サイトでサードパーティ Cookie を使用している場合は、Google でのサポート終了が近づいているため対応が必要です。テストを円滑に進めるため、Chrome では 2024 年 1 月 4 日より、ユーザーの 1% を対象にサードパーティ Cookie を制限しています。Chrome では、英国の競争・市場庁の競争に関する懸念事項をすべて解消したうえで、2024 年第 3 四半期からサードパーティ Cookie の制限をすべてのユーザーに拡大する予定です。
プライバシー サンドボックスの目標は、クロスサイト トラッキングを制限すると同時に、オンラインのコンテンツやサービスをすべてのユーザーが無料で利用し続けられるようにすることに重点を置いています。サードパーティ Cookie のサポート終了と削除は、この課題を包括的に解決するものです。サードパーティ Cookie は、ログイン、不正行為防止、広告、一般的なサードパーティの豊富なコンテンツをサイトに埋め込む機能など、重要な機能を可能にしますが、同時にクロスサイト トラッキングを可能にする重要な要素でもあります。
前回の大きなマイルストーンで、Google は、ID、広告、不正検出などのユースケースにおいて、プライバシー重視の代替手段として、さまざまな API をリリースしました。代替手段が確立されたため、サードパーティ Cookie の段階的な廃止を開始できます。
この Cookie に関するカウントダウン シリーズでは、サイトの準備を整えるために今すぐ行える対応とタイムラインについて説明します。
サードパーティ Cookie の 1% のサポート終了と Chrome 主導のテスト
privacysandbox.com のタイムラインでは、Chrome を利用したテストモードの一環として、2023 年第 4 四半期と 2024 年第 1 四半期に 2 つのマイルストーンが示されています。このテストは主に、プライバシー サンドボックスの関連性と測定 API をテストする組織を対象としていますが、その一環として、Chrome Stable ユーザーの 1% に対してサードパーティ Cookie を無効にします。
つまり、2024 年初頭から、Chrome で実施されるテストに積極的に参加しない場合でも、サードパーティ Cookie が無効になっている Chrome ユーザーの割合がサイト上で増加することが予想されます。このテスト期間は 2024 年第 3 四半期まで続きます。そして CMA と協議し、競争上の懸念がなければ、Google はすべての Chrome ユーザーに対してサードパーティ Cookie の無効化を開始する予定です。
サードパーティ Cookie の段階的廃止に備える
サードパーティ Cookie なしでのサイト運営に備えるため、このプロセスを以下の主要なステップに分けて説明します。
- サードパーティ Cookie の使用状況を監査する。
- 破損をテストする。
- 埋め込みなど、サイトごとにデータを保存するクロスサイト Cookie の場合は、CHIPS を使用した
Partitionedを検討してください。 - 関連性の高い少数のサイトのクロスサイト Cookie の場合は、関連ウェブサイト セットをご検討ください。
- サードパーティ Cookie のその他のユースケースについては、関連するウェブ API に移行してください。
1. サードパーティ Cookie の使用状況を監査する
サードパーティ Cookie は SameSite=None 値で識別できます。コードを検索して、SameSite 属性をこの値に設定しているインスタンスを見つける必要があります。2020 年頃に Cookie に SameSite=None を追加する変更を行った場合は、その変更を参考にするとよいでしょう。
Chrome DevTools
Chrome DevTools のネットワーク パネルには、リクエストで設定され、送信された Cookie が表示されます。[アプリケーション] パネルの [保存容量] に [Cookie] という見出しが表示されます。ページの読み込みの一部としてアクセスされた各サイトに保存されている Cookie をブラウジングできます。SameSite 列で並べ替えると、すべての None Cookie をグループ化できます。
![SameSite=None Cookie に関する警告が表示された DevTools の [問題] タブ。](https://privacysandbox.google.com/static/assets/images/blog/3pc-issues.png?hl=ja)
Chrome 118 以降、DevTools の [Issues] タブに、互換性を破る変更に関する問題「クロスサイト コンテキストで送信される Cookie は、Chrome の将来のバージョンではブロックされます」が表示されます。問題には、現在のページで影響を受ける可能性のある Cookie が一覧表示されます。
Privacy Sandbox Analysis Tool(PSAT)
また、ブラウジング セッション中の Cookie の使用状況を簡単に分析できる DevTools 拡張機能である プライバシー サンドボックス分析ツール(PSAT)も作成しました。これにより、Cookie とプライバシー サンドボックス機能のデバッグ パスウェイが提供され、プライバシー サンドボックス イニシアチブの詳細を確認できるアクセス ポイントが提供されます。
![SameSite=None Cookie に関する警告が表示された DevTools の [問題] タブ。](https://privacysandbox.google.com/static/assets/images/psat-example.png?hl=ja)
この拡張機能は、サードパーティ Cookie のサポート終了と新しいプライバシー保護の代替手段の導入に関連するシナリオの分析とデバッグに特化した機能を DevTools に追加します。
この拡張機能は Chrome ウェブストアからダウンロードできます。また、PSAT リポジトリとウィキにアクセスすることもできます。
Cookie を使用しているサードパーティを確認する
サードパーティによって設定された Cookie を特定した場合は、サードパーティ Cookie の段階的な廃止に関する計画があるかどうか、そのプロバイダに確認する必要があります。たとえば、利用中のライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要があるかもしれません。必要な変更をサードパーティが自ら行っている場合は何もしません。
2. 不具合をテストする
Chrome は、--test-third-party-cookie-phaseout コマンドライン フラグを使用して起動できます。また、Chrome 118 以降では、chrome://flags/#test-third-party-cookie-phaseout を有効にすることもできます。これにより、Chrome でサードパーティ Cookie がブロックされ、新しい機能と緩和策が有効になり、段階的な廃止後の状態を適切にシミュレートできます。
chrome://settings/cookies でサードパーティ Cookie をブロックしてブラウジングすることもできますが、このフラグを使用すると、新機能と更新された機能も有効になります。サードパーティ Cookie をブロックすることは、問題を検出するための有効な方法ですが、問題が修正されたことを検証するものではありません。
サイトのアクティブなテストスイートを維持している場合は、2 つのテストを並行して実行する必要があります。1 つは通常の設定で Chrome を実行し、もう 1 つは --test-third-party-cookie-phaseout フラグを使用して同じバージョンの Chrome を実行します。1 回目の実行では失敗しなかったテストが 2 回目の実行で失敗した場合は、サードパーティ Cookie の依存関係を調査する良い候補です。見つかった問題は必ず報告してください。
問題のある Cookie を特定し、そのユースケースを理解したら、次のオプションを確認して必要なソリューションを選択します。
3. CHIPS で Partitioned Cookie を使用する
サードパーティ Cookie がトップレベル サイトとの 1:1 埋め込みコンテキストで使用されている場合は、Cookies Having Independent Partitioned State(CHIPS)の一部として Partitioned 属性を使用して、サイトごとに個別の Cookie を使用してクロスサイト アクセスを許可することを検討してください。
CHIPS を実装するには、Set-Cookie ヘッダーに Partitioned 属性を追加します。
Partitioned を設定すると、サイトは、トップレベル サイトごとにパーティショニングされた個別の Cookie ジャーに Cookie を保存することをオプトインします。上記の例では、Cookie は store-finder.site から取得されます。store-finder.site は、ユーザーがお気に入りの店舗を保存できる店舗地図をホストしています。CHIPS を使用すると、brand-a.site が store-finder.site を埋め込む場合、fav_store Cookie の値は 123 になります。brand-b.site が store-finder.site も埋め込むと、fav_store Cookie の独自のパーティショニングされたインスタンスを設定して送信します(値は 456 など)。
つまり、埋め込みサービスは引き続き状態を保存できますが、クロスサイト トラッキングを可能にする共有クロスサイト ストレージはありません。
ユースケース: サードパーティのチャットの埋め込み、サードパーティの地図の埋め込み、サードパーティの支払いの埋め込み、サブリソース CDN ロード バランシング、ヘッドレス CMS プロバイダ、信頼できないユーザー コンテンツを配信するためのサンドボックス ドメイン、アクセス制御に Cookie を使用するサードパーティ CDN、リクエストで Cookie を必要とするサードパーティ API 呼び出し、パブリッシャーごとにスコープされた状態を持つ埋め込み広告。
4. Storage Access API と関連ウェブサイト セットを使用する
サードパーティ Cookie が少数の関連サイトにのみ使用されている場合は、関連ウェブサイト セット(RWS)を使用して、定義されたサイトのコンテキスト内でその Cookie のクロスサイト アクセスを許可することを検討してください。
RWS を実装するには、セットのサイトのグループを定義して送信する必要があります。サイトが有意に関連付けられていることを確認するため、有効なセットのポリシーでは、サイトを、相互に目に見える関係がある関連サイト(企業の製品のバリエーションなど)、サービス ドメイン(API、CDN など)、国コード ドメイン(*.uk、*.jp など)でグループ化する必要があります。
サイトは Storage Access API を使用して、requestStorageAccess() を使用してクロスサイト Cookie へのアクセスをリクエストするか、requestStorageAccessFor() を使用してアクセスを委任できます。サイトが同じセット内にある場合、ブラウザは自動的にアクセスを許可し、クロスサイト Cookie を使用できるようになります。
つまり、関連サイトのグループは、限定されたコンテキストでクロスサイト Cookie を引き続き使用できますが、クロスサイト トラッキングを可能にする方法で、関連性のないサイト間でサードパーティ Cookie を共有するリスクはありません。
ユースケース: アプリ固有のドメイン、ブランド固有のドメイン、国固有のドメイン、信頼できないユーザー コンテンツを提供するサンドボックス ドメイン、API のサービスドメイン、CDN。
5. 関連するウェブ API に移行する
CHIPS と RWS では、ユーザーのプライバシーを維持しながら特定の種類のクロスサイト Cookie アクセスが可能になりますが、サードパーティ Cookie のその他のユースケースは、プライバシー重視の代替手段に移行する必要があります。
プライバシー サンドボックスでは、サードパーティ Cookie を使用せずに、特定のユースケース向けにさまざまな専用 API が提供されています。
- Federated Credential Management(FedCM)を使用すると、ユーザーがサイトやサービスにログインできる ID 連携サービスを有効にできます。
- プライベート ステート トークンを使用すると、サイト間で限定的な匿名情報を交換することで、不正行為とスパムを防止できます。
- トピックを使用すると、インタレスト ベース広告とコンテンツのパーソナライズが可能になります。
- Protected Audience を使用すると、リマーケティングとカスタム オーディエンスを有効にできます。
- アトリビューション レポートでは、広告のインプレッションとコンバージョンを測定できます。
また、Chrome では、ユーザー操作による iframe での使用を目的とした Storage Access API(SAA)がサポートされています。SAA はすでに Edge、Firefox、Safari でサポートされています。Google は、ユーザーのプライバシーを維持しながら、クロスブラウザの互換性というメリットを備えた重要なクロスサイト機能を有効にすることで、適切なバランスを保っていると考えています。
Storage Access API を使用すると、ブラウザの権限プロンプトがユーザーに表示されます。最適なユーザー エクスペリエンスを提供するため、requestStorageAccess() を呼び出すサイトが埋め込みページを操作し、以前にトップレベルのコンテキストでサードパーティ サイトにアクセスしたことがある場合にのみ、ユーザーにプロンプトを表示します。許可が承認されると、そのサイトに対して 30 日間クロスサイト Cookie へのアクセスが許可されます。考えられるユースケースとしては、ソーシャル ネットワークのコメント ウィジェット、決済プロバイダ、定期購入している動画サービスなど、認証されたクロスサイト埋め込みがあります。
上記のオプションでカバーされないサードパーティ Cookie のユースケースがまだある場合は、問題を Google に報告し、クロスサイト トラッキングを可能にする機能に依存しない代替の実装があるかどうかを検討する必要があります。
エンタープライズ サポート
Enterprise で管理する Chrome には、一般的なウェブ利用に比べて常に独自の要件があります。Google では、Enterprise の管理者が Chrome ブラウザのサードパーティ Cookie のサポート終了を適切に管理できるようにしています。
ほとんどの Chrome テストと同様に、ほとんどの企業エンドユーザーは、1% のサードパーティ Cookie のサポート終了から自動的に除外されます。影響を受ける可能性のある一部のケースについては、企業の管理者は BlockThirdPartyCookies ポリシーを false に設定して、テスト前に管理対象ブラウザをオプトアウトし、このポリシーまたはサードパーティ Cookie に依存しないように必要な変更を加えるための時間を確保できます。詳しくは、Chrome Enterprise のリリースノートをご覧ください。
また、企業サイトにおけるサードパーティ Cookie の使用を特定するためのレポートとツールも提供していく予定です。Chrome の使用状況の指標では、企業向けブラウザの可視性が低くなります。そのため、企業は特に障害をテストし、問題を Google に報告することが重要です。
エンタープライズ向け SaaS 統合では、後述のサードパーティ デプリケーション トライアルを使用できます。
広告以外のユースケースでサードパーティ デプリケーション トライアルの追加時間をリクエストする
ウェブにおけるこれまでの多くのサポート終了と同様に、サイトに必要な変更を加えるために時間がかかるケースもあるかと思います。このようなプライバシー関連の変更については、ウェブを使用するユーザーの最善の利益とバランスを取ることも必要です。
Google は、クロスサイトのコンテキストで使用されるサイトやサービスが、一定期間サードパーティ Cookie に継続してアクセスできるように登録できるデプリケーション トライアルを提供することを予定しています。
詳細については計画の進展に応じてお知らせしますが、まずいくつかの基本原則をご紹介します。
- これは、サードパーティ Cookie のデプリケーション トライアルです。サードパーティの埋め込みコンテンツで、サードパーティ Cookie を一時的に引き続き使用できるようにオプトインできます。
- 登録には審査プロセスが必要となります。これは、非推奨トライアルが、重要なユーザー ジャーニーに大きな影響を与える機能にのみ使用されるようにするためです。登録はケースバイケースで審査されます。
- これは、CMA が説明しているように、2024 年の初めに予定されている広告テストに影響しません。そのため、広告のユースケースはサポート終了トライアルの対象外となります。
次のステップ: 詳細については、今月中にblink-dev メーリング リストにインテントを公開し、引き続きこちらのドキュメントを更新します。
重要なユーザー エクスペリエンスを維持する
クロスサイト Cookie は、四半世紀以上にわたってウェブの重要な要素でした。そのため、変更(特に破壊的変更)は、調整された段階的なアプローチを必要とする複雑なプロセスになります。追加の Cookie 属性と新しいプライバシー重視の API は、ほとんどのユースケースに対応していますが、サイトを使用するユーザーのエクスペリエンスが損なわれないようにする必要がある特定のシナリオもあります。
主に、認証フローや支払いフローです。最上位サイトがポップアップ ウィンドウを開くか、サードパーティのサイトにリダイレクトしてオペレーションを行い、最上位サイトに戻ります。この戻り経路または埋め込みコンテキストで Cookie を使用します。Google は、このようなシナリオを特定し、サードパーティ Cookie を一定期間許可する一時的なヒューリスティクス セットを提供することで、サイトが必要な変更を実施するための猶予期間を長くすることを予定しています。
次のステップ: 詳細については、今月中に blink-dev メーリング リストに公開する予定です。また、ドキュメントも引き続き更新します。
サードパーティ Cookie に関する問題の報告とサポートの利用
Google は、サードパーティ Cookie なしでサイトに不具合が発生するさまざまなシナリオを把握し、サードパーティ Cookie への依存からサイトを移行できるよう、ガイダンス、ツール、機能を提供したいと考えています。サードパーティ Cookie を無効にしたことでサイトや利用しているサービスに不具合が生じた場合は、goo.gle/report-3pc-broken の不具合トラッカーに報告できます。
サポート終了プロセスと Chrome の計画についてご不明な点がございましたら、デベロッパー サポート リポジトリで「サードパーティ Cookie のサポートの終了」タグを使用して新しい問題を報告してください。