サードパーティ Cookie の廃止に備える

サイトでサードパーティ Cookie を使用している場合は、Google でのサポート終了が近づいているため対応が必要です。テストを円滑に進められるよう、Chrome では 2024 年 1 月 4 日より 1% のユーザーに対してサードパーティ Cookie が制限されています。Chrome では、英国の競争・市場庁が定める競合に関する懸念への対処を条件として、2024 年第 3 四半期からすべてのユーザーに対してサードパーティ Cookie の制限を拡大する予定です。

プライバシー サンドボックスの目標は、クロスサイト トラッキングを減らすと同時に、オンラインのコンテンツやサービスに誰でも自由にアクセスできるようにすることです。サードパーティ Cookie の廃止と削除は、この課題をカプセル化します。ログイン、不正行為からの保護、広告、そして一般的にサイトにリッチなサードパーティ コンテンツを埋め込む機能といった重要な機能を実現すると同時に、クロスサイト トラッキングの重要な要素でもあります。

以前の主要なマイルストーンでは、ID、広告、不正行為の検出などのユースケースにおいて、プライバシーを重視した、昨今の状況に代わるさまざまな API をリリースしました。代替手段を導入し、サードパーティ Cookie の段階的廃止に着手できるようになりました。

この Cookie カウントダウン シリーズでは、サイトの準備が整っていることを確認するために、タイムラインと、すぐに取るべき行動についてご説明します。

1%: サードパーティ Cookie のサポート終了と Chrome を利用したテスト

privacysandbox.com のタイムラインには、Chrome を利用したテストモードの一部として、2023 年第 4 四半期と 2024 年第 1 四半期の 2 つのマイルストーンが表示されます。このテストは主に、プライバシー サンドボックスの関連性と測定に関する API をテストしている組織を対象にしていますが、その一環として Stable 版 Chrome ユーザーの 1% に対してサードパーティ Cookie を無効にします。

サードパーティ Cookie のサポート終了のスケジュールChrome を活用したテストの一環として、2023 年第 4 四半期にラベルモードによるオプトイン テストを開始し、2024 年 1 月 4 日より 1% の 3PC 非推奨モードによるオプトイン テストを開始しました。どちらも、サードパーティ Cookie の段階的廃止が開始される 2024 年第 3 四半期中旬まで続きます。

つまり、2024 年初頭より、Chrome を利用したテストに積極的に参加していない場合でも、サードパーティ Cookie が無効になっている Chrome ユーザーの割合がサイトで増加することが予想されます。このテスト期間は 2024 年第 3 四半期まで続き、CMA との協議の後、競合に関する懸念を解消したうえで、すべての Chrome ユーザーに対してサードパーティ Cookie を無効にする予定です。

サードパーティ Cookie なしでサイトを運用する準備が整っていることを確認するため、このプロセスを主要なステップに分けて下記に詳しく説明します。

  1. サードパーティ Cookie の使用状況を監査します。
  2. 破損のテスト
  3. 埋め込みのようにサイトごとにデータを保存するクロスサイト Cookie の場合は、CHIPS を使用した Partitioned の使用を検討してください。
  4. 少量の有意義にリンクされたサイト間でクロスサイト Cookie を使用する場合は、関連ウェブサイト セットの使用を検討してください。
  5. その他のサードパーティ Cookie のユースケースについては、関連するウェブ API に移行してください。

1. サードパーティ Cookie の使用状況を監査する

サードパーティ Cookie は SameSite=None 値で識別できます。コードを検索して、SameSite 属性をこの値に設定されているインスタンスを探してください。2020 年頃に Cookie に SameSite=None を追加していた場合は、その変更が出発点として適している可能性があります。

Chrome DevTools

Chrome DevTools の [Network] パネルに、リクエスト時に設定および送信された Cookie が表示されています。[アプリケーション] パネルの [ストレージ] には [Cookie] という見出しがあります。ページの読み込み時にアクセスされたサイトごとに保存された Cookie を参照できます。[SameSite] 列で並べ替えると、None 個の Cookie をすべてグループ化できます。

SameSite=None の Cookie に関する警告が表示されている DevTools の [Issues] タブ。

Chrome 118 以降、DevTools の [問題] タブに、「クロスサイト コンテキストで送信された Cookie は今後の Chrome バージョンではブロックされる」という互換性を破る変更の問題が表示されます。問題には、現在のページの影響を受ける可能性のある Cookie が一覧表示されます。

プライバシー サンドボックス分析ツール(PSAT)

また、ブラウジング セッション中の Cookie 使用状況の分析を容易にする DevTools の拡張機能として、プライバシー サンドボックス分析ツール(PSAT)も開発されました。Cookie とプライバシー サンドボックス機能のデバッグ経路と、プライバシー サンドボックスの取り組みに関する詳細を確認できるアクセス ポイントが提供されます。

SameSite=None の Cookie に関する警告が表示されている DevTools の [Issues] タブ。

この拡張機能は、サードパーティ Cookie のサポート終了や新しいプライバシー保護の代替手段の導入に関連するシナリオの分析とデバッグに特化した機能で、DevTools を補完します。

この拡張機能は Chrome ウェブストアからダウンロードするか、PSAT リポジトリと Wiki からアクセスできます。

Cookie を使用してサードパーティを確認する

サードパーティによって設定された Cookie を特定した場合は、そのプロバイダにサードパーティ Cookie の段階的廃止計画があるかどうか確認してください。たとえば、使用しているライブラリのバージョンをアップグレードしたり、サービスの設定オプションを変更したり、サードパーティが必要な変更を自身で処理している場合は何もしない、といったことが必要になる場合もあります。

2. 破損のテスト

Chrome を起動するには、--test-third-party-cookie-phaseout コマンドライン フラグを使用するか、Chrome 118 から chrome://flags/#test-third-party-cookie-phaseout を有効にします。これにより、Chrome でサードパーティ Cookie がブロックされ、新しい機能と緩和策が有効になり、段階的廃止後の状態を適切にシミュレートできるようになります。

chrome://settings/cookies でブロックされたサードパーティ Cookie を使用してブラウジングすることもできますが、このフラグによって新機能と更新された機能も必ず有効になることに注意してください。サードパーティ Cookie をブロックすることは、問題を検出するための優れた方法ですが、必ずしも問題が解決されたとは限りません。

サイトでアクティブなテストスイートを管理している場合は、2 つのテストを並行して実行する必要があります。1 つは通常の設定で Chrome で実行し、もう 1 つは --test-third-party-cookie-phaseout フラグを指定して起動した同じバージョンの Chrome で実行します。最初の実行ではなく 2 回目のテストで不合格となった場合は、サードパーティ Cookie の依存関係を調査するとよいでしょう。見つかった問題を報告します。

問題のある Cookie を特定し、そのユースケースを把握したら、以下のオプションを使用して必要なソリューションを選択できます。

3. CHIPS で Partitioned Cookie を使用する

サードパーティ Cookie が、トップレベル サイトと 1 対 1 の埋め込みコンテキストで使用されている場合は、Cookies Perform Independent Partitioned State(CHIPS)の一環として Partitioned 属性を使用して、サイトごとに使用される個別の Cookie によるクロスサイト アクセスを許可することをおすすめします。

Partitioned 属性を使用すると、トップレベル サイトごとに個別の fav_store Cookie を設定できます。

CHIPS を実装するには、Set-Cookie ヘッダーに Partitioned 属性を追加します。

Partitioned を設定すると、サイトはトップレベル サイトごとに分割された別の Cookie 瓶に Cookie を保存することをオプトインします。上記の例では、この Cookie は store-finder.site から生成されます。この Cookie は、ユーザーがお気に入りの店舗を保存できるようにする店舗のマップをホストします。CHIPS を使用して brand-a.sitestore-finder.site を埋め込むとき、fav_store Cookie の値は 123 になります。次に、brand-b.sitestore-finder.site も埋め込むと、fav_store Cookie の独自のパーティション分割インスタンス(値 456 など)を設定して送信します。

つまり、埋め込みサービスは引き続き状態を保存できますが、クロスサイト トラッキングを可能にする共有クロスサイト ストレージがありません。

考えられるユースケース: サードパーティのチャット埋め込み、サードパーティの地図埋め込み、サードパーティの支払い埋め込み、サブリソースの CDN ロード バランシング、ヘッドレス CMS プロバイダ、信頼できないユーザー コンテンツを配信するためのサンドボックス ドメイン、アクセス制御に Cookie を使用するサードパーティの CDN、リクエスト時に Cookie を必要とするサードパーティの API 呼び出し、パブリッシャーごとにステータスが設定された埋め込み広告。

CHIPS の詳細

4. Storage Access API と関連ウェブサイト セットを使用する

サードパーティ Cookie が少数の関連サイトでのみ使用されている場合は、関連ウェブサイト セット(RWS)を使用して、定義されたサイトにおいてその Cookie のクロスサイト アクセスを許可することをご検討ください。

RWS を実装するには、一連のサイトのグループを定義して送信する必要があります。サイト間の関連性を有意に高めるために、有効なグループに関するポリシーでは、相互の関連性が視覚的に関係している関連サイト(例: 会社の商品やサービスのバリエーション)、サービス ドメイン(例: API、CDN)、国コード ドメイン(例: *.uk、*.jp)別にサイトをグループ化する必要があります。

関連ウェブサイト セットでは、宣言されたサイト内では Cookie へのアクセスが許可されますが、他のサードパーティ サイトではアクセスできません。

サイトは Storage Access API を使用して、requestStorageAccess() を使用してクロスサイト Cookie アクセスをリクエストするか、requestStorageAccessFor() を使用してアクセスを委任できます。同じセット内に複数のサイトがある場合、ブラウザは自動的にアクセスを許可し、クロスサイト Cookie を使用可能にします。

つまり、関連サイトのグループは限られた状況でのみクロスサイト Cookie を使用できますが、クロスサイト トラッキングが可能な方法で無関係なサイト間でサードパーティ Cookie を共有するリスクはありません。

考えられるユースケース: アプリ固有のドメイン、ブランド固有のドメイン、国固有のドメイン、信頼できないユーザー コンテンツを配信するサンドボックス ドメイン、API のサービス ドメイン、CDN。

RWS の詳細

5. 関連するウェブ API への移行

CHIPS と RWS は、ユーザーのプライバシーを維持しながら特定の種類のクロスサイト Cookie アクセスを可能にしますが、サードパーティ Cookie の他のユースケースは、プライバシーを重視した代替手段に移行する必要があります。

プライバシー サンドボックスは、サードパーティ Cookie を必要とせずに、特定のユースケースに特化した幅広い API を提供しています。

  • Federated Credential Management(FedCM)は、フェデレーション ID サービスを有効にし、ユーザーがサイトやサービスにログインできるようにします。
  • プライベート ステート トークンは、個人を特定できない限定された情報をサイト間で交換することで、不正行為対策とスパム対策を可能にします。
  • Topics により、インタレスト ベース広告やコンテンツのパーソナライズが可能になります。
  • Protected Audience は、リマーケティングとカスタム オーディエンスを可能にします。
  • Attribution Reporting では、広告のインプレッションとコンバージョンを測定できます。

また、Chrome では、ユーザーが操作する iframe で Storage Access API(SAA)を使用できます。SAA は Edge、Firefox、Safari ですでにサポートされています。Google は、ユーザーのプライバシーを維持しながら、ブラウザ間の互換性というメリットを活かして重要なクロスサイト機能を有効にするという、適切なバランスを保っていると考えています。

Storage Access API は、ブラウザの権限プロンプトをユーザーに表示します。最適なユーザー エクスペリエンスを提供するため、requestStorageAccess() を呼び出すサイトが埋め込みページを操作したことがあり、以前にトップレベル コンテキストでサードパーティのサイトにアクセスしたことがある場合にのみ、ユーザーにメッセージを表示します。付与に成功すると、そのサイトのクロスサイト Cookie アクセスが 30 日間許可されます。考えられるユースケースは、ソーシャル ネットワークのコメント ウィジェット、決済機関、定期購読動画サービスなど、認証済みのクロスサイト埋め込みです。

これらのオプションの対象外となるサードパーティ Cookie のユースケースが引き続きある場合は、Google に問題を報告し、クロスサイト トラッキングを可能にする機能に依存しない代替の実装がないかご検討ください。

エンタープライズ サポート

企業が管理する Chrome には、一般的なウェブ利用に比べると常に固有の要件があります。Google では、企業の管理者がブラウザでサードパーティ Cookie のサポート終了を適切に管理できるようにしています。

Chrome のほとんどのテストと同様に、企業エンドユーザーの大半はサードパーティ Cookie の 1% のサポート終了から自動的に除外されます。影響を受ける可能性のある一部のケースについては、企業の管理者は BlockThirdPartyCookies ポリシーfalse に設定して、テストに先立って管理対象ブラウザをオプトアウトし、このポリシーまたはサードパーティ Cookie に依存しないように必要な変更を加えるための時間を確保できます。詳しくは、Chrome Enterprise リリースノートをご覧ください。

また、企業サイトでのサードパーティ Cookie の使用を特定するのに役立つレポートとツールの提供も予定しています。Chrome の使用状況に関する指標から企業ブラウザはあまり確認できません。そのため、企業にとっては、破損がないかテストし、Google に問題を報告することが特に重要です。

エンタープライズ向け SaaS 統合では、以下で説明するサードパーティの非推奨トライアルを利用できます。

広告以外のユースケースについては、サードパーティの非推奨トライアルによる延長をリクエストする

ウェブでのこれまでの多くのサポートの終了と同様に、サイトが必要な変更を行うためにさらに時間が必要になるケースがあることも承知しております。このようなプライバシー関連の変更については、ウェブを利用するユーザーの最善の利益とのバランスを取る必要もあります。

Google では、サポート終了トライアルの提供を予定しています。これは、クロスサイト コンテキストで使用されるサイトやサービスで、サードパーティ Cookie への継続的なアクセスを期間限定で登録できるようにするものです。

計画の進捗に応じて詳細をお知らせしますが、まずは以下の基本原則から説明します。

  • これはサードパーティのサポート終了トライアルであり、サードパーティの埋め込みがサードパーティ Cookie の使用を一時的に継続できるようにします。
  • 登録には審査プロセスが必要となり、クリティカル ユーザー ジャーニーに大きく影響する機能にのみ非推奨トライアルが使用されるようになります。登録はケースバイケースで検討されます。
  • CMA が定めるとおり、2024 年初頭に予定されている広告テストの妨げにはなりません。そのため、広告のユースケースは非推奨トライアルの対象となりません。

次のステップ: 詳細は今月中に blink-dev メーリング リストインテントを公開します。ドキュメントは引き続き更新される予定です。

重要なユーザー エクスペリエンスの維持

クロスサイト Cookie は、四半世紀以上にわたってウェブの重要な要素でした。これにより、あらゆる変更、特に破壊的変更は、調整された段階的なアプローチを必要とする複雑なプロセスになります。追加の Cookie 属性とプライバシーを重視した新しい API はユースケースの大半を占めていますが、そうしたサイトを使用するユーザーのエクスペリエンスを損なわないようにする必要がある特定のシナリオもあります。

主に認証または支払いのフローです。トップレベル サイトがポップアップ ウィンドウを開くか、操作のためにサードパーティ サイトにリダイレクトしてから、トップレベル サイトに戻り、そのリターン ジャーニーまたは埋め込みコンテキストで Cookie を使用します。このようなシナリオを特定するための一時的なヒューリスティックを提供し、サードパーティ Cookie を一定期間許可して、サイトが必要な変更を実装するための期間を長くする予定です。

次のステップ: 今月中に、blink-dev メーリング リストにインテントを公開し、詳細についてお知らせします。ドキュメントは引き続きこちらで更新されます。

サードパーティ Cookie に関する問題の報告とサポート

Google では、サイトがサードパーティ Cookie なしで機能しないさまざまなシナリオを捉え、サードパーティ Cookie に依存しないサイトを移行するためのガイダンス、ツール、機能を提供したいと考えています。サードパーティ Cookie が無効にされた状態でサイトやサービスが停止している場合は、goo.gle/report-3pc-broken から破損トラッカーに送信してください。

サポート終了のプロセスと Chrome の計画についてご不明な点がある場合は、デベロッパー サポート リポジトリで「サードパーティ Cookie のサポート終了」タグを使用して新しい問題を報告してください。