Developer Relations for Privacy Sandbox.
サードパーティ Cookie の廃止時期が近付いています。あなたのサイトでその種の Cookie を使用している場合は、廃止対策を講じる時期が来ています。Chrome は、テストを容易に行えるように、2024 年第 1 四半期からユーザーの 1% に対してサードパーティ Cookie を無効にし、2024 年第 3 四半期からはユーザーの 100% に対して無効にすることを予定しています。対象ユーザー 100% への増加は、英国の競争市場庁(CMA)による現在未対応の競争上の懸念に対する対処が条件となっています。
プライバシーサンドボックスの目標は、オンラインコンテンツやサービスに誰でも自由にアクセスできる機能を有効にしながら、サイト間のトラッキングを削減することです。サードパーティ Cookie にはサインイン、不正行為防止、広告などの重要な機能を有効にし、全体としてリッチなサードパーティコンテンツをサイトに埋め込む機能を有効にする機能が備わっている一方で、クロスサイトトラッキングの鍵となる要素でもあるため、その廃止と削除は簡単にはいきません。
前回のメジャーマイルストーンでは、アイデンティティ、広告、不正行為検出などのユースケースに対して、現在の一般的な手法に代わるプライバシーを重視した代替手段を提供するさまざまな API をリリースしました。代替手段が整ったので、サードパーティ Cookie の段階的な廃止に進むことができます。
この Cookie カウントダウンに関する連載記事では、タイムラインと、サイトの準備が整っていることを確認するためにすぐに実行できる対応について説明します。
1% のサードパーティ Cookie の廃止と Chrome によるテスト
privacysandbox.com のタイムラインによると、 Chrome によるテストモードの一環として、2023 年第 4 四半期と 2024 年第 1 四半期に 2 つのマイルストーンが近づいていることがわかります。このテストは主にプライバシーサンドボックス広告関連 API をテストする組織を対象としていますが、その一環として、Chrome 安定版ユーザーの 1% に対してサードパーティ Cookie を無効にする予定です。
これは、2024 年の初めから、Chrome が実施するテストに積極的に参加していない場合でもサードパーティ Cookie が無効になっているサイトの Chrome ユーザーの割合が増加することが予想されることを意味します。このテスト期間は 2024 年第 3 四半期まで継続され、CMA との協議の後、競争上の懸念が解決されることを条件として、すべての Chrome ユーザーに対してサードパーティ Cookie の無効化を開始する予定です。
サードパーティ Cookie の段階的廃止に備える
サードパーティ Cookie を使わずにサイトを実行する準備が整っていることを確認するために、プロセスを次の主要な手順に分割し、詳細を以下に示します。
- サードパーティ Cookie の使用状況を監査します。
- 破損状況についてテストします。
- 埋め込みなど、サイトごとにデータを保存するクロスサイト Cookie の場合は、CHIPS による
Partitionedの使用を検討してください。 - 有意義にリンクされたサイトの小さなグループをまたぐクロスサイト Cookie については、Related Website Sets の使用を検討してください。
- 他のサードパーティ Cookie のユースケースについては、関連する Web API に移行してください。
1. サードパーティ Cookie の使用状況を監査する
サードパーティ Cookie は、SameSite=None 値によって識別できます。コードを検索して、 SameSite 属性をこの値に設定しているインスタンスを探す必要があります。以前 2020 年頃に Cookie に SameSite=None を追加する変更を加えた場合は、それらの変更から探すのが良いかもしれません。
Chrome DevTools の [ネットワーク] パネルには、リクエストに応じて設定して送信された Cookie が表示されます。[アプリケーション] パネルで、[ストレージ] の下に表示される [Cookie] という見出しでは、ページ読み込みの一部としてアクセスされたサイトごとに保存された Cookie を参照できます。SameSite 列で並べ替えて、すべての None Cookie をグループ化できます。
![DevTools の [イシュー] タブに SameSite=None Cookie の警告が表示されている。](https://wd.imgix.net/image/VWw0b3pM7jdugTkwI6Y81n6f5Yc2/xYNwixxMkPfMmlMmKY4L.png?auto=format)
Chrome 118 以降、 DevTools の [イシュー] タブには、「クロスサイト コンテキストで送信された Cookie は将来の Chrome バージョンでブロックされます」という重大な変更に関するイシューが表示されます。このイシューには、現在のページで影響を受ける可能性のある Cookie がリストされています。
現在、ブラウジング セッション中の Cookie の使用状況の分析を容易にする DevTools 拡張機能を構築中です。これにより、Cookie のデバッグ経路と、プライバシーサンドボックスイニシアチブのさまざまな側面を学習して理解するためのアクセスポイントを備えたプライバシーサンドボックス機能が提供されます。
2023 年 11 月のプレビュー公開にご注目ください!
サードパーティによって設定された Cookie を特定したら、それらのプロバイダーにサードパーティ Cookie を段階的に廃止する計画があるかどうかを確認する必要があります。たとえば、使用しているライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要がある可能性もあり、必要な変更をサードパーティが独自に処理しているのであれば何もアクションをとる必要がない可能性もあります。
2. 破損状況をテストする
--test-third-party-cookie-phaseout コマンドラインフラグを使用して Chrome を起動するか、Chrome 118 を起動し、chrome://flags/#test-third-party-cookie-phaseout を有効にします。これにより、段階的廃止後の状態を最適にシミュレーションするために、Chrome でのサードパーティ Cookie のブロックと新しい機能と緩和策の有効が保証されます。
chrome://settings/cookies 経由でサードパーティ Cookie をブロックしてブラウジングを試すこともできますが、このフラグを使用すると、新しい機能や更新された機能も有効になることに注意してください。サードパーティ Cookie をブロックすることはイシューを検出するための良い方法ではありますが、必ずしもイシューが修正されたかどうかを検証できるわけではありません。
サイト用のアクティブなテストスイートを維持する場合は、2 つの並行実行を行う必要があります。1 つは通常の設定の Chrome で実行し、もう 1 つは --test-third-party-cookie-phaseout フラグで起動した同じバージョンの Chrome で実行します。最初の実行ではなく 2 回目の実行でテストが失敗した場合は、サードパーティ Cookie の依存関係を調査するのに適した候補となります。必ず見つかったイシューを報告してください。
イシューのある Cookie を特定し、そのユースケースを理解すれば、以降のオプションを試して必要な解決策を選択することができます。
3. CHIPS による Partitioned Cookie を使用する
サードパーティ Cookie がトップレベル サイトとの 1 対 1 の埋め込みコンテキストで使用されている場合は、Partitioned 属性を Cookies Have Independent Partitioned State(CHIPS)の一部として使用して、サイトごとに使用される個別の Cookie でクロスサイト アクセスを許可することを検討してください。
CHIPS を実装するには、Set-Cookie ヘッダーに Partitioned 属性を追加します。
Partitioned を設定すると、サイトはトップレベル サイトによってパーティション化された別の Cookie ジャーに Cookie を保存することを選択します。上の例では、Cookie は、ユーザーがお気に入りの店舗を保存できる店舗マップをホストする store-finder.site から取得されます。CHIPS を使用することにより、 brand-a.site が store-finder.site を埋め込むと、fav_store Cookie の値が 123 になります。その後で brand-b.site も store-finder.site を埋め込むと、fav_store Cookie の独自のパーティション化されたインスタンス(値 456 など)を設定して送信します。
これは、組み込みサービスは引き続き状態を保存できても、クロスサイトトラッキングを可能にする共有クロスサイトストレージは備わっていないことを意味します。
可能性のあるユースケース: サードパーティチャットの埋め込み、サードパーティマップの埋め込み、サードパーティペイメントの埋め込み、サブリソース CDN によるロードバランシング、ヘッドレス CMS プロバイダー、信頼できないユーザー コンテンツを提供するためのサンドボックスドメイン、アクセス制御に Cookie を使用するサードパーティ CDN、リクエスト時に Cookie を必要とするサードパーティ API 呼び出し、サイト運営者ごとに範囲指定された状態付き埋め込み広告。
4. Related Website Sets を使用する
サードパーティ Cookie が少数の関連サイトでのみ使用されている場合は、Related Website Sets(RWS)を使用して、定義されたサイトのコンテキスト内でその Cookie のクロスサイト アクセスを許可することを検討できます。
RWS を実装するには、セットのサイトのグループを定義して送信する必要があります。サイトが意味のある関連性を持っていることを確認するために、有効なセットのポリシーでは、それらのサイトを、目に見える相互関係を持つ関連サイト(企業が提供する製品のバリエーションなど)、サービスドメイン(API、CDN など)、または国コードドメイン(.uk、.jp など)の項目ごとにグループ化する必要があります。
サイトはストレージ アクセス API を使って、requestStorageAccess() でクロスサイト Cookie アクセスを要求するか、requestStorageAccessFor()でアクセスを委譲できます。サイトが同じセット内にある場合、ブラウザは自動的にアクセスを許可し、クロスサイト Cookie が利用可能になります。
つまり、関連サイトのグループは限られたコンテキストでクロスサイト Cookie を使用し続けられますが、クロスサイトトラッキングを可能にする方法によって無関係なサイト間でサードパーティ Cookie を共有するというリスクがありません。
可能性のあるユースケース: アプリ固有のドメイン、ブランド固有のドメイン、国固有のドメイン、信頼できないユーザーコンテンツを提供するためのサンドボックスドメイン、API のサービスドメイン、CDN。
5. 関連する Web API に移行する
CHIPS と RWS は、ユーザーのプライバシーを維持しながら、特定のタイプのクロスサイト Cookie アクセスを可能にしますが、サードパーティ Cookie の他のユースケースにおいては、プライバシーを重視した代替手段に移行する必要があります。
プライバシー サンドボックスは、特定のユースケース向けに、サードパーティ Cookie を必要としない専用の API を多数提供しています。
- Federated Credential Management(FedCM): 連携された ID サービスを有効にし、ユーザーがサイトやサービスにサインインできるようにします。
- プライベートステートトークン: 限定された非個人情報をサイト間で交換することにより、不正防止とスパム防止を可能にします。
- Topics: インタレスト広告とコンテンツのパーソナライズを可能にします。
- Protected Audience: リマーケティングとカスタムオーディエンスを有効にします。
- アトリビューション レポート: 広告のインプレッションとコンバージョンを測定できます。
さらに、Chrome は、ユーザー操作を伴う iframe で使用するための Storage Access API(SAA)をサポートしています。SAA は、Edge、Firefox、Safari ですでにサポートされています。ユーザーのプライバシーを維持しながら、ブラウザ間の互換性のメリットにより重要なクロスサイト機能を有効にすることが適切なバランスであると私たちは考えています。
Storage Access API では、ブラウザの許可を求めるプロンプトがユーザーに表示されることに注意してください。最適なユーザー エクスペリエンスを提供できるよう、このプロンプトは requestStorageAccess() を呼び出すサイトが埋め込みページと対話し、さらに以前にトップレベル コンテキストでサードパーティサイトにアクセスしたことがある場合にのみ表示されるようになっています。正しく許可されると、そのサイトに対するクロスサイト Cookie アクセスが 30 日間有効になります。可能性のあるユースケースは、ソーシャルネットワークのコメントウィジェット、ペイメントプロバイダー、登録済みの動画サービスなど、認証されたクロスサイトの埋め込みです。
これらのオプションで対応されないサードパーティ Cookie のユースケースがまだある場合は、イシューを当社に報告し、クロスサイトトラッキングを可能にする機能に依存しない代替実装があるかどうかを検討することをお勧めします。
エンタープライズサポート
企業が管理する Chrome には、一般的なウェブの使用と比較して常に固有の要件があるため、エンタープライズ管理者がブラウザでのサードパーティ Cookie の廃止を適切に制御できるようにする予定です。
大半の Chrome 実験と同様に、ほとんどのエンタープライズエンドユーザーは 1% のサードパーティ Cookie の廃止から自動的に除外されます。影響を受ける可能性のある少数の企業については、エンタープライズ管理者が BlockThirdPartyCookies ポリシーを false に設定して、実験に先立って管理対象ブラウザをオプトアウトし、このポリシーやサードパーティ Cookie に依存しないように必要な変更を加える時間を確保することができます。詳細については、Chrome Enterprise リリースノートをご覧ください。
また、企業サイトでのサードパーティ Cookie の使用状況を特定するのに役立つレポートとツールをさらに提供する予定です。Chrome の使用状況に関するメトリクスにおいては、エンタープライズブラウザに関する認識があまりなされていません。つまり、企業が破損状況をテストし、イシューを報告することが特に重要となっています。
エンタープライズ SaaS 統合では、以下で説明するサードパーティデプリケーショントライアルを使用できるようになります。
広告以外のユースケースおけるサードパーティデプリケーショントライアルの期間延長リクエスト
ウェブ上のこれまでの多くの廃止と同様に、サイトが必要な変更を加えるにはさらに時間がかかる場合があることを理解しています。このようなプライバシー関連の変更に関しては、ウェブを使用する人々の最善の利益とのバランスも考慮する必要があります。
そこで、クロスサイトコンテキストで使用されるサイトまたはサービスが限定期間でサードパーティ Cookie に継続的にアクセスできるようにするための登録を行えるデプリケーショントライアルを提供する予定です。
デプリケーショントライアルは、機能を一時的に再度有効にすることを可能にするオリジントライアルの一種です。
計画が進むにつれて詳細を共有していきますが、まずは要点をいくつか説明します。
- これは、サードパーティデプリケーショントライアルであり、サードパーティの埋め込みが一時的にサードパーティ Cookie の使用を継続することにオプトインできます。
- 登録には、重要なユーザージャーニーに大きな影響を与える機能にのみデプリケーショントライアルが使用されることを保証するためのレビュープロセスが要求され、登録はケースバイケースで検討されます。
- CMA が説明しているように、2024 年の初めに計画されている広告テストに干渉することはありません。したがって、広告のユースケースはデプリケーショントライアルの対象にはなりません。
次のステップ: 今月、さらなる詳細を記載した Intent を blink-devメーリングリストに公開し、ここでドキュメントの更新を続けます。
重要なユーザーエクスペリエンスの維持
クロスサイト Cookie は、四半世紀以上にわたってウェブの重要な部分を占めてきました。そのため、あらゆる変更、特に破壊的な変更は、調整された段階的なアプローチを必要とする複雑なプロセスとなっています。追加の Cookie 属性とプライバシーに重点を置いた新しい API がユースケースの大部分を占めていますが、これらのサイトを使用するユーザーのエクスペリエンスを損なわないようにする必要がある特定のシナリオもあります。
これらは主に、トップレベルサイトがポップアップウィンドウを開くか、操作のためにサードパーティサイトにリダイレクトし、その後トップレベル サイトに戻り、その戻る過程において、または埋め込みのコンテキストで Cookie を使用する認証またはペイメントフローです。私たちはこれらのシナリオを識別するための一時的なヒューリスティック セットを提供し、サイトが限られた時間内でサードパーティ Cookie を許可して必要な変更を実装するための期間を延長する予定です。
次のステップ: 今月、さらなる詳細を記載した Intent を blink-dev メーリングリストに公開し、ここでドキュメントの更新を続けます。
サードパーティ Cookie に関するイシューの報告とサポート
サードパーティ Cookie を使用しない場合にサイトが機能しなくなるさまざまなシナリオを確実に把握し、サイトがサードパーティ Cookie の依存関係から移行できるようにするためのガイダンス、ツール、機能を確実に提供したいと考えています。サードパーティ Cookie が無効になっているためにサイトまたはサービスが機能しなくなっている場合は、破損トラッカー(goo.gle/report-3pc-broken)に報告してください。
廃止プロセスと Chrome の計画についてのご質問がございましたら、開発者サポートリポジトリで 「third-party cookies deprecation」タグを使用して新しいイシューを作成してください。
公開日 • 記事を改善する