Google Chrome 80以降、SameSite値が設定されていないCookieはSameSite=Laxとして扱われるようになります。

KARTEへの影響調査を行ったところ、マルチドメインオプションを使用している場合に限って、visitor_idが変更されるケースがあります。その場合でも、ユーザーのマージが行われ計測自体は継続されます。また、今回の件の対応について、クライアント様側で特別な作業は必要ありません。

詳しくは下記をご確認ください。

影響対象

  • Google Chrome 80以降、CookieのSameSiteオプションに関する扱いが変わります
    • SameSiteオプションを設定していないCookieについては、デフォルトでSameSite: Laxとして扱われるようになります
      • これにより、SameSiteオプションを設定していないCookieの3rd party利用が制限されます
    • CookieにSameSite: NoneかつSecureという設定を明示的に追加しないと、3rd party利用しようとしてもアクセスできなくなります
      • これにより、SameSite: Noneが設定されているCookieについては、HTTPS通信以外の3rd party利用ができなくなります
  • KARTEの通常の計測タグについては、トラッキングに1st party cookieのみ利用しているため、特に影響はありません
  • ただし、マルチドメインオプションを使用している場合については、visitor_idとして利用される.karte.ioドメインの3rd party cookie(ktid)の設定更新が必要となります。従来はSameSiteオプションが付いていませんでした

KARTE側の対応

  • 2020年1月中旬に、KARTE側のマルチドメインオプションに関しては下記の修正を完了しています
    • _ktidという.karte.ioドメインの3rd party Cookieを新たに発行し、こちらにはSameSite: NoneSecureオプションを付けるように変更しました
      • SameSite: None
        • 3rd party利用されるCookieであることを示します
      • Secure
        • HTTPSの通信時のみやり取りを行うことを示します
        • トラッキング時の送信先であるt.karte.ioドメインとの通信はHTTPSなので問題ありません
    • 今後は、マルチドメインオプション利用時のvisitor_idには_ktidの値が使われるように変更されます
  • なお、マルチドメインオプション利用時の関連するCookieは下記です
    • 3rd party Cookie(.karte.ioドメイン)
      • ktid
        • 今回の対応「以前」のマルチドメイントラッキング用visitor_id
      • _ktid
        • 今回の対応「以降」のマルチドメイントラッキング用visitor_id
        • 初回アクセス時の生成方法
          • 従来のktidが取得できる場合
            • ktidの値をコピーして生成
          • 従来のktidが取得できない場合
            • 新規の値で生成
    • 1st party Cookie
      • krt.ktid
        • _ktidの値をコピー
      • krt._ktid
        • _ktidの値をコピー
      • krt.vis
        • visitor_idとして使われる値
        • 今回の対応以降は、_ktidの値をコピー

クライアント様側の対応

  • 特に必要ありません

上記対応後の影響内容

通常のトラッキング

  • KARTEの通常の計測タグについては、トラッキングに1st party cookieのみ利用しているため、特に影響はありません

マルチドメインオプションのトラッキング

  • マルチドメインオプションのトラッキングについても、上記のKARTE側対応により、Google Chrome 80以降であっても継続的に行われます
  • 下記の全ての条件を満たす場合のみ、visitor_idが変更になります
    • マルチドメインオプションが有効な計測タグが設置されている
    • 上記のKARTE側対応が入って以降に、version 80以前のChromeでアクセスが無いまま、version 80以降のChromeでアクセスがあった場合
  • ただし、visitor_idが変更される場合も、1st party cookieであるkrt.vis(visitor_id)を元にマージが行われるので、計測自体は継続されます
  • visitor_idが変更になった場合、変更前後のeventログをKARTE Datahubのクエリで抽出しても、同一ユーザーとして特定できない可能性があります

その他

  • 従来からのktidは、SameSite値が設定されていない3rd party cookieであるため、Chromeのコンソールに警告が出ることがあります
    • SameSite: Noneを正しく解釈できない古いブラウザがあるため、ktidも引き続き継続して発行されています
    • 今後は利用しなくてよいCookieであるため、Google Chrome 80以降に3rd party cookieとして取得できなくなっても問題ありません
  • KARTEから発行した_ktid以外のCookieをクライアント様環境等で独自に3rd party利用している場合、基本的にはChrome 80以降の3rd party利用はできなくなります

参考: Google Chrome 80のCookie SameSiteオプションのデフォルト値変更について

詳細な仕様については下記をご参照ください。

Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう