ITPとIDFAの利用制限によるGoogle Analyticsやアクセス解析への影響(iOS 14) 
あとで読む
※以下の記事は2020年10月14日時点の情報を元に記載しています。今後アップルなどの方針に変更がある可能性もあります。
ITPとIDFA利用制限がGoogleアナリティクスに与える影響
そもそもITPやIDFAって何?
ITPはIntelligent Tracking Preventionの頭文字。日本語訳すると「賢く(怪しい)計測を防ぐ」みたいな意味でしょうか。Googleアナリティクスも最近は怪しい対象になってしまったため影響を受けています。
IDFAはIDがメインの単語でIdentifier for Advertisersの頭文字。ITPとは全く別物です。直訳すれば「広告のための識別子」であり、アプリの広告計測に使われている端末固有のIDのことです。
この2つについては後ほど詳しくご説明します。
最新のITPによるGoogle アナリティクスへの影響
結論から言うと影響があります。具体的には下記です。
- ITPはiOS(iPhoneなどが採用するOS)の機能で「第三者の追跡サービスである」場合に発動する
- Google アナリティクスは第三者の追跡サービスと認定されているため、ITPの対象となっている
- ITPが発動すると7日間、もしくは24時間でGoogleアナリティクスのCookieが消える(流入経路によって違う動き)
- Cookieが消えるので、Googleアナリティクスリマーケティングに影響がある
- Cookieが消えたあと再訪問しても、新規ユーザーのアクセスとして記録される
iOSのデータを見る時は注意が必要ということですね。
IDFA利用制限によるGoogle アナリティクスへの影響
こちらは結論から言うとありません。 ただしGoogleアナリティクスではなく、アプリ計測を考えた広義のアクセス解析という意味では影響があります。
ITPやIDFA利用制限がなぜ話題になっているの?
結論をまずお伝えしましたが、それだけでは、ITPやIDFAについて木を見て森を見ずです。 ITPやIDFA制限は主にiPhone(他Apple製品)に関する制限なのですが、いまいちよくわからないという人も多いと思います。
そこで、今回は特にアクセス解析分野の観点から、ITP及びIDFAの利用制限とはいったい何なのか?その影響を簡単にまとめてみたいと思います。
Apple製品ではプライバシーが強化され続けている
2017年6月5日のWWDCにおいてAppleが発表したITP(Intelligent Tracking Prevention) は、サードパーティCookieのサイト超えトラッキングを防止する機能で、サイト超え広告配信を行っていたベンダーに衝撃を与えました。
それから3年、2020年6月22日のWWDCで発表されたiOS 14では、さらなるプライバシー強化が行われ、ITPのみならずIDFA(Identifier for Advertisers)と呼ばれる広告主向けの端末情報取得にもユーザーの許可がいるようになっています。
そもそもアップルは何がしたいの?
そもそも、アップルは何がしたいのでしょうか? アップルはプライバシーについてとても重視しており、見たことがある人も多いとは思いますが最近ではCMまでやっています。
10月14日午前2時からのiPhone12が発表されたAppleEventでもセキュリティやプライバシーの話が本当に多かったです。
GAFAの中でも、Appleだけはユーザーの個人データを保持せず、プライバシーを重視するポジションを打ち出しています。
上記のページにはっきりと「Safariは追跡者からあなたを守ります。インテリジェントトラッキング防止機能(つまりITP)がインターネット広告から追いかけられないようにします」と書いてあります。
つまりアップルは、ユーザーが不快な広告(少なくともアップルはそう思っている)に追いかけられないように配慮したいと思っているということです。
推測の域を出ませんが、アップルがプライバシーを重視するのには下記の理由があるように思います。
- 企業ポリシー(もともとロックで自由を愛する企業)
- 勝てるポジショニング(AppleはGAFのようにデータを取得せずとも成立するビジネスモデル。エッジコンピューティング型)
- GDPRなどの個人情報保護の流れ(対立して制裁をうけるのは避けたい)
なんとなくですが「機械は各個人のために、その個人のプライバシーを守りながら働くべき」というポリシーを感じます。 GAFAの中でも特殊ポジションです。
そもそも我々はなぜユーザーを把握(トラッキング)したいの?
Appleの思惑とは別に、多くのインターネット企業は各個人の情報をなるべくたくさん欲しいと思っています。
もし個人の趣味や誕生日などが詳細にわかれば、その人向けにカスタマイズした案内(広告)を届けることができ、結果的に購入率があがる可能性が高いからですね。
これってテクノロジー企業が行うと気持ち悪いような気がしますが、今まで保険の営業さんなどが普通に行っていたようなことです。 追っかけ広告は気持ち悪いですが、仲の良い営業さんから誕生日に電話がかかってくると嬉しかったりしますよね。
こういった行為自体についてはAppleも頑なにダメだとは思っていないようで、問題は「ユーザーの許可なく情報を収集していること」と捉えているようです。GDPRでもユーザーの許可なくCookieにユーザーの推測につながる情報を保存することは禁止しています。
どちらが良いのか?についての論争は平行線を辿ると思いますのでここでは避けますが、こういった事情があるという前提でiOS14に搭載されているITPとIDFAについてそれぞれまとめます。
ITPについて
ITPは「ユーザーを追跡するCookieなど」への対策
ITP(Intelligent Tracking Prevention)は第三者の追跡を防止するブラウザの機能です。iOSやMacなどに搭載されています(※)。 「サイト超えトラッキングを防ぐ」という命名でデフォルトでONになっています。
アプリで利用するWK WebView classにも適用されるためiPhoneのChromeなどサードベンダーのブラウザにも適用されます。
このITPがオンになっていると、「このサイトはデータ収集している(サイト超えトラッキングしている)」という怪しいドメインに対してJavaScriptで発行されたCookie情報をブロックします。
上記の怪しいドメインの分類はAI(機械学習)で行われていますが、イメージを掴むために大雑把にいえばITPは、GoogleやFacebookなどサイト超えして情報を収集している第三者に、サイト閲覧者の情報を渡さないための機能です。
※ ITPはアップルだけではなくWebkitの仕様です
ITPは実はAppleだけのものではありません。WebkitというAppleが中心となって開発されているオープンソースのHTMLレンダリングエンジン群の仕様で作成されており、このWebkitはプレステなどのゲーム機にも利用されています。そのWebkitに搭載されている機能の一つがITPです。
▼Intelligent Tracking Prevention -Webkit(英語)
webkit.org/blog/7675/intelligent-tracking-prevention/余談ですがWebkit開発には以前Googleも積極的に参画していましたが、やはり開発方針の違いがあり、離脱はしていませんがGoogleがメインで関わるのはBlink/ChronimumというWebkitから派生したプロジェクトになっています。
ITPの影響を受けるのは?
ITPはもともと「ユーザーを追跡する第三者のCookie」を排除しようとしており、JavaScriptで発行されたCookieを対象にしています。従ってPHPなどでCookieを発行できる(つまり自社サーバーでCookieを生成できる)場合は対象になりません。※サーバー側でCookieをセットする場合はJavaScriptで書き換えられないようHttpOnlyとSecure属性の付与が推奨です。webkit.org/blog/8613/intelligent-tracking-prevention-2-1/
しかし、より根本的には「許可なくユーザーを追跡しようとする第三者を排除」しようとしています。 その目的のためITPは段階的にアップデートされており、その度にCookieや代替手段の利用制限が強化されています。
- ITP1.0 怪しいサイトの3rd-party Cookieが24時間で削除
- ITP2.0 怪しいサイトの3rd-party Cookieは全てブロック
- ITP2.1 怪しいサイトにデータを送る1st-party Cookieも7日間で削除
ここでGoogle Analyticsにも影響が発生
webkit.org/blog/8613/intelligent-tracking-prevention-2-1/ - ITP2.2 1st-party Cookieとリンクデコレーションを見て怪しかったらCookieを24時間で削除
webkit.org/blog/9521/intelligent-tracking-prevention-2-2/ - ITP2.3 Cookieの代替処理(localstorageやリンクデコレーション)にも対策が行われる ←イマココ
webkit.org/blog/9521/intelligent-tracking-prevention-2-3/
この進化の過程で、上述のようにGoogle Analyticsも対象になりました(※)。
Googleアナリティクスは我々のサイトの計測を行っていますが、やはり第三者による計測で、かつJavaScriptを使ってCookieを発行しています。つまり思いっきりサイト超えトラッキングをしています。
そのため対象になってしまうのです。
※WebkitのITPは仕様の説明なので、実際のiOSへの実装はバグなども含めて違っていたりします。 細かい検証はこの方がやってくれているので参考になると思います。
▼ITPの変遷・最新の仕様と挙動の違い/対策の必要性と方法 -marketechlabo www.marketechlabo.com/itp-latest
GoogleアナリティクスへのITPの影響
冒頭でもお伝えしましたが下記になります。
- ITPはiOS(iPhoneなどが採用するOS)の機能で「第三者の追跡サービスである」場合に発動する
- Google アナリティクスは第三者の追跡サービスと認定されているため、ITPの対象となっている
- ITPが発動すると7日間、もしくは24時間でGoogleアナリティクスのCookieが消える(流入経路によって違う動き)
- Cookieが消えるので、GoogleアナリティクスではiPhoneユーザーを追跡できなくなる
- 従って、Cookieが消えたあと再訪問しても、新規ユーザーのアクセスとして記録される
- Cookieが消えるので、Googleアナリティクスリマーケティングができない
これ以上の影響が考えられるかどうかはわかりませんが、ITPの根本目的がプライバシー保護である以上、極端な話、第三者のGoogleを頼った場合、まったくデータ収集が行えなくなる可能性も0ではないかも知れません。
ITPへの対策は?
ITPへの対策はCNAMEクローキングなど様々な情報が出ていますが、あまりテクニックに走ると本質を見失います(SEO対策における「キーワードを詰め込め!」などと一緒です※)。
ITPの根本はアップルがプライバシーを重視して「許可なくユーザーを追跡する第三者」を排除しようとしていることであり、第三者はいつかバレます。その観点に立てば、Googleなどの第三者を(少なくとも表向きには)排除して自社内に解析サーバーを立てるしかありません。
この目的で出てきたのが、最近話題になったGoogleタグマネージャーのサーバーサイドタグです。サーバーサイドタグの仕組みをざっくりいうと、自社内に解析サーバーをたてて、そこからデータをGoogleアナリティクスなどに分配するという仕組みです。表向きは第三者が絡まず、裏で第三者にデータを配信するため、ITP対策になります。
しかしおわかりの通りGCP(Googleのレンタルサーバー)を別途借りる必要があるためお金もかかるし、そもそもサーバーエンジニアがいないと構築の難易度が高いです。
もっと手軽にということであれば、我々が開発しているワードプレスのプラグインQA Heatmap Analyticsを活用してもらう手もあります。こちらであればワードプレスにプラグインをいれるだけで、自動的に自社解析サーバーを構築でき、データ収集を行えます。裏でデータを配信するわけでもないので元々のITPポリシーとしても合致します。
最後にもお話しますが「そもそもユーザーを特定するための追跡って必要?」という観点は忘れたくないと思って我々はツールを開発しています。その点で自社のスタンスによって対策(そもそも対策するかどうかも含め)はわかれてくると思います。
※実際、CNAMEクローキングへの対策は現在開発中のWebkitにて行われていますので、そのうちiOSに搭載されるでしょう。
IDFAについて
IDFAは広告向けのiOSデバイス固有ID
IDFA(Identifier For Advertising)はITP(Intelligent Tracking Prevention)とI繋がりで名前に関連を感じなくもないですが、IDとIntelligentなのでまったく別物です。
IDFAはアプリが取得できる端末固有IDです。なんのために存在しているかというと、For Advertisingが示すようにアプリ開発者が広告効果の計測や広告表示を行うために存在しています。
つまり「広告のために端末(個人)を特定する」という現在のアップルのポリシーと対立するような仕組みをアップルが作っていたということになります。
IDFAの取得制限がかかる(ユーザー許可制に)
もうおわかりだと思いますが、このIDFAはAppleの現在のポリシーにあわないため、大幅に制限がかかることになりました。 具体的には「ユーザーが許可を出さないアプリにはIDFAは教えない」という改定です。
そもそもアプリの広告のために「取得OK」を押す人はいないでしょうから、ほとんどのアプリでIDFAはほぼ取得できないと考えた方がいいでしょう。
つまり、各アプリ開発ベンダーはiOS搭載機器に関して、個人を特定することができなくなったのです。
IDFA制限によるGoogle Analyticsやアクセス解析への影響は?
そもそもWebサイトのみの分析を行うのであれば、アプリも開発していないでしょうしIDFAを取得することはなかったと思いますので、影響はありません。もちろんGoogle アナリティクスにも影響はありません。
つまりIDFAの影響はアプリを開発していたベンダーに限られます。 これは自社アプリだけでなく、アプリ分析も含めて個人のターゲティング精度をあげていた広告配信業者やアクセス解析業者も対象になります。
想像の通り、Google、Facebook、Twitter社などはアプリを出していますし、そのアプリも計測して個人を特定していますので、もろに影響をうけます。つまり彼らのアプリ広告の配信精度が悪くなったり、アプリインストールのコンバージョン計測数に欠損が生じる可能性が極めて高いです。
広告についての影響は、アナグラムさんのブログが参考になります。
anagrams.jp/blog/impact-of-ios-14-on-operational-ads/
最後に。そもそも追跡ってどこまで必要?
以上、ITPとIDFAに関して主にアクセス解析の観点で書いてきました。
個人的にはICT業界って毎回3文字の新しい言葉が出てくるので辟易する部分もありますが、仕事なので覚えないと仕方が無いですね(苦笑)
さて、この問題は昨今の個人情報保護の高まりに関連しているのは間違いありません(もっと大きな流れでいうとデジタルと人間というテーマだと思いますが、それは本題とはそれるのでやめておきます)。
Appleはこの点においてプライバシー重視の立場を明確にしてきて、それはスティーブジョブズが生前言っていた個人のためのコンピューターと被る気がします。
私個人としては、ロジックにより個人最適化された情報(広告含む)は便利な面もあるので、立場的には中道なんですけど、マーケティング目的のアクセス解析という観点においてはちょっとアップルに近く「個人の追跡って必要?」と思う部分があります。
個人を特定しなくても、その正確性がたとえファジーでも、「だいたいこんな感じ」「ユーザーはたぶんこういう気持ち」ということが把握できれば、改善できる余地があります。全体像がわかればよいというか。
「個別最適化」「ユーザー志向」「全体傾向の把握」の3つをごちゃごちゃにしない
個別最適化
ユーザー個別の最適化は、営業さんみたいなもので「あなたにはこの車がオヌヌメ!」というヤツですから、これはこれで意義のあることだと思います。特に広告出稿では絶大な威力を発揮しますので、巨人であるGoogle広告やFacebook広告の精度向上にとって極めて重要なポイントの一つです。
しかし、これをコンピューターに自動でやらせると気持ち悪いし、ましてやインターネット全体を把握する第三者ツールを使ってそういうのはやめましょうよ、というのがアップルの立場ですね。
こうなると、まぁ広告系の費用対効果が悪くなる可能性はあるのですが、そもそもこのあたりの巨人達の戦いは我々のコントロール外です。エレンになにを言っても聞いてくれないでしょう。
立場をかえてアクセス解析の観点でいえば、自社で保有するデータだけでやればいいじゃない、という解決策はあります。「Aさんの誕生日が近いからお手紙を書こう」みたいな。まさに従来の営業ですね。これはアップルもOKですし、ユーザーも同意して渡した情報だから気持ち悪くない可能性が高いです。
ユーザー志向
一方ユーザー志向というのは、自社サイトのUI/UX関連の改善や、そもそもの商品・サービスの改善に繋げるためにユーザー目線を重視するという姿勢で、ユーザーの個別性は全く不要です。
この点において考えると、そもそもITPやIDFA制限は関係ないといえます。Google アナリティクスへの影響といっても新規ユーザーが増えるくらいでユーザー志向とは何ら関係ないですし、そんな細かいデータにこだわるよりユーザーインタビューをやった方が立派な情報量をもつ分析になります。
全体傾向の把握
全体傾向の把握は、自分達の思い込みを排除し、事実を中心とした判断を行うために必要ですが、その観点に立てばITPやIDFA利用制限は関係があります。
とはいえGoogleアナリティクスを中心としたサイト解析を考えるなら、たいしたことはありません。事実として「ITPによってiPhoneに関しての新規ユーザーはあてにならない」ということを知っていれば少なくとも大きく判断を間違えることはありません。
まぁ仮に知らずに間違えていたとしてもたぶん大きな判断ミスというのはないだろうと思います。
目的は「サイトをユーザーに気に入って貰うこと」であり、手がかりを得る手段の一つがアクセス解析にすぎない
もちろん巨額の広告費を使ってアプリ配信をしていたり大企業だとそうも言っていられないと思いますが、多くの一般中小企業においては、正確性にこだわるより「ユーザーに気に入って貰う」というファジーな考えで運用した方が、結果的に、ユーザー志向度があがってサイトが跳ねるかも知れません。
我々が開発しているQA Heatmap Analyticsでも個人を特定するような情報は保存しないようにしています。要望はあると思うので、社内データ活用におけるユーザー個別最適化には使えるようにしたいとは思っていますが。
より正確に個人を把握することは経済的な成功確率をあげるかも知れませんが、やはりデジタルが意図せぬ悪意のもと運用されると、個人のコントロールに近いところまでいってしまうと思うのです。
生存に関わらない範囲のデジタル活用については、もう少しファジーであっても、パズルじゃないですけど、むしろ隠されている部分がちらほらあった時に行う創意工夫の方が、実は楽しいのではないかな、と思っています。
間違いがあったらTwitterまで頂けると嬉しいです。
今回は主に参考サイトとSafariブラウザの機能を用いた検証をもとに記事を書いていきました。もし間違いがあったらTwitterまで頂けると嬉しいです。
twitter.com/koji_maruyama
参考サイト
【日本語】
a2iの大内さんのコラム
a2i.jp/column/post-25431/
ITPの変遷・最新の仕様と挙動の違い/対策の必要性と方法 -marketechlabo
www.marketechlabo.com/itp-latest
アナグラムさんのブログ
anagrams.jp/blog/impact-of-ios-14-on-operational-ads/
【英語】
ITPに関するWebkit公式サイトの情報など
webkit.org/blog/7675/intelligent-tracking-prevention/
www.digiban.co.jp/blog/marketing/itp
ITPに関するテスト結果の共有
www.simoahava.com/analytics/itp-2-1-and-web-analytics/ www.simoahava.com/privacy/intelligent-tracking-prevention-ios-14-ipados-14-safari-14/
各ブラウザのCookieやReferrerなどに対する取組がわかるサイト
www.cookiestatus.com/
Apple公式開発ドキュメント developer.apple.com/documentation/adsupport/asidentifiermanager/1614151-advertisingidentifier
ウェブ担当者通信の発起人。
株式会社ウェブジョブズ代表。
コンサルティングの他、ウェブ担当者教育などにも力を入れ、株式会社インプレスビジネスメディア社の運営するウェブ担当者フォーラムにて「誰もが受けたい!アクセス解析5 分クリニック」を連載。
著書に無料でできる! 世界一やさしいGoogle Analytics アクセス解析入門(秀和システム)
WPプラグインQA Heatmap Analyticsのプロダクトマネージャー
