Criteoの危機を題材に『3rd party cookie制限問題』についてイチから学ぶ
ありがたいことに最近徐々に知名度が上がってきたのか、代理店さんから Smartly.io に問い合わせをいただくことが増えてきました。その中でよく出てくる文脈がこちら:
『2 年後 Criteo の予算が大きく減る可能性があるから、Criteo への配分比率が多いクライアントのダイナミック広告・リタゲ広告の予算を、Facebook など 1st party でやれる媒体に寄せていきたい』
※Smartly.io は Facebook 広告の運用ツール。FB・IG のダイナミック広告のクリエイティブの PDCA を回すために使いたい (クライアントに提案したい) という問い合わせを多くいただいています
これ、みなさん意味わかります?
これ言われて、ぼくは「あー、なるほどっすね!」って元気よく答えてはいたものの、人に説明できるほどきちんと理解できてるわけではない....ヤバイなと思って、あらためて勉強してみました。そして極力わかりやすくまとめてみました。
『3rd party cookie が使えなくなる』『ITP 問題』みたいなフレーズを、聞いたことあるけどちゃんと理解できていない方や、web 広告業界のキャリアが比較的浅い方に読んでいただければと思って書きました。IDFA がホットな今日に、あえて cookie の話です。笑
玄人筋の方は「ここ違うよ」「こういう論点もあるよね」などコメントや直メで優しくご指摘いただけると幸いです。
Criteo 終了の危機?
Criteo とはフランス・パリに本社を置くアドテク企業です。2005 年設立なので老舗と言ってもいいでしょう。
メインの事業領域は『リターゲティング広告』。これは、以前に広告主の web サイトにアクセスしたことのあるユーザーに、その人が閲覧した商品や、その人が購入しそうな別の商品を広告で配信するという仕組みです。『パーソナライズ』配信に強みを持つ『DSP』ですね。
その Criteo ですが、この数年でめちゃくちゃ株価を落としています。2017 年 5 月に 55 ドル近くあったのが、今年 2020 年の 3 月には 7 ドル (約 8 分の 1) まで落ちました。
聞いた話によると日本でも、オフィスを一部縮小していたり、2 年ぐらい連続で売上が前年比割れしているそうです。資本関係もあって元々優遇されていた Yahoo! 系広告面での優遇措置が弱くなってきた (Criteo 以外のダイナミック広告も多く出るようになってきた) って話も聞きます。やだマニアック。
その理由は端的にいうと、
✅リターゲティング広告を行うために欠かせない『データ利用』が Apple, Google というプラットフォームにより大幅に制限され
✅欧州やカリフォルニア政府によって『個人データ利用』に対する制限も厳しくなっている
というものです。
Apple による制限『ITP』と、その前提『cookie』について解説
(この章は、正しい細かい知識を身に付けたい方以外は飛ばしても問題ないです)
界隈にいる方は『ITP』という単語を見聞きしたことがあるんじゃないでしょうか。これちゃんと説明できますか?
ITP とは “Intelligent Tracking Prevention” (知的なトラッキング防止) の略で、Apple が Safari ブラウザに搭載しているトラッキング防止機能です。2017 年 9 月に 3rd party cookie の制限という形で適用が開始され、2020 年 6 月末現在では version 2.3 まで段々と制限が強化されてきています。
ちなみに Safari のシェアはグローバルで 20% 強。
なんですが、これ US だけに絞るとシェア 50% になるんですよね。(緑が Chrome)
やっぱ所得高い国になると Apple 製品のシェアが増え、ブラウザ Safari のシェアも大きくなるということなんでしょう。なおソースは statcounter です。
Cookie とは、web ページが web ブラウザに一時的な情報を保存できるための仕組みの 1 つです。おやつじゃないですよモグモグ
先ほどリターゲティングの説明で
> 以前に広告主の web サイトにアクセスしたことのあるユーザーに (中略) 広告を配信するという仕組みです
と書きました。ここで使われているのが cookie です。
あるユーザーが、ある ニュースサイトを訪れました。そのサイトにはディスプレイ広告枠があり、そのユーザーが昨日楽天市場で見た商品の広告が、その広告枠に表示されていました - よくある光景ですね。
さて、広告を配信している事業者 (アドネットワークや DSP) は、そのユーザーが楽天市場の特定の商品ページにアクセスしたことを、どうやって知ったのでしょうか?
すんごい端折って説明すると、ユーザーが楽天市場にアクセスしたときに、そのブラウザに対して cookie が発行されます。どの商品を見たのか、などのデータがその cookie に紐づいています。
cookie の中には、
①楽天が自社サービスの一貫として使用しているもの (例えば、購入・決済フローの途中でブラウザを閉じても、再度楽天にアクセスしたら途中までのデータが保存されてます、みたいな) もあれば
②リターゲティングやトラッキングを目的として広告サーバーから発行されるものもあります。(そのため、楽天のサイト内の色んなところに、多種多様な "広告タグ" が仕込まれている)
そこで発行された、後者の広告用 cookie が、ユーザーが別のサイト (例:ニュースサイト) を訪れた時に、そのサイト内にある広告のサーバーに対して『この人は、昨日楽天市場でこの商品ページを訪れた人やで!こんな商品レコメンドしてあげたらいいやん。絶対CVするから、この人』って教えてくれるわけです。
大丈夫かな。ついてこれてるかな。
で、楽天が楽天ドメイン内で発行して自分たちで使う cookie を『1st party cookie』、広告サーバーなど楽天以外のドメインが楽天サイト内で発行する cookie を『3rd party cookie』っていいます。
3rd party cookie が制限されるってことはつまり、ユーザーが広告枠が設置されているニュースサイトを訪れたときに、その広告事業者が『そのユーザーが過去にどのサイトを訪れたのか、どの商品ページを閲覧したのか』が分からなくなるってこと。リターゲティング広告終了のお知らせです。ちーん。
このへん詳しい説明は『今さら聞けない【Cookieとトラッキングの仕組み】について』あたりが個人的に分かりやすいなと思ったので、深掘りしたい方はぜひ読んでみてください。下にあるように図解も綺麗です。
それに対して Criteo がとった対策『CNAME』方式とは
Criteo はリターゲティング広告以外のメニューを開発しようと頑張っていますが、とはいえ主力製品を簡単に諦めるわけにはいかないので、色々と対策を講じています。
その対策の 1 つで、プライバシー的に問題あるんじゃねーの? って一部 (主にヨーロッパ) で話題になってるのがこの『CNAME』方式です。
『CNAME』方式とは、広告主にサブドメインを許可してもらうことで、3rd party cookie のかわりに 1st party cookie での計測を可能にする方法です。...これだけだと意味わかんないっすよね。
先の例だと、楽天を閲覧中のユーザーに対して、例えば Criteo が cookie を発行するときって、rakuten.co.jp ドメインではなく criteo.com ドメイン (かどうかは正確には知らんけど、Criteo の広告サーバーのドメイン) から発行されているんですよね。(3rd party の定義)
それに対して、Criteo が楽天から rakuten.co.jp 内にサブドメインをもらって (例えば criteo.rakuten.co.jp みたいな)、そこから cookie を発行すると、ブラウザ的には『これは 1st party cookie だね』って認識してしまうわけです。
こちらは Criteo ではなく AD EBiS ですが、図解。参照元: https://markezine.jp/article/detail/32052
ちなみに『CNAME』とは Canonical Name の略で、あるドメイン名を別のドメイン名にマップする DNS (Domain Name System) のリソースレコードの一種です。別にこれ自体が悪いものとかではありません。
じゃあ CNAME 方式の何がマズイのかというと、この方法は GDPR に違反している可能性が高いんですよね。ユーザーは (3rd party cookie と違って) これをオプトアウトすることが出来ません (1st party cookie を無効にしてしまうと、そのサイト自体をまともに利用出来なくなる)。
GDPR とは...って語り始めるとそれだけで 1 万字ぐらい必要になるので今回は端折ります。昔この note で軽く解説したことがあるので、よかったら読んでみてください。
簡単に言うと、ユーザーが『トラッキングされたくない YO』って思ったときにトラッキング『されない』権利を保証する、ユーザーが『私の情報消して欲しい』って言ったら消す対応をする、みたいなことをしないといけないわけです。データの持ち主であるユーザーが、自分のデータについての権利を保証されないといけない、という考え方。EU 圏内にいるユーザーを相手にサービスを提供する場合、対応が必須になります。
なので上記の CNAME 方式はそれに反しているわけです。
英語ですがこの記事とかでは「Criteo の推奨する DNS 方式は GDPR に違反している」と明言されています。
(注:CNAME 対応とは 自社サーバーの DNS 設定を行うことなので、CNAME 対応 ≒ DNS 設定 と思って読み進めてください。)
ヨーロッパの GDPR でアウトってことは、アメリカでも消費者プライバシー法 (CCPA = The California Consumer Privacy Act (2018) に違反する可能性が高いと思います。
日本でもまさに現在進行形で個人情報保護法の改正が議論されており、各 web プラットフォーマーに対して個人情報保護をより強く求める方向になってきているので、CNAME 方式はアウトと判断される可能性は十分にあるんじゃないかと思います。
ソースは下記記事。リクナビの個人情報問題などから端を発し、”政府の個人情報保護委員会は (2019 年 11 月) 25 日、個人情報保護法の次期改正に向けウェブブラウザーのログイン情報をためた「クッキー (Cookie)」などの利用でデータの提供先企業が個人情報を扱う場合について、新たな規律を検討すると公表した。同委員会は 2020 年 1 月からの通常国会に提出する法改正案の内容を年内に示す方針” とのこと。
Criteo から広告主・広告代理店に対するコミュニケーション
また英語ですが、この記事 に Criteo から広告主に対して送ったとされるメールのキャプチャが載っています。メールに至ってはこれフランス語?w
いわく『CNAME 方式に対応しないと、売上の 11,64%、オーディエンスの 20,82% を失うよ』的なことが書いてあるそうです。
日本では、広告代理店に対して資料で下記の通り説明しているそうです。今どうなってるかは分からないですが、知り合いが資料ちら見せしてくれました。
****資料より引用****
概要 - 外部要因の変更などによりお客様が受ける影響を最⼩限にする為 Criteo タグのバージョンアップを進めています。バージョンアップにあたりお客様での実装済みタグへの改修は発⽣しません。お客様で必要となる作業は以下の通りです。
✅サブドメインの委任
お客様のサブドメインを Criteo へ委任していただきます。お客様にて DNS 設定を更新し、既存ドメインの⼀部を Criteo に権限委譲していただきます。
✅DNS を設定する
1. Criteo へ委譲するサブドメイン登録⽤の 6 桁の英⽂字を Criteo からお客様へ提供 します。
2. お渡しした英⽂字のサブドメインを CNAME のリソースレコードとして dnsdelegation.io を登録してください。”
*****引用おわり******
これだけで広告主は、何が問題で、要求されているのがどういう変更で、どんな潜在的な (ユーザープライバシーに関わる) リスクを抱えているのか、理解できるんですかね?
ちなみに、ここから先はあくまで妄想なのですが、Criteo 自身も CNAME 方式のリスクについてはおそらく認識しているんじゃないかと思うんですよね。というのも、この “CNAME” で Criteo のサイトを検索した結果↓
リンク先の記事がどうやら消されているようで、サポートページのトップ (https://support.criteo.com/s/?language=en_US) に飛ばされてしまうんですよ。上記検索結果はキャッシュが残っているんでしょう。
まとめ
というわけで、本題の『なんで Criteo ヤバいの?』は
✅Apple による ITP や、Google Chrome の (2 年以内にくる) 3rd party cookie 制限によって、Criteo のメインビジネス『リターゲティング広告』が大打撃を受けそう (すでに受けてる)
✅対策として打ち出してきた CNAME (DNS 設定) 方式は、少なくとも GDPR には違反してる可能性が高そう
✅法改正の内容によっては、日本でもアウトになる可能性がありそう
✅CNAME 方式についての説明をサイトから消しちゃったのは、まずいこと書いてあったと自覚しているからなのだろうか
✅日本では詳しく報じられていないけど、代理店さんはちゃんとこの件に対して詳細を理解しているのだろうか。潜在的に、一緒に個人情報の問題を誘発している可能性があるのではないか
...というカンジです。
頑張って分かりやすく書いたつもりですが、伝わったかな。伝わってるといいな!
冒頭でも書いたけど、おかしい箇所・間違ってる箇所とかあったらぜひ指摘してください。
ちなみに余談ですが
隠さずにお話しますが、僕は Criteo の競合 RTB House の日本のセールス責任者 高橋くんとプライベートで仲良しです。
で、素朴な疑問として『これ RTB House もヤバいんちゃうん?』って思って、聞いてみました。それに対する回答がこちら。
「まず、RTB House は Safari に対して CNAME 方式などでは配信をしていないです。一部、掲載面側で独自にユーザーに許諾を行ってる場合のみ配信をしていますが、それ以外のケースについては 今回のように ITP 問題といたちごっこをするリソースよりも、根本的な解決をすることが重要と考えてるようです。RTB House のビジネスができたとき (2015 年前後) にはすでに ITP が市場で問題になっていたというのも大きいですね」
根本的な解決をするソリューションが果たして Criteo にせよ RTB House にせよ出てくるのかは不明なのですが、小手先でグレーゾーンな対応をするぐらいなら一旦諦める、ってのは賢い戦略なのかもしれません。
そして 3rd party cookie がやっぱりダメということになると、Google・Apple・Facebook・Amazon といった “自社サービスのトラフィックが多い” “1st party cookie でユーザー認証を行なっている” プレイヤーだけが、広告のターゲティングを行えるという未来もあるのかもしれません。
(だからこそ冒頭に書いたような問い合わせが増えているのでしょう)
最後に宣伝です
Facebook・Instagram でリターゲティング、とりわけダイナミック広告を行う場合、多くの広告主がクリエイティブに関して “商品画像をそのまま使う” か、せいぜい “価格などフィードの情報をちょっと付け加える” ぐらいしか行なっていません。
それに対して、Smartly.io を使うと、サイトの名前やロゴ・価格情報・商品名・フレームなど、見た目を豪華にする要素 & 商品についてより詳しい情報を、広告に追加することができます。
自由にデザインできて、変更も随時可能。商品が何百万とあろうとも、価格が 1 時間ごとに変わろうとも、瞬時に全プロダクトのクリエイティブを生成してキャンペーンに自動で反映させられます。
ご興味のある広告主・代理店の方はお気軽にこちらのページ (https://www.smartly.io/ja/materialrequest) から資料請求・お問い合わせくださいませ!