サードパーティ Cookie の廃止に備える

サイトでサードパーティ Cookie を使用している場合は、Google のサポート終了が近づいているため、適切な対応が必要です。テストを円滑に進めるため、Chrome では 2024 年 1 月 4 日よりユーザーの 1% についてサードパーティ Cookie の使用を制限しています。Chrome では、英国の競争・市場庁が提示する競争上の懸念事項をすべて解消したうえで、2024 年第 3 四半期から全ユーザーにサードパーティ Cookie の制限を拡大する予定です。

プライバシー サンドボックスの目標は、クロスサイト トラッキングを減らすと同時に、オンラインのコンテンツやサービスに誰もが自由にアクセスできるようにする機能を実現することです。サードパーティ Cookie のサポート終了と削除は、この課題を克服することです。ログイン、不正防止、広告のほか、充実したサードパーティ コンテンツをサイトに埋め込むための重要な機能を実現できるだけでなく、クロスサイト トラッキングを実現する重要な要素でもあります。

以前の大きなマイルストーンでは、ID、広告、不正行為の検出などのユースケース向けに、現在の現状に代わるプライバシー重視の代替となるさまざまな API をリリースしました。代替機能があれば、サードパーティ Cookie の段階的な廃止を進めることができます。

この Cookie カウントダウン シリーズでは、タイムラインと、サイトを確実に準備するためのすぐに実施できる行動について解説します。

サードパーティ Cookie の 1% のサポート終了と Chrome を利用したテスト

privacysandbox.com のタイムラインでは、Chrome を利用したテストモードの一環として、2023 年第 4 四半期と 2024 年第 1 四半期に予定されている 2 つのマイルストーンを確認できます。このテストは主に、プライバシー サンドボックスの関連性と測定に関する API をテストする組織を対象としています。ただし、その一環として Chrome Stable ユーザーの 1% について、サードパーティ Cookie を無効にします。

つまり、Chrome を利用したテストに積極的に参加していない場合でも、2024 年の初めから、サードパーティ Cookie を無効にしている Chrome ユーザーがサイト上で増加することが見込まれます。このテスト期間は 2024 年第 3 四半期まで続き、CMA と協議したうえで、競合に関する懸念事項を解決することを条件に、すべての Chrome ユーザーに対してサードパーティ Cookie の無効化を開始する予定です。

サードパーティ Cookie を使わずにサイトを実行できるようにするために、このプロセスの主なステップを以下に詳しく説明します。

  1. サードパーティ Cookie の使用状況を監査する
  2. 破損がないかテストします
  3. 埋め込みなど、サイトごとにデータを保存するクロスサイト Cookie の場合は、CHIPS を使用した Partitioned の使用を検討してください。
  4. 意味のある形でリンクされた少人数のサイトのグループにおけるクロスサイト Cookie の場合は、関連ウェブサイト セットの使用を検討してください。
  5. その他のサードパーティ Cookie のユースケースでは、関連するウェブ API に移行します。

1. サードパーティ Cookie の使用状況を監査する

サードパーティ Cookie は、SameSite=None 値で識別できます。コードを検索して、SameSite 属性をこの値に設定したインスタンスを探します。2020 年頃に Cookie に SameSite=None を追加した場合、その変更は出発点として適しています。

Chrome DevTools

Chrome DevTools の [Network] パネルには、リクエストで設定され、送信された Cookie が表示されます。[Application] パネルの [Storage] の下に [Cookies] という見出しがあります。ページの読み込みの一環としてアクセスした各サイトに保存されている Cookie を参照できます。SameSite 列を基準に並べ替えると、None 個の Cookie をすべてグループ化できます。

DevTools の [Issues] タブに、SameSite=None Cookie に関する警告が表示される。

Chrome 118 以降では、DevTools の [問題] タブに、「クロスサイトのコンテキストで送信された Cookie は、今後の Chrome バージョンではブロックされます」という互換性を破る変更の問題が表示されます。この問題には、現在のページで影響を受けた可能性のある Cookie が表示されます。

Privacy Sandbox Analysis Tool(PSAT)

また、Privacy Sandbox Analysis Tool(PSAT)も開発しました。これは DevTools の拡張機能で、ブラウジング セッション中の Cookie 使用の分析を容易にします。これにより、Cookie とプライバシー サンドボックス機能のデバッグ経路と、プライバシー サンドボックス イニシアチブについて詳しく学ぶためのアクセス ポイントが提供されます。

DevTools の [Issues] タブに、SameSite=None Cookie に関する警告が表示される。

この拡張機能は、サードパーティ Cookie のサポート終了と新しいプライバシー保護の代替手段の導入に関連するシナリオを分析、デバッグするための特別な機能で DevTools を補完します。

この拡張機能は Chrome ウェブストアからダウンロードするか、PSAT リポジトリと Wiki からアクセスできます。

Cookie を使用してサードパーティを確認する

サードパーティによって設定された Cookie を特定している場合は、そのプロバイダにサードパーティ Cookie の段階的な廃止計画があるかどうかを確認する必要があります。たとえば、使用しているライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要があるかもしれません。必要な変更をサードパーティが自ら処理している場合は何もしない、などです。

2. 破損をテストする

Chrome を起動するには、--test-third-party-cookie-phaseout コマンドライン フラグを使用します。Chrome 118 以降では、chrome://flags/#test-third-party-cookie-phaseout を有効にします。これにより、Chrome でサードパーティ Cookie がブロックされ、新機能と緩和策が有効になり、段階的廃止後の状態を最適にシミュレートできます。

chrome://settings/cookies でブロックされたサードパーティ Cookie を使用してブラウジングすることもできますが、このフラグを指定することで、新機能や更新された機能も有効になります。サードパーティ Cookie をブロックすることは、問題を検出するための優れたアプローチですが、必ずしも修正したことを検証するものではありません。

サイト用のアクティブなテストスイートを維持している場合は、2 つの並列実行を行う必要があります。1 つは通常の設定の Chrome で、もう 1 つは --test-third-party-cookie-phaseout フラグで起動した同じバージョンの Chrome で実行します。2 回目のテストで不合格になり、最初の実行で不合格だった場合は、サードパーティ Cookie の依存関係を調査する有力な候補です。問題が見つかった場合は、必ずご報告ください

問題のある Cookie を特定し、そのユースケースを理解したら、以下のオプションを使用して必要なソリューションを選択できます。

3. CHIPS で Partitioned Cookie を使用する

サードパーティ Cookie がトップレベル サイトとの 1 対 1 の埋め込みコンテキストで使用されている場合は、Cookie Having Independent Partitioned State(CHIPS)の一部として Partitioned 属性を使用し、サイトごとに個別の Cookie によるクロスサイト アクセスを許可することをおすすめします。

Partitioned 属性を使用すると、最上位サイトごとに個別の fav_store Cookie を設定できます。

CHIPS を実装するには、Set-Cookie ヘッダーに Partitioned 属性を追加します。

Partitioned を設定すると、トップレベル サイトで分割された別の Cookie 瓶に Cookie が保存されるように指定します。上記の例では、Cookie は store-finder.site から取得されます。この Cookie は、ユーザーがお気に入りの店舗を保存できる店舗の地図をホストしています。CHIPS を使用すると、brand-a.sitestore-finder.site を埋め込む場合、fav_store Cookie の値は 123 になります。brand-b.sitestore-finder.site も埋め込むと、fav_store Cookie の独自のパーティション分割インスタンス(値 456 など)を設定して送信します。

つまり、埋め込みサービスでは状態を保存することはできますが、クロスサイト トラッキングを可能にする共有クロスサイト ストレージはありません。

考えられるユースケース: サードパーティのチャット埋め込み、サードパーティのマップ埋め込み、サードパーティ支払いの埋め込み、サブリソース CDN ロード バランシング、ヘッドレス CMS プロバイダ、信頼できないユーザー コンテンツを配信するためのサンドボックス ドメイン、アクセス制御に Cookie を使用するサードパーティの CDN、リクエストで Cookie を必要とするサードパーティ API 呼び出し、パブリッシャーごとに状態をスコープとする埋め込み広告。

CHIPS の詳細

4. Storage Access API と関連ウェブサイト セットを使用する

サードパーティ Cookie を少数の関連サイトでのみ使用する場合は、関連ウェブサイト セット(RWS)を使用して、定義済みのサイト内でその Cookie によるクロスサイト アクセスを許可することをご検討ください。

RWS を実装するには、対象となるサイトのグループを定義して送信する必要があります。サイト間に意味のある関連性を持たせるため、有効なセットのポリシーは、相互関係が目に見える関連サイト(例: 会社の商品やサービスのバリエーション)、サービス ドメイン(API、CDN など)、国別コード ドメイン(*.uk、*.jp など)でサイトをグループ化することが義務付けられています。

関連ウェブサイト セットでは、宣言されたサイトのコンテキスト内での Cookie へのアクセスが許可されますが、他のサードパーティ サイトへのアクセスは許可されません。

サイトは Storage Access API を使用して、requestStorageAccess() を使用してクロスサイト Cookie アクセスをリクエストするか、requestStorageAccessFor() を使用してアクセスを委任できます。複数のサイトが同じセットに含まれている場合、ブラウザは自動的にアクセスを許可し、クロスサイト Cookie を使用できます。

つまり、関連サイトのグループは、限られた状況下でクロスサイト Cookie を使用できますが、無関係なサイト間で、クロスサイト トラッキングを可能にする方法でサードパーティ Cookie を共有するリスクを回避する必要があります。

考えられるユースケース: アプリ固有のドメイン、ブランド固有のドメイン、国固有のドメイン、信頼できないユーザー コンテンツを配信するサンドボックス ドメイン、API のサービス ドメイン、CDN。

RWS の詳細

5. 関連するウェブ API に移行する

CHIPS と RWS は、ユーザーのプライバシーを維持しながら特定のタイプのクロスサイト Cookie アクセスを可能にしますが、サードパーティ Cookie の他のユースケースは、プライバシーを重視した代替手段に移行する必要があります。

プライバシー サンドボックスは、特定のユースケース向けに、サードパーティ Cookie を必要としないさまざまな専用 API を提供しています。

  • Federated Credential Management(FedCM)は、フェデレーション ID サービスを有効にして、ユーザーがサイトやサービスにログインできるようにします。
  • プライベート ステート トークンは、個人を特定できない限定的な情報をサイト間で交換することで、不正防止とスパム対策を可能にします。
  • Topics を使用すると、インタレスト ベース広告やコンテンツのパーソナライズが可能になります。
  • Protected Audience により、リマーケティング オーディエンスとカスタム オーディエンスを利用できます。
  • アトリビューション レポートでは、広告のインプレッションとコンバージョンを測定できます。

また、Chrome では Storage Access API(SAA)がサポートされています。ユーザー操作を伴う iframe で使用できます。SAA はすでに Edge、Firefox、Safari でサポートされています。Google では、ユーザーのプライバシーを維持しながら、重要なクロスサイト機能を実現しながら、ブラウザをまたいだ互換性というメリットを享受するために、バランスのとれた方法であると考えています。

Storage Access API は、ユーザーに対してブラウザの権限を求めるプロンプトを表示します。最適なユーザー エクスペリエンスを提供するため、requestStorageAccess() を呼び出すサイトが埋め込みページを操作したことがあり、以前にトップレベル コンテキストでサードパーティ サイトにアクセスした場合にのみ、ユーザーにメッセージが表示されるようになっています。付与に成功すると、そのサイトのクロスサイト Cookie アクセスが 30 日間許可されます。考えられるユースケースは、ソーシャル ネットワークのコメント ウィジェット、決済機関、有料会員登録動画サービスなど、認証済みのクロスサイト埋め込みです。

上記以外の方法でサードパーティ Cookie を使用するケースがある場合は、Google までご報告のうえ、クロスサイト トラッキングを可能にする機能に依存しない別の実装方法がないかご検討ください。

エンタープライズ サポート

企業で管理する Chrome には、一般的なウェブ利用と比べて常に独自の要件があります。Google では、企業の管理者がブラウザでのサードパーティ Cookie のサポート終了を適切に管理できるようにしていきます。

大部分の Chrome テストと同様に、ほとんどの企業エンドユーザーは、サードパーティ Cookie の 1% のサポート終了から自動的に除外されます。影響を受ける可能性のある一部のケースについては、企業の管理者が BlockThirdPartyCookies ポリシーfalse に設定して、テスト前に管理対象ブラウザをオプトアウトし、このポリシーまたはサードパーティ Cookie に依存しないように必要な変更を加えるための時間を確保できます。詳しくは、Chrome Enterprise リリースノートをご覧ください。

また、企業サイトでのサードパーティ Cookie の使用状況を特定するための詳細なレポートとツールを提供する予定です。Chrome の使用状況の指標では、企業ブラウザに関する可視性が低下しています。そのため、企業にとっては不具合がないかテストし、Google に問題を報告することが特に重要です。

エンタープライズ向け SaaS 統合では、以下で説明するサードパーティのデプリケーション トライアルを利用できます。

広告以外のユースケースで、サードパーティのデプリケーション トライアルで延長をリクエストする

ウェブにおけるこれまでの多くのサポート終了と同様に、サイトに必要な変更を加えるために、さらに時間が必要になるケースがあることも理解しています。このようなプライバシー関連の変化についても、ウェブを利用するユーザーの最善の利益とバランスを取る必要があります。

Google では、クロスサイトのコンテキストで使用されるサイトまたはサービスに対して、一定期間サードパーティ Cookie への継続的なアクセスを登録するためのデプリケーション トライアルを提供する予定です。

計画の進展に応じて詳細をお知らせいたしますが、まずは以下の重要な原則から始めます。

  • これはサードパーティのデプリケーション トライアルとなり、サードパーティの埋め込みでオプトインして一時的にサードパーティ Cookie の使用を継続できるようになります。
  • 登録には審査プロセスが必要であり、デプリケーション トライアルがクリティカル ユーザー ジャーニーに大きな影響を与える機能でのみ使用されるようにし、登録はケースバイケースで検討されます。
  • CMA が定めるとおり、2024 年初頭に予定されている広告テストの妨げとなることはありません。そのため、広告のユースケースはデプリケーション トライアルの対象になりません。

次のステップ: インテントblink-dev メーリング リストに公開します。詳細は今月中にお知らせします。引き続きここでドキュメントを更新します。

重要なユーザー エクスペリエンスを維持する

クロスサイト Cookie は、四半世紀にわたってウェブの重要な役割を担ってきました。このため、あらゆる変更、特に破壊的変更、調整された段階的なアプローチを必要とする複雑なプロセスが発生します。追加の Cookie 属性と新しいプライバシーに重点を置いた API は、ユースケースの大部分を占めていますが、それらのサイトを使用するユーザーのエクスペリエンスを損なわないようにしたい特定のシナリオもあります。

これは主に認証フローまたは支払いフローで、トップレベル・サイトがポップアップ・ウィンドウを開くか、オペレーションのためにサードパーティ・サイトにリダイレクトしてからトップレベル・サイトに戻るというもので、リターン・ジャーニーまたは埋め込みコンテキストで Cookie を使用します。Google は、このような状況を特定するための一時的なヒューリスティック セットを提供し、サードパーティ Cookie を一定期間許可して、サイトが必要な変更を実装するためのより長い期間を設ける予定です。

次のステップ: 今月中に詳細を記載したインテントを blink-dev メーリング リストに公開します。引き続きここでドキュメントを更新します。

サードパーティ Cookie に関する問題の報告とサポート

Google は、サードパーティ Cookie なしでサイトが動作しなくなるさまざまなシナリオを捉え、サードパーティ Cookie への依存からサイトを移行するためのガイダンス、ツール、機能を提供したいと考えています。サードパーティ Cookie を無効にしたことでサイトや利用しているサービスに障害が発生した場合は、障害トラッカー(goo.gle/report-3pc-broken)に報告できます。

サポート終了のプロセスと Chrome の計画について不明な点がある場合は、「サードパーティ Cookie のサポート終了」を使用して新しい問題を報告してください。タグを参照してください。