サードパーティ Cookie にはさまざまな用途がありますが、クロスサイト トラッキングを実現する鍵でもあります。
Chrome は、サードパーティ Cookie によるユーザーが選択可能な新しいエクスペリエンスを提案しています。サードパーティ Cookie を使用せずにブラウジングすることを選択するユーザーのためにサイトを用意する必要があります。
このページでは、これまでサードパーティ Cookie に依存してきた埋め込みシナリオのプライバシー保護ソリューションと、ニーズに最適なソリューションを選択するための戦略について説明します。
埋め込みサービス(埋め込み)には、サードパーティのコンテンツ(動画、地図など)、インタラクティブなコンポーネント(チャット、コメント システム、決済サービスなど)、ログイン サービスなどが含まれます。
サードパーティ Cookie から移行するための作業のほとんどは、埋め込みをホストするサイトではなく、埋め込みデベロッパーが行う必要があります。このガイドでは主に、組み込みサービスを作成するデベロッパー向けのソリューションについて説明します。
サイトがサードパーティ Cookie を使用する埋め込みに依存している場合は、埋め込みに関連するジャーニーを監査およびテストし、不具合が見つかった場合は埋め込みプロバイダに連絡してください。
埋め込み関連のユーザー ジャーニーの監査とテスト
埋め込みがサードパーティ Cookie の影響を受けているかどうかを判断する最善の方法は、サードパーティ Cookie のテストフラグを有効にしてサードパーティの埋め込みユーザーフローをテストすることです。
サードパーティ Cookie を制限したら、次のような一般的な埋め込みのシナリオをテストします。
- チャット ウィジェット: チャット セッションを開始できますか?セッションを失うことなくページを更新できますか?他のページに移動してセッションを続けることはできますか?
- コンテンツの埋め込み: 動画コンテンツやその他の埋め込みコンテンツを表示できるか。言語や字幕などのユーザー設定は維持されますか?想定どおりに広告が表示されるか(例: プレミアム定期購入者として表示されない)?
- ログイン: ログイン(シングル サインオン(SSO)のログインを含む)をサポートする埋め込みでは、ログインは機能しているか。ページの再読み込みや、同じ埋め込みを使用するページへの移動を行っても、エラーは維持されますか?
- コメント ウィジェット: コメントを残したり、高く評価したり、賛成票を投じたりすることができます。
- 組み込みの支払いソリューション: 支払いを正常に完了できるか?
以降のセクションでは、これらのフローがどのような影響を受ける可能性があるかについて、より具体的な情報を確認します。
一般的なユースケース
これまでサードパーティ Cookie に依存していた埋め込みに使用できる API は数多くあります。次の表に、一般的なワークフローと、概要として使用することが推奨される API を示します。以降のセクションでは、これらの推奨事項が表示される理由について説明します。
| ユースケース | サードパーティ Cookie の使用に推奨される API |
|---|---|
| チャット ウィジェット | チップ |
| 地図の埋め込み | チップ |
| 信頼できないユーザー コンテンツ(googleusercontent.com や githubusercontent.com など)用のサンドボックス ドメイン(パブリッシャーごとにスコープを設定する必要がある) |
チップ |
| パブリッシャーごとに状態スコープを設定する必要がある埋め込み広告 | チップ |
| ID プロバイダを介したログイン | FedCM |
| 別の、ただし関連性のあるオリジンでホストされる埋め込み。 | Storage Access API と関連ウェブサイト セット |
| ログインベースの設定を含む埋め込みコンテンツ (広告なしの動画コンテンツ、言語/字幕の設定など) |
Storage Access API |
| ログインが必要なソーシャル メディアのコメント ウィジェット | Storage Access API |
サードパーティの埋め込みユースケースに使用する API の選択
このセクションでは、適切な代替 API を選択する方法と、推奨される API について説明します。
次のフローチャートは、使用可能なオプションの選択に役立ちます。
をご覧ください。
フローチャートには主に 3 つの質問があります。ここからは、これらの詳細と、それぞれのケースで特定の API が推奨される理由を見ていきます。
1. Cookie はエンベディング サイトに固有ですか?
サードパーティの埋め込みの多くは、まったく無関係なサイトで独立して使用されています。たとえば、カスタマー サポート用のチャット ウィジェットでは、Cookie が機能するために必要であることがよくありますが、たまたま同じチャット ウィジェット ソリューションを使用している 2 つのまったく異なる組織間で Cookie を共有する必要はありません。むしろ、このようなケースでは多くの場合、Cookie の共有を許可しないことが望ましいでしょう。
Cookie に依存しているサードパーティの埋め込みサービスを他のサイトに提供している場合は、それらの Cookie が埋め込まれているサイトのサービスに固有のものかどうかを検討します。他のサイトに埋め込まれたインスタンスによって共有されたことはありますか?
Cookie を共有する必要がない場合は、CHIPS を使用して Cookie をパーティショニングする方法が最も簡単です。この API は、同じサードパーティの埋め込みを使用するすべてのサイトでサードパーティ Cookie を共有できるようにするのではなく、トップレベル サイトにサードパーティ Cookie を結び付けます。CHIPS は、既存の Cookie に Partitioned 属性を追加するだけでよく、簡単に実装できます。これにより、埋め込みサービスは引き続き状態を保存できますが、クロスサイト トラッキングを可能にする共有クロスサイト ストレージは削除されます。
サイトでは、Cookie が適切な理由で使用されているかどうかも確認する必要があります。Cookie は、設定されている場合、または HTTP リクエストで送信する必要がある場合にのみ使用します。そうではなく、Cookie が便利なストレージ オプションとしてのみ使用されている場合は、代わりにさまざまなストレージ API の使用を検討する必要があります。これにより、送信の必要のないデータはローカルに保存されます。ストレージ API は、CHIPS が Cookie を分割するのと同様の方法で、すべての主要なブラウザですでに分割されています。
2. この Cookie はサードパーティの ID プロバイダのものですか?
埋め込み機能でサードパーティ Cookie の一般的な用途として、サードパーティのログイン プロバイダが管理するログイン機能(Google でログインなど)を提供するものがあります。この場合、パーティション化された Cookie は使用できません。
Federated Credential Management(FedCM)は、このユースケース専用の API であり、サードパーティ Cookie なしで動作します。ID プロバイダが FedCM をサポートしている場合、サードパーティ Cookie が不要になる可能性があります。
サードパーティ Cookie がログイン ワークフローに及ぼす影響への対処について詳しくは、ID ガイドをご覧ください。
3. Cookie を使用している関連サイトは少数ですか?
上記のどのオプションも Cookie の代わりとして適切でない場合は、サードパーティ Cookie による埋め込みへのアクセスを再度有効にする必要があります。これは、Storage Access API を使用して、制御された特定のユースケースで有効にできます。この API はサードパーティ Cookie への完全なアクセスを再度有効にします(制御が適用されます)。そのため、これは最も強力なオプションです。そのため、より制限の厳しい代替手段で十分であれば、この方法は使用しないことをおすすめします。
Storage Access API を使用するための要件は次のとおりです。
- ユーザーが以前にトップレベルの埋め込みサイトにアクセスしたことがある。たとえば、コメント システムを埋め込む場合、ユーザーはそのコメント システムのサイトにもアクセスする必要があります。
- Cookie を共有するには、ユーザーが埋め込みを操作する必要があります。つまり、ユーザーが操作を行う前に、埋め込まれたコンテンツ全体を読み込めない可能性があります。
- ユーザーは、ブラウザのポップアップによる Cookie の共有を承認する必要がある場合があります(特に初回およびその後は定期的に承認)。
- 埋め込みサイトでは、追加のサンドボックス属性の設定が必要になる場合もあります。
こうした制限により、サードパーティ Cookie の再有効化という強力な措置がとられるのは、ユーザーとサイトが期待どおりの場合のみです。ただし、特定のシナリオではユーザーのアクションがスキップされることがあります。たとえば、ユーザーが最近アクセスを承認した場合、(ブラウザで定義される)一定期間は再度プロンプトを表示する必要がないことがあります。
ユーザーがこれを想定する可能性が高いもう一つのシナリオは、関連サイトです。たとえば、組織によっては、複数の異なるオリジンを使用しているため、ブラウザではクロスサイトとみなされるため、それらのオリジンを介した Cookie の使用はサードパーティとして扱われます。たとえば、国別のサイト(example.com、example.co.uk など)やブランド固有のウェブサイト(example.car、example.house など)を保有するブランドなどが該当します。
関連ウェブサイトが少ない状況では、関連ウェブサイト セットを使用できます。サイトは Chrome に送信され、Chrome で関連性があることを認識します。これにより、少ないユーザー プロンプトで、よりユーザー フレンドリーな方法で Storage Access API にアクセスできます。
実際にはサードパーティであり、代替 API では不十分であるためにサードパーティ Cookie への完全なアクセスが必要な場合、Storage Access API の使用には完全な要件とプロンプトが適用されます。
各種 API の比較
特性や制限事項がそれぞれ異なるため、特定のユースケースでは優れた選択肢となります。次の表は、主な違いをまとめたものです。
| チップ | パーティション分割ストレージ | FedCM | Storage Access API と関連するウェブサイト セット | Storage Access API | |
|---|---|---|---|---|---|
| ユーザーが以前にトップレベル サイトとして埋め込みパーティにアクセスしたことがない | |||||
| アクセス承認にユーザー プロンプトが不要 | |||||
| ユーザーによる埋め込みの操作は不要 | (最上位レベルのアクセス権を持つ埋め込みサイトにも適用可能) |
||||
| 実装の労力 | 非常に低い | 低 | 高 | 中 | 中 |
| 複数のトップレベルのサイト/オリジンで Cookie を共有するために使用できる | (協議中の提案。) |
||||
| Chromium 以外のブラウザで利用可能 | (Storage Access API にフォールバック) |
ブラウザをまたいだユースケースのサポート
表の最後の行で触れたように、ブラウザの互換性は、ソリューションを決定する際の主な要因の 1 つです。一部の API(CHIPS、FedCM、Related WebSite Sets)は、Chromium ブラウザでのみ使用できます。現在、クロスブラウザ ソリューションは、パーティション分割ストレージ API(Cookie が不要な場合)と Storage Access API(Cookie が必要な場合)の 2 つだけです。
ただし、前述のとおり、Storage Access API にはウェブサイトのユーザー エクスペリエンスに影響を与える可能性のあるさまざまな制限があります。Chrome チームは他の API の追加に取り組んできました。これらの API は、特定のユースケースに対応し、サードパーティ Cookie で可能なことと同様のエクスペリエンスを提供できるように設計されています。そのため、最適な選択肢を検討したうえで、サポートしていないブラウザには Storage Access API を代わりに使用し、段階的な機能強化として扱うことをおすすめします。
Cookie はさまざまな理由(ブラウザの設定、拡張機能など)でブロックされる可能性があるため、API サポートの機能検出だけでは不十分な場合があります。代わりに、想定される Cookie が存在するかどうかをテストし、存在しない場合はサードパーティ Cookie へのアクセスをリクエストする Storage Access API ワークフローに戻ることをおすすめします。
今すぐご対応ください。
サードパーティの埋め込みがサードパーティ Cookie を使用しないと機能しなくなった場合、この説明で詳述されているように、考えられる影響に対処できる複数のソリューションを利用できます。サードパーティ Cookie のサービスを監査する今すぐ
現在、Chrome はサードパーティ Cookie の削除をテストしており、埋め込みコンテンツの破損が発生している場合は、この投稿で説明する代替サービスに移行するための短期的なサポートが多数用意されています。詳しくは、重要なユーザー エクスペリエンスの維持に関するドキュメントをご覧ください。
このガイドに記載されていない、サードパーティの埋め込みのユースケースについてご質問がある場合は、「サードパーティ Cookie のサポート終了」を使用して新しい問題を報告してください。タグを参照してください。