【2026年最新】サードパーティCookieとは？廃止の状況と企業の対応策をわかりやすく解説

「Googleが廃止撤回を発表したから、もう対応しなくていい。」と安心しているウェブ担当者の方はいないでしょうか。しかし実態は違います。SafariとFirefoxではサードパーティCookieのブロックがすでにデフォルトになっており、改正電気通信事業法やGDPRという法規制の観点からも、同意管理への対応は引き続き不可欠です。ChromeのCookie廃止をめぐるニュースに目を奪われている間にも、規制環境は着実に変化しています。本記事では、サードパーティCookieの基礎から最新のブラウザ動向、そして今すぐ取るべき対応策までを解説します。

サードパーティCookieとは複数サイトをまたいでユーザーを追跡するCookieのこと

サードパーティCookieとは、ユーザーが訪問しているウェブサイトとは別の第三者が発行するCookieで、複数のサイトをまたいだ行動追跡を可能にする仕組みです。現在、このサードパーティCookieはプライバシー上の問題から、ブラウザや法律の両面で規制が強まっています。その背景を正しく理解するには、まずCookieそのものの仕組みから押さえておく必要があります。

Cookieの基本的な仕組み

Cookie（クッキー）とは、ウェブサイトがユーザーのブラウザに保存する小さなテキストデータのことです。たとえばオンラインショッピングサイトでカートに商品を入れた後、別のページを開いてもカートの中身が消えないのはCookieのおかげです。ブラウザは、ウェブサイトのサーバーと通信するたびにCookieを送受信することで、ログイン状態の維持や閲覧履歴の記憶といった機能を実現しています。

仕組みを順序立てて説明すると、まずユーザーがウェブサイトにアクセスすると、サーバーがブラウザに「そのブラウザ固有の識別子」をCookieとして保存します。次回同じサイトにアクセスした際、ブラウザはそのCookieをサーバーに送り返すことで、「前回と同じブラウザだ」と認識してもらえます。このやり取りがあることで、ウェブサービスはユーザーごとにパーソナライズされた体験を提供できるのです。

ファーストパーティCookieとサードパーティCookieの違い

Cookieには「ファーストパーティ」と「サードパーティ」の2種類があり、Cookieの発行元が自サイトかどうかで区別されます。

項目	ファーストパーティCooki	サードパーティCookie
発行元	ユーザーが訪問しているサイト自身	訪問サイトとは別の第三者（広告配信会社など）
追跡範囲	同一サイト内のみ	複数のサイトをまたいだ追跡が可能
主な用途	ログイン状態の維持、カート情報の保存、アクセス解析	リターゲティング広告、コンバージョン計測（アトリビューション分析）、クロスサイトトラッキング
具体例	ショッピングカートの中身が別ページに移動しても保持される	ECサイトで見た商品の広告が、その後別サイトでも表示される
ブラウザ・法規制の影響	規制の直接対象外	主要ブラウザおよびGDPR・改正電気通信事業法の主な規制対象

ファーストパーティCookieは、ユーザーが訪問しているサイトそのものが発行し、そのサイト内でのみ情報を完結させます。
一方、サードパーティCookieは訪問サイトとは別の第三者（広告配信業者など）が発行し、複数のサイトをまたいで情報を共有できる点が根本的な違いです。ユーザーがサイトAを閲覧中であっても、そのサイトに埋め込まれた広告タグが広告配信会社のサーバーと通信してCookieを発行し、サイトBでもその情報を参照できます。

サードパーティCookieの主な用途

サードパーティCookieは、現代のデジタルマーケティングを支える基盤として広く活用されてきました。主な用途として以下が挙げられます。

ターゲティング広告・リターゲティング広告

ユーザーが過去に閲覧したサイトや商品をもとに、別のサイトで関連広告を表示する仕組みです。例えば、あるECサイトでスニーカーを閲覧したユーザーがその後ニュースサイトを開くと同じスニーカーの広告が表示される。このリターゲティング広告の仕組みをサードパーティCookieが担っています。

広告効果測定

どの広告をクリックしたユーザーが最終的にコンバージョン（購入や問い合わせ）に至ったかを追跡するアトリビューション計測もサードパーティCookieに依存しています。

こうした利便性の高さゆえにサードパーティCookieは広く使われてきましたが、その裏側にはプライバシー上の深刻な問題が潜んでいます。

サードパーティCookieが規制される背景

サードパーティCookieが規制される背景には、広告・マーケティング活用の利便性と、ユーザーのプライバシー保護という、相反する2つの要求があります。

ユーザーのプライバシー侵害リスク

サードパーティCookieの最大の問題は、ユーザーが意識しないままサイトをまたいで行動を追跡される点にあります。あるユーザーが旅行サイト、健康情報サイト、ショッピングサイトを順番に閲覧したとします。それぞれのサイトに同じ広告配信会社のタグが埋め込まれていれば、その会社は「このユーザーは旅行に興味があり、健康に関心を持ち、オンラインショッピングをよく使う」という詳細なプロファイルを知らぬ間に蓄積していることになります。

ユーザーにとって問題なのは、自分のどのデータが、誰に、どのような目的で使われているかを把握できない「不透明性」にあります。こうした行動追跡・プロファイリングへの懸念が世界的に高まったことが、サードパーティCookieを規制する流れの根底にあります。

サードパーティーCookie規制強化の国際的な流れ

プライバシー保護への意識の高まりを受け、各国・地域で法的規制が強化されています。

GDPR・ePrivacy指令（EUおよびEEA）

2018年に施行されたGDPRは、Cookie情報を個人データとして保護対象に含めています。ePrivacy指令は、ウェブサイトが非必須のCookieをユーザーのブラウザに保存する前に、明確な同意を取得することを求めています。GDPRが個人データ全般を対象とするのに対し、ePrivacy指令はCookieを含む電子通信のプライバシーに特化した規則です。両規制の両面から同意取得が義務づけられており、日本企業であってもEU域内の居住者向けにサービスを提供する場合には適用される可能性があります。

改正電気通信事業法（日本）

2023年6月施行の改正電気通信事業法では、外部送信規律が新たに設けられました。ウェブサイトやアプリに組み込まれたタグやSDKがユーザーの情報を外部サーバーへ送信する場合、その利用目的の公表または同意取得が義務となります。対象はCookieだけでなく、閲覧したページのURL（閲覧履歴）、購買履歴、広告IDなど、タグやSDKを通じて送信される幅広い利用者情報が含まれる点が重要です。

サードパーティCookie規制が企業に与える影響

ブラウザによるブロックや法規制の強化は、自社サイトを運営する企業の実務にも直接的な影響を及ぼします。主な影響として以下の3点が挙げられます。

広告ターゲティング精度の低下

サードパーティCookieが利用できなくなると、過去の閲覧履歴にもとづくリターゲティング広告の精度が下がります。リターゲティング広告への依存度が高いほど、広告費の費用対効果が低下する可能性が大きくなります。

コンバージョン計測のズレ

広告クリックからコンバージョンまでの経路を追跡するアトリビューション計測にも影響が出ます。SafariやFirefoxのユーザーはすでにサードパーティCookieがブロックされているため、計測上のコンバージョン数が実態よりも少なく見えているケースが現時点でも発生しています。

マーケティング施策の効果判断の困難化

サードパーティCookieに依存したアトリビューション分析では、どのチャネルがコンバージョンに貢献したかを正確に把握できなくなります。データの欠損が積み重なることで、広告予算の配分や施策の優先順位付けといった意思決定の精度が下がる可能性があります。

【2026年最新】主要ブラウザのCookie規制状況

こうした影響はすでに現実のものとなっています。各ブラウザの対応状況も確認しておきましょう。サードパーティCookieへの規制は、特定のブラウザだけの問題ではありません。世界の主要ブラウザはそれぞれ異なる対応状況にあります。各ブラウザの現状を正確に把握することが、適切な対応策を立てる第一歩です。

Safari・Firefox：サードパーティCookieのデフォルトブロック

AppleのSafariは、2017年にITP（Intelligent Tracking Prevention：サードパーティCookieをブロックするAppleの追跡防止機能）を導入して以降、段階的にサードパーティCookieへの制限を強化してきました。2020年3月のアップデート以降、SafariはデフォルトでサードパーティCookieを完全にブロックしており、2026年現在もこの方針を維持しています。

MozillaのFirefoxも、2019年よりETP（Enhanced Tracking Protection：サードパーティCookieをブロックするFirefoxの追跡防止機能）をデフォルトで有効化しています。追跡目的と見なされるサードパーティ由来のCookieやスクリプトが広く遮断されており、2026年現在もこのデフォルトブロックの設定が継続されています。

国内のブラウザシェアを見ると、2026年3月時点でChromeが約58%で首位を占め、Safariが約22%で続いています。Safariのシェアは決して小さくなく、日本ではiPhoneの普及率が高いためSafariユーザーへの影響は無視できません。

Microsoft Edge：プライバシー保護への移行と代替API

MicrosoftはEdgeについて、2024年3月にプライバシーに配慮した広告の新技術「Ad Selection API」を発表しました。Ad Selection APIは、サイトをまたいだトラッキングに依存せず、ユーザーが自分のデータを管理しながら適切な広告を受け取れる仕組みです。

EdgeはChromeと同じ開発基盤（Chromium）をベースとしており、サードパーティCookieに依存しないプライバシー保護の方向性は他の主要ブラウザと一致しています。廃止の具体的な時期は明示されていませんが、大きなトレンドは変わりません。

Google Chrome：サードパーティCookie廃止撤回の背景と現状

世界で最大のシェアを持つGoogle Chromeの動向は、業界全体の注目を集めてきました。Googleがたどってきた経緯を時系列で整理すると以下のようになります。

時期	内容
2020年	GoogleがサードパーティCookieの段階的廃止を発表。代替技術としてPrivacy Sandbox（サードパーティCookieに代わる広告・計測技術群）の開発を開始。
2020年〜2024年	Privacy Sandboxの開発難航や、英国の競争・市場庁（CMA）との協議などを理由に3度にわたって延期。
2024年1月	全Chromeユーザーの1%を対象にサードパーティCookieを制限するテストを開始。
2024年7月	Cookieの一律廃止をやめ、ユーザーが選択できる仕組みを導入する方針へ転換を発表。
2025年4月	「選択プロンプト」の導入も見送りを正式発表。Chromeの「プライバシーとセキュリティ設定」でユーザーが個別に選択できる現行の方式を継続すると表明。
2025年10月	Privacy Sandboxの主要API（Topics APIなど）が事実上終了。

この一連の経緯を経て、2026年現在のChromeではサードパーティCookieは引き続き利用可能な状態です。ただしシークレットモードではデフォルトでブロックされており、Privacy Sandboxの主要APIも終了しています。

サードパーティCookie廃止撤回後も「対応が必要」な理由

ChromeのサードパーティCookie廃止計画が撤回されたというニュースは、ウェブ担当者にとって朗報に聞こえたかもしれません。しかし「撤回＝対応不要」という判断は、3つの観点から誤りです。

1.Safari・FirefoxユーザーへのサードパーティCookie未到達

前述の通り、SafariとFirefoxはすでにサードパーティCookieをデフォルトブロックしています。Chromeが廃止を見送った事実は、SafariやFirefoxのユーザーに対してサードパーティCookieが利用可能になることを意味しません。

国内のモバイルデバイスシェアを見ると、2026年3月時点でApple（iPhone）が約61%を占めています。iPhoneではSafariがデフォルトブラウザとして使われるため、スマートフォンからのアクセスが多いサービスを運営している場合、すでに無視できない割合のユーザーに対してリターゲティング広告が届いていない、あるいはコンバージョン計測が欠落している状態が続いていると考えられます。Chrome一辺倒の目線で「廃止撤回だから安心」と判断することは、既存の課題を見逃すことになります。

2.改正電気通信事業法はCookieだけでなく広範な外部送信が対象

改正電気通信事業法の外部送信規律は、Cookieにとどまらず、たとえばクエリパラメータ、IPアドレスのほか、閲覧履歴や購買履歴なども対象として含まれます。GA4のタグ、広告タグ、チャットツールのSDKなど、ウェブサイトに組み込まれている各種ツールが発生させる外部送信を網羅的に把握し、適切に公表または同意取得する体制が必要です。

この点で注意が必要なのは、Cookieの検出にしか対応していないツールでは、規律の範囲をカバーしきれないということです。Cookie以外の外部送信も含めて把握・管理できる仕組みを構築することが、改正電気通信事業法への実質的な対応につながります。

改正電気通信事業法の外部送信規律について詳しくは、「改正電気通信事業法とは？外部送信規律（Cookie規制）をわかりやすく解説」をご確認ください。

3.EUのCookie規制執行の継続

GDPRとePrivacy指令にもとづくCookie同意規制の執行は、2026年現在も継続されています。GDPRが施行された2018年以降、欧州各国の監督機関による制裁金の事例は年々増加しており、フランスのデータ保護当局CNILが2019年にGoogleへ5,000万ユーロ（当時約62億円）の制裁金を科した事例は広く知られています。また、2022年には日本企業として初めてGDPR違反による制裁金を科された事例も公表されました。

GDPRの違反に対しては、最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方が制裁金の上限として定められており、その水準は非常に高額です。EUに拠点を持つ企業だけでなく、越境ECや海外向けサービスを展開している日本企業にとっても、Cookie同意の適切な管理は看過できないリスク管理の課題です。

サードパーティCookie規制への具体的な対応策

「ではどこから手をつければよいか」という疑問に答えるため、現実的なアクションを3つのステップで整理します。廃止撤回の動きに一喜一憂するのではなく、足元の対応を着実に進めることが重要です。

自社サイトの外部送信の可視化

まず必要なのは、自社サイトで何が・どこへ・なぜ送信されているかを把握することです。GA4、広告タグ（Google広告、Meta広告など）、チャットツール、ヒートマップツールなど、ウェブサイトには多種多様なタグやSDKが組み込まれています。これらのすべてが外部送信の発生源となる可能性があります。

実態を可視化せずに「おそらく大丈夫だろう」と思い込んで対応を先延ばしにすることは、法令違反の可能性を潜在させたまま運営を続けることになります。サイトに組み込まれているタグの棚卸しと、各タグが発生させる外部送信の確認から始めることを推奨します。

サードパーティCookieに依存しない代替手段の検討

ブラウザ規制や法規制が強まる中、サードパーティCookieに依存しないマーケティング手段への移行も中長期的な課題として押さえておく必要があります。主な選択肢は以下の3つです。

ゼロパーティデータ・ファーストパーティデータの活用

アンケートや会員登録を通じてユーザーが自ら提供したデータ（ゼロパーティデータ）や、自社サイトの訪問履歴・購買履歴などのファーストパーティデータを活用する方法です。ブラウザの仕様変更や規制強化の影響を受けにくく、長期的に安定したマーケティング基盤となります。

コンテキストターゲティング

ユーザーの行動履歴ではなく、閲覧中のページの内容（文脈）に応じて広告を配信する手法です。Cookieを必要とせず、プライバシーへの配慮と広告効果を両立できます。

コンバージョンAPI（CAPI）

ブラウザ経由のタグではなく、サーバーサイドで直接コンバージョンデータを広告プラットフォームに送信する仕組みです。SafariのITPなどブラウザの制限を受けにくく、計測精度の維持に有効です。

CMPツール（同意管理プラットフォーム）による対応の効率化

外部送信の実態を把握し、中長期の方向性を定めたら、次に取り組むべきは同意取得の仕組みを整備する段階です。CMPツール（同意管理プラットフォーム）を導入することで、以下の対応を効率的に行えます。

プライバシーポリシーの整備支援

外部送信先や利用目的を適切に記載したプライバシーポリシーの作成をサポートします。

Cookie同意バナーの実装

ウェブサイトへの訪問者に対して、非必須のCookieや外部送信について同意を取得するバナーを実装します。GDPRやePrivacy指令が求める「事前同意」の要件に対応するためには、バナー表示のタイミングや設計が重要です。

外部送信先の網羅的な検知・整理

Cookieだけでなく、外部送信先をサービス単位で検知・分類する機能を持つツールを活用することで、改正電気通信事業法への対応もより実質的なものになります。

webtru（ウェブトゥルー）は、株式会社DataSignが提供するCMPツールです。Cookie同意バナーの実装やプライバシーポリシーの整備支援に加え、Cookie以外の外部送信先もサービス単位単位で検知・整理できる特許技術を持ちます。改正電気通信事業法やGDPRへの対応を効率化したい企業の選択肢のひとつとして検討してみてください。