、Cookie-Aにユーザー情報を記録していきます。

もうひとつのCookie（Bとします）は、広告に関するCookieです。このWebサイトにはバナー広告が表示されていて、バナー広告はアドサーバー（adserver.co.jp）から配信されています。この広告から、広告を見たユーザーであるという情報が記録されたCookieが付与されます。

このCookie-AとCookie-Bの２つのCookieには、発行元に違いがあります。 Cookie-Aは、ユーザーが実際に訪れているドメイン（example.co.jp）から発行されています。ユーザーが訪問しているウェブサイト自身によって発行されるCookieを『ファーストパーティCookie』と呼びます。
一方でCookie-Bは、ユーザーが今訪問していないドメイン（adserver.co.jp）から発行されています。このような、ユーザーが訪問したドメインと異なるドメインから発行されるCookieを『サードパーティ Cookie』と呼びます。

広告を含めたWebマーケティングでは、ユーザー行動のトラッキングによって、様々なデータを収集し、戦略的に活用しています。Webサイト上でのユーザーの行動を含めたデータを記録・保存できるCookieは、トラッキングにおいて非常に重要な役割を果たしています。

ファーストパーティCookieとサードパーティCookieの用途

ユーザーが訪問したWebサイトと同一のドメインから発行されるファーストパーティCookieは、そのWebサイト内でのユーザー情報を収集するために使われます。他方、異なるドメインから発行されるサードパーティCookieは、複数のドメインを横断してユーザーの行動データを収集するために使われます。

ちなみに、ドメインがサブドメイン（sub1.example.co.jpのように、独自ドメインであるexample.comの前にドットで文字列が追加されているもの）の場合は、ファーストパーティCookieでも横断的にトラッキングが可能です。

Cookieの有効期限

Cookieには有効期限を設定することで、ブラウザを閉じたり、PCの電源を切ったりしても、Cookieが消えないようにすることができます。有効期限を設定しない場合、そのCookieはセッション単位でのみ有効となり、ブラウザを閉じると削除されます。

例えば、ログイン情報を保存したい場合、セッション単位でCookieを発行すると、ブラウザを閉じるとログイン情報が消えてしまうため、有効期限を設定する必要があります。 有効期限を設定した場合は、ブラウザを閉じたり、PCの電源を切ったりしても、有効期限が過ぎるまでCookieは消えません。このため、初回訪問者にのみCookieを付与したり、ユーザーがサイトを訪れるたびに有効期限を更新したりすることが可能です。 ただし、Cookieはブラウザ毎に発行されるため、同一ユーザーであっても異なるデバイスやブラウザからアクセスすると、新たなユーザーと認識され、新たなCookieが発行されることには注意が必要です。

サードパーティCookieとプライバシー保護

ドメインを横断してユーザーの動きを追跡できるサードパーティCookieは、WebマーケティングやWeb広告では、パフォーマンスの計測において非常に重要な役割を果たしています。裏を返せば、ユーザーが認識していないうちに、Web上でのさまざまな行動データを収集される可能性もあります。そのため近年では、プライバシー保護の観点からサードパーティCookieについては規制が厳しくなってきています。米アップル社のブラウザ『Safari』におけるITP（Intelligent Tracking Prevention）をはじめ、Google ChromeでもサードパーティCookie完全廃止に向けた取り組みが報じられています。

こうした流れを受け、ファーストパーティCookieや統計的分析手法、CDP（顧客データプラットフォーム）の活用などの、サードパーティCookieを利用せずにユーザーを特定する手段が模索されています。しかし、日本国内ではまだまだ多くのシーンでサードパーティCookieに依存しているのが現状です。Cookieという技術の長所・短所を把握し、ユーザーのプライバシーを尊重しながら広告・マーケティングに取り組むことが求められています。