サードパーティCookieなどのウェブトラッキング手法の効果が失われるにつれて、企業は異質な情報をパズルのように組み合わせる形でトラッキング手法を改善しています。一方Googleは、フィンガープリンティング技術を阻止するために、数々の技術的な防護策を構築。このデジタル広告の巨人によるフィンガープリンティング防止の取り組みのひとつに、「プライバシーバジェット（Privacy Budget）」があります。

Googleは、プライバシーサンドボックス構想の一環としてプライバシーバジェットを提案。プライバシーバジェットは、プライバシー研究の領域では一般的な手法ですが、GoogleはGoogleの承認をコンセプトとしてプライバシーサンドボックスのタイムラインに含めることで、その機運を醸成しているのです。

このプライバシーバジェットについて、いつものQ&Aシリーズで解説していきます。

Advertisement

──まず、プライバシーバジェットとは、ひと言で何でしょう？

Googleブランドのプライバシーバジェットであろうと、Safariでプライバシー保護を提供するAppleのような企業が実装するブランド名のない一般的な手法であろうと、プライバシーバジェット自体はフィンガープリンティングを防ぐ技術です。その考え方は、たとえばウェブページが読み込まれるたびに送信される、HTTPヘッダーのようなところから情報をマイニングして組み合わせることで、誰かのIDの検出や割り当てができる「フィンガープリンティングサーフェス（fingerprinting surfaces）」に制限を設けることです。

ここで重要なのは、プライバシーバジェットのシナリオでは、ウェブブラウザがユーザーエージェントである、言い換えればブラウザを使用する人の代理をするものであるという点。プライバシーバジェットは、さまざまなシステムが誰かのブラウザのなかでアクセス可能または検出可能な情報量の上限です。言い換えれば、プライバシーバジェットは、事前に設定された「しきい値」に基づいてブラウザがある程度までの情報を公開することを可能にしますが、それ以上のデータがアクセスされたり検出されたりすることは阻止します。

──なるほど。では、一般的にプライバシーバジェットはどのように機能するのでしょうか？

ある意味で、プライバシーバジェットは金銭的な予算や取り扱い可能な金額の上限と考えることができます。ただし、プライバシーバジェットで使用される単位はドルではなく、プライバシーバジェットで許容されるデータの価値はビットで表されます。たとえば、プライバシーバジェットが動作している場合、これを導入しているウェブサイトやテクノロジーからアクセスできる情報の量は、各データがビット単位でどのように数値化されているかに従って制限されるのです。そのため、システムがブラウザで韓国語を使用するように設定されていることを検知できる場合、その言語設定は固有の特性と見なされ、相応のビット数で数値化されます。あらかじめ定義されているビット数やブラウザ固有の特性の数までデータが検出されると、プライバシーバジェットが取り尽くされたことになります。

──なぜ今、人々はプライバシーバジェットについて話しているのですか？

Googleは、プライバシーサンドボックスツールのひとつとして、その包括的なプロジェクトのタイムラインに沿ってGoogleブランドのプライバシーバジェットを2023年中に有効化する予定です。一方で、Googleがこのコンセプトへの関心を高めようとしてきたため、ウェブ技術の標準化団体であるワールドワイド・ウェブ・コンソーシアム（World Wide Web Consortium）で提案されたさまざまなウェブ標準仕様のなかでも、たとえばビデオやオーディオのストリーミングに使われる技術など、さまざまな技術に潜在するフィンガープリンティング機能を制限できる手法としてプライバシーバジェットが言及されています。

──それでは、なぜGoogleはこのアイデアを支持しているのでしょう？

ある企業の広報担当者は、この技術が未成熟であることを強調しつつ、「プライバシーバジェットは、人々をフィンガープリンティングから保護することを目的とした提案の初期段階にあるが、これはウェブサイトにアクセスするユーザーのブラウザの情報に対してサイトごとに上限を設けるもの。したがって、トラッキングに使われる可能性のある新しい情報がサイトを越えて提供されることはない。ほかのあらゆる提案と同様に、私たちはこの開発プロセス全体を通じてフィードバックの取得と開発者へのリソースの提供を継続し、よりプライベートなウェブへのスムーズな移行を支援する」と、米DIGIDAYに語っている。

同社はまた、Googleのエンジニアがこの技術について、開発者フォーラムのGitHub（ギットハブ）で公開した情報に言及しました。その投稿では、「基本的に、サイトに公開される個々のユーザーに関する情報量に制限を設け、大規模かつ異質なグループの一部となる可能性のある場合を除いて、全体としてウェブ上でのユーザーの識別や追跡には不十分となるようにしたい」と書かれ、さらに「個々のユーザーに関する情報公開の最大許容範囲をプライバシーバジェットという」と付け加えられている。

──Googleがこれを実装、あるいは実装したときに、プライバシーバジェットが取り尽くされると、サイトやテクノロジーには何が起きるのでしょう？

Googleの開発者概要によれば、ウェブサイトやテクノロジーがプライバシーバジェットで制限されている情報を検出しようとすると、ページエラーになるか、またはこの技術によってフィンガープリンティングサーフェスの「プライバシー保護バージョン」に置換され、「ノイズのある」結果や意味のない結果が返ることになります。

──厄介なことになりそうですね。どんな問題が発生しうるのでしょうか？

プライバシーバジェットの手法を詳しく調べた人々は、細かな問題が数多く発生する可能性があると話します。しかし、ユーザーエクスペリエンスに悪影響を及ぼしそうな非常に重要な問題がいくつかあり、マーケターやサイトのパブリッシャーはそれを考慮すべきでしょう。

ブラウザメーカーのブレイブ（Brave）の研究者は、Googleが提案したプライバシーバジェットのアプローチについて、特にユーザーエクスペリエンスとサイトの最適化に影響を及ぼす可能性のある2点を含めて、複数の潜在的な問題を特定しました。

まず、プライバシーバジェットが取り尽くされると起動するプライバシー保護システムは、ブラウザのパフォーマンスが低下するほどの大量のノイズを放出してしまう可能性があります。さらに、ブレイブのチーフサイエンティストであるベン・リブシッツ博士とシニアプライバシーリサーチャー兼プライバシーディレクターのピート・スナイダー氏は、「フィンガープリンティングに使用されるデータにアクセスしようとして、ブラウザを攻撃するウェブサイトを阻止するメカニズムがほとんど導入されていないことがふたつ目の問題だ」と述べています。

さらに、サイトが機能する方法に関するさまざまな動的制約に対応できるウェブサイトや技術を構築しようとしている一部のウェブ開発者はこのアプローチに「手出しできない」可能性があると、スナイダー氏は米DIGIDAYに話しています。もちろん、市場を支配するChromeブラウザにGoogleがプライバシーバジェットを組み込むなら、このウェブ開発者はそのリソースのほとんどを、Googleのブラウザがカバーする世界中のウェブトラフィックの3分の2にリーチする技術の構築に振り分けざるを得ないでしょう。

［原文：WTF is Google’s Privacy Budget?］

KATE KAYE（翻訳：SI Japan、編集：長田真）