【一問一答】「 デバイスフィンガープリンティング 」とは? : デバイス特有の属性で同定する行為

Cookieは、ユーザーのオンライン同定・トラッキング手段としてよく知られています。ですが、手段はほかにもあります。

「デバイスフィンガープリンティング」は長年、Cookieに替わる、より隠密性の高い手段としてレーダー網をかいくぐってきました。とはいえ、AppleやGoogle、モジラ(Mozilla)といったブラウザメーカーは近年、デバイスフィンガープリンティングをプライバシー侵害行為と見なし、オンライントラッキングの広範な取り締まりの一環として、その根絶を狙っています。

デジタルマーケティングの未来に示唆を与える用語をわかりやすく説明する「一問一答」シリーズ。今回は、デバイスフィンガープリンティングについて説明します。

――まず、デバイスフィンガープリンティングとは、ひと言で表すと?

デバイスフィンガープリンティングとは、ひとつのデバイスに特有の属性(アトリビュート)――OSの種類、ウェブブラウザのタイプとバージョン、ブラウザの設定言語、IPアドレスなど――を総合してデバイスを同定する行為を指します。デバイスフィンガープリンティングではCookieと違い、ある日あるデバイスの属性と同じものが別の日にもそのデバイスに見られた場合にのみ、両者を同一のデバイスと推定します。

――利用目的はなんでしょう?

デバイスフィンガープリンティングによる人物のオンライン同定・追跡行為は、警察捜査における写真照合に似ていなくもありません。目撃者は容疑者のいくつかの特徴――背格好、髪の色や長さ、性別など――をおそらく記憶しており、見せられた写真の人物にそれらの特徴を認めた場合、その人物を容疑者と推定する。その判断の正誤はともかく、目撃者はつなぎ合わせた断片的情報に基づいて推測をしています。

デバイスフィンガープリンティングは、場合によって、より信頼性の高い同定・追跡手段になり得ます。これはもともと、オンライン広告業界において、モバイルアプリなど、企業がCookieを使えない環境における同定・追跡の代替手段として誕生しました。Cookieはブラウザから容易に消去できますが、ユーザーがOSの変更やIPアドレスの再設定までする可能性は低く、その点で、デバイスフィンガープリンティングはより確実かつ安定した同定・追跡手段と言えます。

――デバイスフィンガープリンティングは怪しい行為ではないのですか? 企業にデバイスフィンガープリンティングをさせない方法は?

これといった方法はありません。バーチャルプライベートネットワークを使用してIPアドレスを隠すことはできますが、基本的に、個人がデバイスフィンガープリンティングから身を守るのは難しいです。デバイスフィンガープリンティングに用いられる情報は――たとえば、ユーザーが特定のフィーチャーをサポートしていないブラウザを使用している、あるいは特定の言語でコンテンツを見ようとしているといった認識など――ウェブサイトを適切にローディングするために欠かせない、つねに送信される基本的情報だからです。

――ウェブブラウザ側に防御手段はないのか?

手段は存在し、すでに講じられています。2018年、Apple、Google、モジラ(Mozilla)は各々のブラウザにおけるデバイスフィンガープリンティング行為を制限する旨を発表しました。方法は各社それぞれです。Appleはフィンガープリンティング用に収集・統合したデータを覆い隠し、サイトの適切なローディングに必要なデータは送信させつつ、デバイスの同定には使いがたくする試みを実践しています。モジラ(Mozilla)はフィンガープリンティングを行なう企業名を挙げた第三者作成のリストを利用し、当該企業のフィンガープリンティングに用いる情報へのアクセスをブロック。Googleは特定の企業がデバイスフィンガープリンティングのためにアクセスできる1回の情報量を制限する「プライバシーバジェット(privacy budget)」の導入を、実施はしていませんが、すでに発表しています

――多くのアドテク企業がトラッキングにデバイスフィンガープリンティングを利用しているのでしょうか?

その点は、アドテク企業についても、定かではありません。米DIGIDAYがアドテク7社――バウンスX(BounceX)、データシュー(Dataxu)、インデックス・エクスチェンジ(Index Exchange)、ライヴランプ(LiveRamp)、ロテーム(Lotame)、ソヴロン(Sovrn)、タップアド(Tapad)――にデバイスフィンガープリンティング使用の有無を訊ねたところ、7社とも非使用と回答。理由として、この種のトラッキングを拒否するオプションのユーザーへの提供が難しい点を挙げています。

たとえば、クロスデバイス広告に特化したアドテク企業タップアドのCOOマーク・コノン氏は、「フィンガープリンティングの広範な使用は預かり知らない」と断言しています。

しかし、これら7社が使用していないからといって、ほかの企業もそうとは限りません。データシュー(Dataxu)のCTOビル・シモンズ氏はデバイスフィンガープリンティングの使用の有無を訊ねられた際、同社では行なっていないと答え、「皆さんは驚くが」と言い添えています。つまり、シモンズ氏はこの質問者らの反応を、多くのアドテク企業がフィンガープリンティングを使用している可能性を示唆するものと解釈した、ということになります。

フィンガープリンティングを行なっている企業名は、モジラ(Mozilla)が利用する前述のリストで確認できます。広告認証企業ダブルヴェリファイ(DoubleVerify)やデマンドサイドプラットフォーム(DSP)のメディアマス(MediaMath)はその2例でしょう。後者はフィンガープリンティングの使用について明言を避け、前者からは返答そのものがありませんでした。とはいえ、両企業ともに、ターゲティング広告目的ではフィンガープリンティングを使用してない可能性はあります。

――これはターゲティング広告だけに利用されているのですか?

そうではありません。たとえば、銀行のウェブサイトも同様の情報を利用しており、特定のアカウントにログインしようとしている人物が、そのアカウントの所有者かどうかを、前回のログイン時に使用したデバイスまたはブラウザを使っているか否かで確認していると、ロテーム(Lotame)のCMOアダム・ソロモン氏は語ります。これはまた、複数のデバイスにわたる広告の測定にも利用できます。企業はしばしばIPアドレスを使い、同一世帯内で同一Wi-Fiネットワークに接続する複数のデバイスを関連付けるのです。つまり、この関連付けを利用すれば、特定のブランド広告がそれらのデバイス上に表示された回数を確認し、その情報にもとづき、当該広告をどのユーザーにどのくらいの頻度で見せたら良いのかの管理が可能となります。

Tim Peterson(原文 / 訳:SI Japan)
Photo by Shutterstock