プライバシーとセキュリティのハイライト：2019年に追跡とCookieがどのように変化したか（そして2020年のテストにとってそれが何を意味するか）

2018年は、プライバシーが永遠に変化したために減少しました。

GDPRは、私たちを笑わせ、データの収集、処理、透明性の要求を一掃するミームにその痕跡を残し、私たちを（少し）圧倒しました。

しかし、2019年が大騒ぎになるとは誰も予想していませんでした。 それでも、そうでした。 ブラウザは、ユーザーがより安全であると感じ、インターネット上で広告を絶え間なく売り込むために個人の詳細や好みが使用されていないことを信頼できるようにするために売り込みました。

2019年に発生した追跡防止と追跡防止の変更の内訳、マーケターとテスターに​​とっての意味、およびConvertがそれらにどのように対処したかを次に示します。

2019年に追跡防止とA/Bテストはどのように変化しましたか？

Mozillaのアンチトラッキングポリシー

紹介者：Mozilla（Firefox）

いつ：2019年1月

概要：Mozilla Firefoxは、2019年1月に、Firefoxが将来デフォルトでブロックする追跡手法を定義する追跡防止ポリシーを公開しました。 ポリシーで概説されているのは、次のタイプです。

• Cookieベースのクロスサイト追跡— Cookieおよびその他のストレージタイプは、インターネット上のユーザーを追跡するためにサードパーティによって使用される場合があります。

• URLパラメータベースのクロスサイトトラッキング—ユーザーIDを渡すためにCookieの代わりにURLに依存するもう1つのクロスサイトトラッキングプラクティス。

• ブラウザのフィンガープリント—サイトは、接続中にブラウザから提供されたデータを使用するか、特定のWeb技術を使用してユーザーのフィンガープリントを作成する場合があります。
• スーパークッキー—エバークッキーとも呼ばれます。 ユーザーが閲覧履歴とデータをクリアしたときに自動的にクリアされない、追跡に使用されるストレージを指します。 Firefoxが使用するキャッシュのこのリストを参照してください。

変換への影響：詳細を読んだ後、変換の追跡は上記のカテゴリに分類されないため、このポリシーの影響を受けません。

インテリジェントトラッキング防止（ITP）2.1

紹介者：Apple（Safari）

いつ：2019年2月

概要：Appleは2019年2月にITP2.1を発表しました。 これは、JavaScriptを使用して設定されたファーストパーティのCookieを主に追跡したITPアップデートでした。

Appleは、クライアント側（JavaScriptベース）のCookieを7日間に公式に制限しました。 初期のバージョンのITP（1.x）は、サードパーティのCookieの期間を制限していました。

ITP 2.1は、Safariユーザーの追跡、分析、測定、ターゲティング、およびパーソナライズを行うマーケターの中心的な取り組みを混乱させました。

これを開梱しましょう：

• サイト訪問者が7日後に忘れられたため、Web分析の精度が低下し、マーケティング担当者がWebサイトで見るユニークな訪問者の数が増加しました。 このインフレは、マーケターがコンテンツやプロモーションを開発する方法に影響を与える可能性があります。

• マーケターが洞察を得る機会が限られていたため、A/Bテストは苦しみました。 A / Bテストには、コンテンツをテストして結果を追跡するための7日間のウィンドウしかありません。 週に1回未満のサイトにアクセスする顧客は、新規訪問者と見なされ、別のテストグループにプールされる可能性があり、結果データが不正確になる可能性があります。

• データ管理プラットフォーム（DMP）では、一時的なCookieのパージにより、新しいものではないモバイルデバイスの新しい識別子が作成されるため、モバイルデバイスの数が急増しています。 これはオーディエンスのサイズを誇張し、オーディエンスの作成方法に影響を与える可能性があります。 マーケターは、古いデータや不完全なデータに基づいてオーディエンスセグメントを構築するリスクがあります。

• パーソナライズも苦しんだ。 過去の行動や好みに基づいたパーソナライズツールを活用して一貫したカスタマーエクスペリエンスを作成する認証されていないサイトには、コンテンツをパーソナライズするための履歴データがありません。 このため、顧客は一貫性のないWebエクスペリエンスを利用できます。

• アトリビューションは実行が困難です。 ルックバックウィンドウが短縮されているため、マーケターは、ユーザーが最後にサイトにアクセスしてから7日を超えて発生したコンバージョンを特定できません。 マーケターは、クレジットをキャンペーンに誤って帰属させ、最後のマーケティングタッチを非常に高くクレジットし、効果のないチャネルに過剰に支出するリスクを負います。

Convertへの影響：特にSafariブラウザーを使用して多数のオーディエンスを共有している場合は、上記がConvert実験の結果をどのように歪める可能性があるかを理解できます。 したがって、ITP 2.1を解決するためのかなりの数の方法を検討し、最終的にCookie作成プロセスをブラウザーからサーバーに移動することにしました。

新しいCookieの期間制限は、ブラウザで作成されたCookieにのみ適用されるため、Cookieの発行部分をWebサーバーに移動しました。つまり、サーバーはユーザーのブラウザではなくCookieを作成します。

このようなサーバー側のCookieの作成を容易にする手順については、こちらをご覧ください。 Webサーバーインフラストラクチャの変更についてサポートが必要な場合は、お気軽にお問い合わせください。

追跡の問題のために結果に悪影響を及ぼしているA/Bテストツールを使用していますか？ Convert Experiencesの15日間の無料トライアルを試して、市場で最もプライバシーを意識したツールの1つとなる機能を確認してください。

インテリジェントトラッキング防止（ITP）2.2

紹介者：Apple（Safari）

いつ：2019年4月

概要：2019年4月、AppleはSafariのアンチトラッキング機能であるIntelligentTrackingPreventionの抜け穴を塞ぎ続けました。 ITP 2.2の2.1および2.0からの最大の変更により、一部のファーストパーティのJavaScriptセットCookieの期間が1日に制限されました。これは、ITP2.1が実装した7日間から短縮されました。

クッキーがITP2.2によって1日に上限を設定されるためには、次の3つの条件を満たす必要があります。

1. CookieはJavaScriptを介して設定されます（つまり、「document.cookieを介して設定」）。 この条件は、ITP2.1でも適用されました。
2. ユーザーをランディングページに誘導したサイトは、ITPによって「クロスサイト追跡機能を備えている」と分類されています（主要な広告ネットワーク、Google、Facebookは確かにこのように分類されています）
3. リンクはリンク装飾を使用します（クエリ文字列パラメーターやフラグメント識別子を使用します）

Convertへの影響：上記の3つの要素を組み合わせると、Convertによって設定されたCookieがITP2.2の影響を受けることを意味します。 ）アトリビューションの目的でリンク装飾を使用します。

幸い、上記の条件から、変換CookieはJavascriptのdocument.cookieを介して作成されるため、最初の条件のみが影響を及ぼしました。 ITP 2.1の回避策で行ったように、Cookieの作成プロセスをブラウザーからサーバーに移動することをお客様に提案しました。

SameSiteクッキー

紹介者：Google（Chromeバージョン76）

いつ：2019年5月

概要：Googleは、HTTP Cookieの「SameSite」機能を利用して、開発者がサードパーティのコンテキストでCookieを読み取れるようにする場合に通信できるようにしました。

事実上、開発者は「このCookieはプライベートです」と言って、Cookieの作成時にCookieをより安全にすることができます。 Chrome 76のアップデートでは、Web開発者が明示的に設定していなくても、デフォルトのSameSite値が設定されていました。 つまり、そこにあるほとんどのサーバー側のCookieは、デフォルトで自動的により安全でした。

2020年2月のChrome80の安定版は、以下に要約するように、デフォルトでこの機能を有効にすることを目的としています。

• SameSite属性のないCookieは、SameSite=Laxとして扱われます。
• SameSite = NoneのCookieも、Secureを指定する必要があります。

Convertへの影響：これまでのところ、SameSite機能はバックエンドへのCookieの送信にのみ影響を与えるようですが、Convertはそれを行わないため重要ではありません。

顧客がさまざまな目的でConvertCookieのバックエンド読み取りを使用する場合にのみ影響があります。 デフォルトに依存しないように、SameSite=LaxフラグとSecureフラグを使用してConvertCookieを設定します。

追跡防止

紹介者：Microsoft Windows（Edge）

いつ：2019年6月

概要：Microsoftは、2019年6月に、ChromiumベースのEdgeブラウザーで追跡スクリプトをブロックする新機能を導入しました。 同社はこの機能を「追跡防止」と呼び、当初はEdge Insiders Previewビルド（77.0.203.0以降）でのみ利用可能でした。 同社によれば、この機能は開発中であり、フィードバックと開発の加速のために初期バージョンをリリースしたという。

基本的に、Microsoftが行ったことは、Edgeの新しい追跡保護カテゴリ（Basic、Balanced、Strict）を有効にして、より多くのトラッカーをブロックすることでした。 互換性の問題を回避するために、Microsoftは、バランスモードでのエンゲージメントスコアに基づいて追跡防止を緩和するシステムを考案しました。

この機能は、MozillaFirefoxのEnhancedTrackingProtectionおよびAppleSafariのIntelligentTracking Protectionに似ており、ユーザーが直接アクセスしていないドメインから読み込まれる追跡スクリプトをブロックします。

Convertへの影響：Convertトラッカーは、Trust Protection Listにリストされている可能性があります。これは、Edgeが完全に公開していない非表示のコンポーネントであるため、可能性があります。 いずれの場合も、Microsoft Edge Tracking Preventionは、訪問者がTrackingPreventionをStrictモードに設定した場合にのみConvertTrackerをブロックします（デフォルトのBalancedモードには設定しません）。 したがって、通常のブラウジングでは、Convertのエクスペリエンスは、Edgeが課す新しい設定の影響を受けません。

強化された追跡保護

紹介者：Mozilla（Firefox）

いつ：2019年6月

概要：2019年6月5日以降にFirefoxを初めてインストールした新規ユーザーは、デフォルトで拡張追跡保護（ETP）がオンに設定されていました。 ETPは、ブラウザの「標準」設定の一部としてデフォルトで自動的にオンに設定され、（i）既知の「サードパーティのトラッキングCookie」および（ii）すべてのプライベート/シークレットブラウザウィンドウの既知のトラッカーを、切断リストに従ってブロックします。 Mozillaは提携しています。

変換への影響：変換トラッカーは切断リストに表示されます。 ただし、Firefox EnhancedTrackingProtectionは変換をブロックします トラッカーは、訪問者がプライベート/インコグニートウィンドウを使用している場合のみ。 さらに、Convertでは、GDPRに準拠するために、2018年2月21日にサードパーティのCookieが無効になりました。したがって、通常のブラウジングでは Convertのエクスペリエンスは、Firefoxが課した新しい設定の影響を受けません。

WebKit追跡防止ポリシー

紹介者：Apple（Safari）

いつ：2019年8月

概要：AppleのWebKitチームは、2019年8月に完全な「追跡防止ポリシー」をリリースしました。

このポリシーでは、WebKitの追跡の取り組みの概要を説明し、WebKitが防止する追跡の種類、対策などについて詳しく説明します。 クロスサイトトラッキング、ステートフルトラッキング、秘密のステートフルトラッキング、ナビゲーショントラッキング、フィンガープリント、隠れたトラッキング、およびこれらのカテゴリに分類されないその他の未知のテクニックを含む、いくつかのトラッキングテクニックを防ぎます。

変換への影響：変換の追跡は上記のカテゴリに該当しないため、変換の追跡はこのポリシーの影響を受けません。

インテリジェントトラッキング防止（ITP）2.3

紹介者：Apple（Safari）

いつ：2019年9月

概要：以前は、ITP 2.2は永続的なクライアント側Cookieの寿命を7日から24時間に短縮し（以下の3つの条件が満たされた場合）、リンク装飾によるクロスサイト追跡を制限していました。

1. CookieはJavaScriptを介して設定されます（つまり、「document.cookieを介して設定」）。 この条件は、ITP2.1でも適用されました。
2. ユーザーをランディングページに誘導したサイトは、ITPによって「クロスサイト追跡機能を備えている」と分類されています（主要な広告ネットワーク、Google、Facebookは確かにこのように分類されています）
3. リンクはリンク装飾を使用します（クエリ文字列パラメーターやフラグメント識別子を使用します）

しかし、WebKitのエンジニアは、一部のトラッカーがファーストパーティのCookieを他の形式のファーストパーティのWebサイトデータストレージに移動してユーザーを追跡することで応答したことに気づきました。 宛先ページのトラッキングIDを読み取るために、独自のリファラーURLにコードを追加しました。

ITP 2.3では、これを行うサイトでは、7日後にCookie以外のWebサイトデータがすべて削除されます。 クライアント側のCookieの有効期限が上限になっていることと相まって、これは、トラッカーがリンク装飾と長期的なファーストパーティのWebサイトデータストレージを組み合わせてユーザーを追跡できないことを意味します。

したがって、ITP2.3はリンク装飾に関連しています。

Convertへの影響：ここで説明したように、ConvertトラッキングとCookieは、WebKitチームが上記のトラッカーと戦うために取ったITP2.3の新しい2つのステップの影響を受けないことは明らかです。

IsLoggedIn API

紹介者：Apple（Safari）

いつ：2019年9月

概要：W3C技術プレナリーおよび諮問委員会会議（TPAC）2019で、WebKitは、ユーザーがWebサイトにログインしているかどうかをブラウザーオペレーターが確認できるようにするAPIのテストの非常に初期の段階にあることを発表しました。

これはTPAC議題の議論のトピックに過ぎず、それ以上の実装は行われていません。

変換への影響：一部のクエリ文字列パラメータに基づいてトラッカーとして分類されたURLからリダイレクトされたときに設定されたCookieのように、クロストラッキングを許可するCookieが影響を受けているようです。 Convertはそのような追跡を行わないため、影響はありません。

ITPの強化

紹介者：Apple（Safari）

いつ：2019年12月

概要：このSafariのアップデートは、iOS 13.3、iPadOS 13.3、およびSafari 13.0.3で、macOS Catalina、Mojave、およびHighSierraに付属しています。

追跡防止やコンテンツブロックなどの機能自体が追跡目的で悪用される可能性があります。 しかし、3つの新しい拡張機能により、追跡できるWebコンテンツとWebサイトデータを検出することが困難または不可能になります。

1. すべてのサードパーティリクエストのオリジンのみのリファラー：例として、以前はリファラーヘッダーが含まれていたhttps：//images.exampleへのリクエストhttps://store.example/baby/strollers/deluxe-stroller-navy- blue.htmlはhttps://store.example/に縮小されます。
2. 事前のユーザー操作なしでブロックされたすべてのサードパーティCookie
3. ストレージアクセスAPIは、基盤となるCookieポリシーを考慮に入れます

Convertへの影響：Convertは、SafariWebKitの追跡防止をレベルアップするこれらの拡張機能の影響を受けません。

まとめ

これは、取り入れるべき多くの技術的な詳細です。すべてのITP更新の専門家である必要はありません。 しかし、流動的な状態を考えると、1つのことが明らかだと感じています。

ブラウザは引き続き調整を行い、調整が行われるまで、対処しているユースケースの複雑さを考えると、テストツールのセットアップとインストールの時間が長くなります。

Convertのようなプライバシー指向のベンダーと提携し、データを収集しないというアドバイスが1つあれば、弁護士は法廷であなたに代わって主張することを望まないでしょう。