「Googleのフィンガープリティングに対する姿勢は、曖昧にもほどがある」というのが、アドテク業界関係者の共通見解だ。

フィンガープリティングは、多様な情報を組み合わせて個々のユーザーを特定する手法で、Googleはこれを表立っては禁止している。しかし実際は、「Googleがどういった技術をフィンガープリティングとみなすのか、指標となる情報が少なく、正確に判断できない」と各社は頭を悩ませている。Googleによる判断基準が明確化されない状況が続けば、当然ながらアドテク企業たちも大きな影響を受ける可能性がある。これは、リスク以外の何ものでもない。提携先の企業が不正な手法を使っているとみなされる可能性があるからだ。また彼ら自身についても、異なる種類の情報をつなぎ合わせて個人を推定する確率論的手法を採用している場合、これがGoogleの禁止事項の範疇に含まれるのか判断できない。

「我々は、パブリッシャーやユーザーデータ保護の観点から、フィンガープリティング防止の取り組みを進めている。しかし、フィンガープリティングに関するGoogleの発表は不明瞭な点が多い。これでは業界としても、スケーラブルで将来性のあるソリューションを普及させるのは困難だ」と指摘するのが、IDソリューションを提供する、ID5のCEOであるマシュー・ロッチェ氏だ。ID5も、推定型の手法で個人にIDを割り当ててトラッキングすることで、広告のターゲティングや測定を行なっている。

Advertisement

明確にしないのは「敢えて」？

少なくとも2019年以降Googleは、データプライバシーの観点から、フィンガープリティングを制限してきた。「デジタル広告の仕組みは、ユーザーにとってコントラーブル、かつ十分な透明性が担保されたものでなければならない。フィンガープリティングはこの点で問題があり、我々のポリシーからは認められるものではない」と、同社の広報担当は米DIGIDAYに述べている。「ユーザーの個人情報と権利を守りつつ、測定や不正行為の防止を実現するための基準を、業界各社と話し合いながら実現していきたい」。

しかし問題は、Googleがフィンガープリティングの定義を明確にしていないことだ。米DIGIDAYはフィンガープリティングの詳細な定義について問い合わせたものの、Googleは回答を拒否した。また、広告システムにおいて運用される技術が、フィンガープリティングに該当するか否かを監視する手法についても、同様に回答は得られなかった。「ポリシーを遵守されているかどうかは、さまざまなシグナルをもとに判断する。だが、問題のある事業者が我々の検知を悪意をもって回避するのを防ぐため、具体的な技術については明かすことができない」と、Googleの広報担当は述べている。

GoogleのChromeブラウザにおけるサードパーティCookieのサポート廃止、および今後のデータや識別子の取扱いについての発表にともない、デジタル広告業界では、新しい広告識別子についてのテストが順次進んでいる。ただし、この種の技術のほとんどが、Googleの不明確なフィンガープリティングの定義に抵触する可能性がある。あるアドテク企業の幹部は、匿名を条件に以下のように語る。「実のところ、フィンガープリティングによる永続的なIDソリューションを構築しようとする企業は増加している。推定型の識別子は、フィンガープリティング技術と『呼ばれていない』だけで、原理的にはフィンガープリティング技術に基づいたものだ。Googleの定義に抵触する可能性は十分にある」。

Cookieを使用しない手法として、フィンガープリティングへの関心は高まる一方だ。個人情報保護のための提言を行っているエレクトリック・フロンティア・ファウンデーション（Electronic Frontier Foundation）のシニアスタッフテクノロジストで、長年フィンガープリティングの使用状況を追ってきたビル・バディントン氏は、「アドテク業界は、ブラウザででリターゲティングができる広告識別子を作り出す必要がある」と述べる。

Appleによるモバイルアプリのトラッキング制限についての発表以降、すでにさまざまな企業が、密かにフィンガープリティングを試みるようになっている。

Googleに従うしかない現状

フラッシュトーキング（Flashtalking）など、複数の企業がGoogleのフィンガープリティングに関する定義に抵触しない「とされる」技術の開発を進めている。しかし実のところ、本当に「抵触しない」ものであるかは定かではない。フラッシュトーキングはGoogleのサービスであるYouTubeでサードパーティ広告の配信を許されている。同社はブラウザのバージョンやOS、インストール済みのプラグイン、タイムゾーンなどの断片的な30を超えるデータを組み合わせ、永続的な識別子を作成して広告ターゲティングに活用している。この技術により、ユーザーが広告主のサイトにアクセスしたかどうかなど、広告に対する反応を測定できるようになっている。

フラッシュトーキングの技術は、異なる識別子をつなげてユーザーのアイデンティティをWeb全体でトラッキングする。またこの技術は、ユーザーへの情報取得の通知と、オプトアウト可能な機能も提供している。それゆえ業界関係者たちは、これであればGoogleの定義に抵触しないと想定している。フラッシュトーキングのCEO、ジョー・ナードン氏は「技術の方向性を決めるにあたって、Googleがブログに掲載した内容を精査し、問題視しないと思われる範囲内で動作するものを構築した」と述べている。

Googleによる「フィンガープリティング防止」の方向性について説明したもの。Googleはこの記事で、「不透明で、ユーザーが知らないあいだに個人情報が取得・共有される事態を防ぐ技術を開発する」と強調している。また同社は「ユーザーにオプトアウト通知をせず、デバイスのIPアドレスを使って個人を特定する技術」に関しては、NGとしている。フラッシュトーキングのプライバシーポリシーには、「ユーザーがサービスを利用した際のIPアドレスや、ブラウザ、あるいはデバイスがブロードキャストするユーザーエージェント文字列を通じて」ユーザーを特定する可能性があると記載されているが、「ユーザーがオプトアウトできる環境を提供する限り、Googleが制限をかけることはない」というのが同社の考えだ。

「Googleが求めているのは、個人情報取得についての流れ・仕組みを正確にユーザーに伝えること、そしてあらゆるインプレッションでオプトアウトの選択肢を提供することだ」とナードン氏は話す。

しかしながら、この件に関するGoogleの線引きは非常にあいまいで分かりづらい。アドテク企業はGoogleの広告識別子に対する考えを解釈しつつ、メールなどの個人データを利用してユーザーを特定しようとしているが、ここでも混乱が生じている。

IABもGoogleの姿勢に困惑

だが、たとえGoogleがフィンガープリティングの定義を明確にしても、それで混乱が収まるわけではない。たとえばGoogleは、アドテクベンダー向けのガイダンスのなかで「欧州インタラクティブ広告協議会（IAB Europe：以下、IAB）が定めた、透明性と同意の枠組み（TCF v2.0、特に第2項、特別第3項）を遵守する企業との提携を進めていく」としているが、このIABの枠組みが、Googleが示すフィンガープリティングの定義に抵触しているのではないかという見方がある。IABの文書を見ると、特別第3項は「IPアドレスなどのデバイスから自動収集されたデータを使って」、第2項は「デバイスの特性を自らスキャンして」識別子の作成・デバイスの再識別を行う手法と定めている。IABのガイドラインは、テックベンダーが特別第2項の手法を使う場合、ユーザーからオプトインの同意を得る必要があるとしている。

欧州IABのCMOヘレン・マッサード氏は、「フィンガープリティングは、一般的にデバイスやアプリのインスタンスを識別するための一連の情報要素と定義される。第3項も、特別第2項も、そういった意味でフィンガープリティングとみなすことができる」と話す。欧州IABはフィンガープリティングについて直接規制の指示はおこなっていないものの、「これらの手法は、EUのeプライバシー規則を遵守する形で運用しなければならない」としている。

ここからがさらにややこしい。Googleはベンダー向けのガイドラインのなかで、これらの手法を使う企業と協力するとしている一方、「我々のポリシーは識別のためのフィンガープリティングの使用を禁止している。サードパーティの広告配信に関する要件などは、TCF v2よりも厳しい基準・制限となる場合もあるが、あくまで我々のポリシーを遵守してもらう必要がある」としている。つまり「フィンガープリンティングを行う場合は協力するが、当社と提携する場合はフィンガープリンティングを行うことはできない」と主張していることになる。

あるアドテク企業の幹部は、匿名を条件に次のように話す。「我々はGoogleに対し、フィンガープリティング活用のポリシーについてより詳細な説明を求めたが、納得する回答は得られなかった」。また別の業界関係者は、GoogleのTCFやフィンガープリティング関連の表現について「複雑過ぎて、頭が痛い」と吐露している。

米DIGIDAYがGoogleの広報担当にこの不一致について尋ねたところ、次のような回答が返ってきた。「我々がパートナーと提携する際に、異なるベンダーが作成したフィンガープリティングが使用される可能性があることは、すでに認識している。ただし、ベンダーにはIAB TCFとは関係なく、Googleと製品やプラットフォームで提携する場合は、Googleのポリシーに従うよう求めている。我々は、以前からユーザー識別のためのフィンガープリティングについて独自のポリシーを定めており、今後もフィンガープリティング禁止の立場に変わりはない。またこれは、GoogleのTCF統合ガイダンスにも反映されている。ベンダー各社には、このガイダンスを遵守するよう求めている」。

Googleは「自らの力の限界」を知っている

ただ、一部のアドテク企業の幹部の努力により、この分かりにくい定義もわずかながら明確化された。アドテク企業のセントロ（Centro）でリアルタイム入札プラットフォーム運用担当VPを務めるイアン・トライダー氏は、「Googleは混乱しているわけではなく、自らの力に限界があることを知っているだけだ」と分析する。

「このルールは、Googleのシステムが関与するところだけが対象となる。それ以外の場所では、フィンガープリティングを使うのを黙認するというよりは、そこまで自らの力が及ばないと認識しているのだろう。Googleの考え自体は明快だ。Googleはフィンガープリティングを許容しない」とトライダー氏。「しかし提携企業や取引先の企業に対して、Googleのプラットフォームやインベントリーとは無関係なところまで活動自粛を命じるのは、やはり行き過ぎだ。だから、Googleのこの認識は適切だと思う」。

一方で、フィンガープリティングの線引きが不明確な状況が続けば、自社、場合によってはパートナー企業にまで罰則が課されるリスクを懸念して、Googleとの情報共有をためらう企業が続出する可能性もある。しかし実際のところ、「現状では、我々はGoogleの仕組みに依存せざるを得ない。Googleのベンダー承認リストから外されれば、これは大きな痛手だ」と、あるアドテク企業の幹部は述べる。

［原文：Google’s opaque practices to restrict fingerprinting create confusion among its ad tech partners］

KATE KAYE（翻訳：SI Japan、編集：村上莞）