※以下の記事は2020年10月14日時点の情報を元に記載しています。今後アップルなどの方針に変更がある可能性もあります。
ITPはIntelligent Tracking Preventionの頭文字。日本語訳すると「賢く(怪しい)計測を防ぐ」みたいな意味でしょうか。Googleアナリティクスも最近は怪しい対象になってしまったため影響を受けています。
IDFAはIDがメインの単語でIdentifier for Advertisersの頭文字。ITPとは全く別物です。直訳すれば「広告のための識別子」であり、アプリの広告計測に使われている端末固有のIDのことです。
この2つについては後ほど詳しくご説明します。
結論から言うと影響があります。具体的には下記です。
iOSのデータを見る時は注意が必要ということですね。
こちらは結論から言うとありません。 ただしGoogleアナリティクスではなく、アプリ計測を考えた広義のアクセス解析という意味では影響があります。
結論をまずお伝えしましたが、それだけでは、ITPやIDFAについて木を見て森を見ずです。 ITPやIDFA制限は主にiPhone(他Apple製品)に関する制限なのですが、いまいちよくわからないという人も多いと思います。
そこで、今回は特にアクセス解析分野の観点から、ITP及びIDFAの利用制限とはいったい何なのか?その影響を簡単にまとめてみたいと思います。
2017年6月5日のWWDCにおいてAppleが発表したITP(Intelligent Tracking Prevention) は、サードパーティCookieのサイト超えトラッキングを防止する機能で、サイト超え広告配信を行っていたベンダーに衝撃を与えました。
それから3年、2020年6月22日のWWDCで発表されたiOS 14では、さらなるプライバシー強化が行われ、ITPのみならずIDFA(Identifier for Advertisers)と呼ばれる広告主向けの端末情報取得にもユーザーの許可がいるようになっています。
そもそも、アップルは何がしたいのでしょうか? アップルはプライバシーについてとても重視しており、見たことがある人も多いとは思いますが最近ではCMまでやっています。
10月14日午前2時からのiPhone12が発表されたAppleEventでもセキュリティやプライバシーの話が本当に多かったです。
GAFAの中でも、Appleだけはユーザーの個人データを保持せず、プライバシーを重視するポジションを打ち出しています。
上記のページにはっきりと「Safariは追跡者からあなたを守ります。インテリジェントトラッキング防止機能(つまりITP)がインターネット広告から追いかけられないようにします」と書いてあります。
つまりアップルは、ユーザーが不快な広告(少なくともアップルはそう思っている)に追いかけられないように配慮したいと思っているということです。
推測の域を出ませんが、アップルがプライバシーを重視するのには下記の理由があるように思います。
なんとなくですが「機械は各個人のために、その個人のプライバシーを守りながら働くべき」というポリシーを感じます。 GAFAの中でも特殊ポジションです。
Appleの思惑とは別に、多くのインターネット企業は各個人の情報をなるべくたくさん欲しいと思っています。
もし個人の趣味や誕生日などが詳細にわかれば、その人向けにカスタマイズした案内(広告)を届けることができ、結果的に購入率があがる可能性が高いからですね。
これってテクノロジー企業が行うと気持ち悪いような気がしますが、今まで保険の営業さんなどが普通に行っていたようなことです。 追っかけ広告は気持ち悪いですが、仲の良い営業さんから誕生日に電話がかかってくると嬉しかったりしますよね。
こういった行為自体についてはAppleも頑なにダメだとは思っていないようで、問題は「ユーザーの許可なく情報を収集していること」と捉えているようです。GDPRでもユーザーの許可なくCookieにユーザーの推測につながる情報を保存することは禁止しています。
どちらが良いのか?についての論争は平行線を辿ると思いますのでここでは避けますが、こういった事情があるという前提でiOS14に搭載されているITPとIDFAについてそれぞれまとめます。
ITP(Intelligent Tracking Prevention)は第三者の追跡を防止するブラウザの機能です。iOSやMacなどに搭載されています(※)。 「サイト超えトラッキングを防ぐ」という命名でデフォルトでONになっています。
アプリで利用するWK WebView classにも適用されるためiPhoneのChromeなどサードベンダーのブラウザにも適用されます。
このITPがオンになっていると、「このサイトはデータ収集している(サイト超えトラッキングしている)」という怪しいドメインに対してJavaScriptで発行されたCookie情報をブロックします。
上記の怪しいドメインの分類はAI(機械学習)で行われていますが、イメージを掴むために大雑把にいえばITPは、GoogleやFacebookなどサイト超えして情報を収集している第三者に、サイト閲覧者の情報を渡さないための機能です。
※ ITPはアップルだけではなくWebkitの仕様です
ITPは実はAppleだけのものではありません。WebkitというAppleが中心となって開発されているオープンソースのHTMLレンダリングエンジン群の仕様で作成されており、このWebkitはプレステなどのゲーム機にも利用されています。そのWebkitに搭載されている機能の一つがITPです。
▼Intelligent Tracking Prevention -Webkit(英語)
webkit.org/blog/7675/intelligent-tracking-prevention/余談ですがWebkit開発には以前Googleも積極的に参画していましたが、やはり開発方針の違いがあり、離脱はしていませんがGoogleがメインで関わるのはBlink/ChronimumというWebkitから派生したプロジェクトになっています。
ITPはもともと「ユーザーを追跡する第三者のCookie」を排除しようとしており、JavaScriptで発行されたCookieを対象にしています。従ってPHPなどでCookieを発行できる(つまり自社サーバーでCookieを生成できる)場合は対象になりません。※サーバー側でCookieをセットする場合はJavaScriptで書き換えられないようHttpOnlyとSecure属性の付与が推奨です。webkit.org/blog/8613/intelligent-tracking-prevention-2-1/
しかし、より根本的には「許可なくユーザーを追跡しようとする第三者を排除」しようとしています。 その目的のためITPは段階的にアップデートされており、その度にCookieや代替手段の利用制限が強化されています。
この進化の過程で、上述のようにGoogle Analyticsも対象になりました(※)。
Googleアナリティクスは我々のサイトの計測を行っていますが、やはり第三者による計測で、かつJavaScriptを使ってCookieを発行しています。つまり思いっきりサイト超えトラッキングをしています。
そのため対象になってしまうのです。
※WebkitのITPは仕様の説明なので、実際のiOSへの実装はバグなども含めて違っていたりします。 細かい検証はこの方がやってくれているので参考になると思います。
▼ITPの変遷・最新の仕様と挙動の違い/対策の必要性と方法 -marketechlabo www.marketechlabo.com/itp-latest
冒頭でもお伝えしましたが下記になります。
これ以上の影響が考えられるかどうかはわかりませんが、ITPの根本目的がプライバシー保護である以上、極端な話、第三者のGoogleを頼った場合、まったくデータ収集が行えなくなる可能性も0ではないかも知れません。
ITPへの対策はCNAMEクローキングなど様々な情報が出ていますが、あまりテクニックに走ると本質を見失います(SEO対策における「キーワードを詰め込め!」などと一緒です※)。
ITPの根本はアップルがプライバシーを重視して「許可なくユーザーを追跡する第三者」を排除しようとしていることであり、第三者はいつかバレます。その観点に立てば、Googleなどの第三者を(少なくとも表向きには)排除して自社内に解析サーバーを立てるしかありません。
この目的で出てきたのが、最近話題になったGoogleタグマネージャーのサーバーサイドタグです。サーバーサイドタグの仕組みをざっくりいうと、自社内に解析サーバーをたてて、そこからデータをGoogleアナリティクスなどに分配するという仕組みです。表向きは第三者が絡まず、裏で第三者にデータを配信するため、ITP対策になります。
しかしおわかりの通りGCP(Googleのレンタルサーバー)を別途借りる必要があるためお金もかかるし、そもそもサーバーエンジニアがいないと構築の難易度が高いです。
もっと手軽にということであれば、我々が開発しているワードプレスのプラグインQA Heatmap Analyticsを活用してもらう手もあります。こちらであればワードプレスにプラグインをいれるだけで、自動的に自社解析サーバーを構築でき、データ収集を行えます。裏でデータを配信するわけでもないので元々のITPポリシーとしても合致します。
最後にもお話しますが「そもそもユーザーを特定するための追跡って必要?」という観点は忘れたくないと思って我々はツールを開発しています。その点で自社のスタンスによって対策(そもそも対策するかどうかも含め)はわかれてくると思います。
※実際、CNAMEクローキングへの対策は現在開発中のWebkitにて行われていますので、そのうちiOSに搭載されるでしょう。
IDFA(Identifier For Advertising)はITP(Intelligent Tracking Prevention)とI繋がりで名前に関連を感じなくもないですが、IDとIntelligentなのでまったく別物です。
IDFAはアプリが取得できる端末固有IDです。なんのために存在しているかというと、For Advertisingが示すようにアプリ開発者が広告効果の計測や広告表示を行うために存在しています。
つまり「広告のために端末(個人)を特定する」という現在のアップルのポリシーと対立するような仕組みをアップルが作っていたということになります。
もうおわかりだと思いますが、このIDFAはAppleの現在のポリシーにあわないため、大幅に制限がかかることになりました。 具体的には「ユーザーが許可を出さないアプリにはIDFAは教えない」という改定です。
そもそもアプリの広告のために「取得OK」を押す人はいないでしょうから、ほとんどのアプリでIDFAはほぼ取得できないと考えた方がいいでしょう。
つまり、各アプリ開発ベンダーはiOS搭載機器に関して、個人を特定することができなくなったのです。
そもそもWebサイトのみの分析を行うのであれば、アプリも開発していないでしょうしIDFAを取得することはなかったと思いますので、影響はありません。もちろんGoogle アナリティクスにも影響はありません。
つまりIDFAの影響はアプリを開発していたベンダーに限られます。 これは自社アプリだけでなく、アプリ分析も含めて個人のターゲティング精度をあげていた広告配信業者やアクセス解析業者も対象になります。
想像の通り、Google、Facebook、Twitter社などはアプリを出していますし、そのアプリも計測して個人を特定していますので、もろに影響をうけます。つまり彼らのアプリ広告の配信精度が悪くなったり、アプリインストールのコンバージョン計測数に欠損が生じる可能性が極めて高いです。
広告についての影響は、アナグラムさんのブログが参考になります。
anagrams.jp/blog/impact-of-ios-14-on-operational-ads/
以上、ITPとIDFAに関して主にアクセス解析の観点で書いてきました。
個人的にはICT業界って毎回3文字の新しい言葉が出てくるので辟易する部分もありますが、仕事なので覚えないと仕方が無いですね(苦笑)
さて、この問題は昨今の個人情報保護の高まりに関連しているのは間違いありません(もっと大きな流れでいうとデジタルと人間というテーマだと思いますが、それは本題とはそれるのでやめておきます)。
Appleはこの点においてプライバシー重視の立場を明確にしてきて、それはスティーブジョブズが生前言っていた個人のためのコンピューターと被る気がします。
私個人としては、ロジックにより個人最適化された情報(広告含む)は便利な面もあるので、立場的には中道なんですけど、マーケティング目的のアクセス解析という観点においてはちょっとアップルに近く「個人の追跡って必要?」と思う部分があります。
個人を特定しなくても、その正確性がたとえファジーでも、「だいたいこんな感じ」「ユーザーはたぶんこういう気持ち」ということが把握できれば、改善できる余地があります。全体像がわかればよいというか。
ユーザー個別の最適化は、営業さんみたいなもので「あなたにはこの車がオヌヌメ!」というヤツですから、これはこれで意義のあることだと思います。特に広告出稿では絶大な威力を発揮しますので、巨人であるGoogle広告やFacebook広告の精度向上にとって極めて重要なポイントの一つです。
しかし、これをコンピューターに自動でやらせると気持ち悪いし、ましてやインターネット全体を把握する第三者ツールを使ってそういうのはやめましょうよ、というのがアップルの立場ですね。
こうなると、まぁ広告系の費用対効果が悪くなる可能性はあるのですが、そもそもこのあたりの巨人達の戦いは我々のコントロール外です。エレンになにを言っても聞いてくれないでしょう。
立場をかえてアクセス解析の観点でいえば、自社で保有するデータだけでやればいいじゃない、という解決策はあります。「Aさんの誕生日が近いからお手紙を書こう」みたいな。まさに従来の営業ですね。これはアップルもOKですし、ユーザーも同意して渡した情報だから気持ち悪くない可能性が高いです。
一方ユーザー志向というのは、自社サイトのUI/UX関連の改善や、そもそもの商品・サービスの改善に繋げるためにユーザー目線を重視するという姿勢で、ユーザーの個別性は全く不要です。
この点において考えると、そもそもITPやIDFA制限は関係ないといえます。Google アナリティクスへの影響といっても新規ユーザーが増えるくらいでユーザー志向とは何ら関係ないですし、そんな細かいデータにこだわるよりユーザーインタビューをやった方が立派な情報量をもつ分析になります。
全体傾向の把握は、自分達の思い込みを排除し、事実を中心とした判断を行うために必要ですが、その観点に立てばITPやIDFA利用制限は関係があります。
とはいえGoogleアナリティクスを中心としたサイト解析を考えるなら、たいしたことはありません。事実として「ITPによってiPhoneに関しての新規ユーザーはあてにならない」ということを知っていれば少なくとも大きく判断を間違えることはありません。
まぁ仮に知らずに間違えていたとしてもたぶん大きな判断ミスというのはないだろうと思います。
もちろん巨額の広告費を使ってアプリ配信をしていたり大企業だとそうも言っていられないと思いますが、多くの一般中小企業においては、正確性にこだわるより「ユーザーに気に入って貰う」というファジーな考えで運用した方が、結果的に、ユーザー志向度があがってサイトが跳ねるかも知れません。
我々が開発しているQA Heatmap Analyticsでも個人を特定するような情報は保存しないようにしています。要望はあると思うので、社内データ活用におけるユーザー個別最適化には使えるようにしたいとは思っていますが。
より正確に個人を把握することは経済的な成功確率をあげるかも知れませんが、やはりデジタルが意図せぬ悪意のもと運用されると、個人のコントロールに近いところまでいってしまうと思うのです。
生存に関わらない範囲のデジタル活用については、もう少しファジーであっても、パズルじゃないですけど、むしろ隠されている部分がちらほらあった時に行う創意工夫の方が、実は楽しいのではないかな、と思っています。
今回は主に参考サイトとSafariブラウザの機能を用いた検証をもとに記事を書いていきました。もし間違いがあったらTwitterまで頂けると嬉しいです。
twitter.com/koji_maruyama
【日本語】
a2iの大内さんのコラム
a2i.jp/column/post-25431/
ITPの変遷・最新の仕様と挙動の違い/対策の必要性と方法 -marketechlabo
www.marketechlabo.com/itp-latest
アナグラムさんのブログ
anagrams.jp/blog/impact-of-ios-14-on-operational-ads/
【英語】
ITPに関するWebkit公式サイトの情報など
webkit.org/blog/7675/intelligent-tracking-prevention/
www.digiban.co.jp/blog/marketing/itp
ITPに関するテスト結果の共有
www.simoahava.com/analytics/itp-2-1-and-web-analytics/ www.simoahava.com/privacy/intelligent-tracking-prevention-ios-14-ipados-14-safari-14/
各ブラウザのCookieやReferrerなどに対する取組がわかるサイト
www.cookiestatus.com/
Apple公式開発ドキュメント developer.apple.com/documentation/adsupport/asidentifiermanager/1614151-advertisingidentifier