毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2023年8月24日
- タイトル:プライバシーサンドボックスの現状
- メインスピーカー:データサイン 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
ウェブブラウザ向けのプライバシーサンドボックス
この日のランチタイムトークでは、グーグルの開発者向けブログに公開された記事やGithubの公開情報をもとに、ウェブブラウザ向けのプライバシーサンドボックス(Privacy Sandbox)のアップデート状況をチェックしました。
Chromeなどの主要ブラウザは、ウェブ上のプライバシー保護強化を目的としてサードパーティーCookie(3PC)の利用をブロックする方向に移行しています。それを代替するメカニズムとして、実装に向けた開発やテスト(オリジントライアル)が重ねられてきたのが、ブラウザ向けのプライバシーサンドボックスです。
プライバシーサンドボックスに含まれるAPIには、次のようなものがあります。
ウェブ上のスパムや不正行為への対処 | Private State Tokens API |
関連性の高いコンテンツや広告の表示 | Topics API Protected Audience API |
デジタル広告の効果測定 | Attribution Reporting API |
ウェブサイト間におけるプライバシー保護の強化 | Related Website Sets API(First-Party Sets APIから改称) Shared Storage API CHIPS Fenced Frames API Federated Credential Management API |
本ランチタイムトーク時点では、公開されているAPIと準備中のものが混在する状況でした。最新の公開状況や開発スケジュールはプライバシーサンドボックスの公式サイトなどで確認することができます。
プライバシー保護の強化に関するAPIに注目
前掲したAPIのなかで話題に取り上げた技術が3つあります。「ウェブサイト間におけるプライバシー保護の強化」に関するAPIで、Related Website Sets API (関連ウェブサイトセットAPI)、Shared Storage API(共有ストレージAPI)、CHIPS(Cookie Independent Partitioned State)です。本稿でも順にご紹介します。
まず、Related Website Sets API(関連ウェブサイトセットAPI)は、ログインの維持やパーソナライズされたコンテンツの表示など、複数の最上位(トップレベル)サイト間で(サードパーティーCookie以外の)共有IDを必要とする場面での使用に適しています。関連ウェブサイトセットとは、ドメイン(datasign.jpなど)の集合を表し、1つの「セットプライマリ」および、必要に応じてさまざまなドメインタイプを含めることができる「セットメンバー」で構成されます。このAPIはFirst-Party Sets APIから改称されました。
「どこまでをセットメンバーとして認めるか、というガバナンスが論点の1つになっています。プライバシー保護の抜け道にならないような透明性の高い仕組みづくりを期待しています」(データサイン 代表取締役社長 太田祐一)
次にShared Storage API(共有ストレージAPI)は、サイトを横断した書き込みアクセスと、プライバシーに配慮した読み取りアクセスを許可するストレージです。ここでのストレージとはCookieやキャッシュを意味します。ストレージ内のデータそのものは読み取れませんが、たとえば、異なるサイト間での広告キャンペーンにおけるリーチの測定が、サードパーティーCookieに依存することなく実施できます。
サードパーティーCookie のない未来へのステップ
3つめのCHIPSは「Cookie Independent Partitioned State」の略称です。既存のパーティション分割されていないサードパーティーCookieはクロスサイトトラッキングが可能であり、プライバシーへの配慮から段階的廃止が進んでいます。
上図は、ユーザーがサイトAにアクセスし、埋め込みコンテンツを提供するサードパーティーCのサービスで設定されたCookieが、ユーザーが別のサイト(B)にアクセスした際に送信されること(クロスサイトトラッキング)を示しています。
ただし単にパーティション分割されていないサードパーティーCookieを廃止すると、ウェブページに埋め込まれたサイト横断的なコンテンツ(例:地図やチャット、iframeタグで呼び出す動画など)に関するCookieを読み書きする際に支障が出てしまいます。そこで、CHIPSでは、最上位のサイトで分割されたクロスサイトCookieをサポートする、新しいCookie属性「Partitioned」が導入されます。
上図ではユーザーがサイトAにアクセスしていますが、埋め込みコンテンツを提供するサードパーティーCのサービスで設定されたCookieが、別のサイトに送信されないことを示しています。これはまだサードパーティーCookieが介在している仕組みとはいえ、CHIPSのPartitioned属性を用いることによって、より制限的で安全なCookieの動作が有効になります。グーグルの記事によれば、CHIPS はサードパーティーCookie のない未来にサービスをスムーズに移行させるための重要なステップに位置づけられています。
「プライバシーサンドボックスは進展しつつあるとはいえ、現時点では完成度が低い部分がまだあります。ご紹介した現状の関連ウェブサイトセットAPI、共有ストレージAPI、CHIPSを組み合わせれば、プライバシー保護の脅威となりかねない際どい使い方ができるかもしれません。既存サードパーティーCookieを代替するには、Githubでのオープンな議論やアップデートを通じたさらなる改良が必要かと思います」(太田)