毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2022年7月21日
  • タイトル:Unified ID 2.0
  • 発表者:データサイン 代表取締役社長 太田祐一

UIDトークンの情報漏洩対策が強化

Unified ID 2.0がAPIをバージョンアップしました。どのような点が変わったのでしょうか。気になる点についてデータサイン 代表取締役社長 太田祐一がコメントしました。

Unified ID 2.0は、アドテクノロジー業界での統一的な利用が検討されている、メールベースのオンライン識別子です。開発したのは、広告主や広告会社向けのDSP(Demand-Side Platform)を提供するトレードデスク(The Trade Desk)。ターゲティング広告で廃止される方向にあるブラウザのサードパーティーCookieを代替し、複数ウェブサイトを横断的に閲覧するブラウザを識別する有力な手段の1つです。

さて、メールアドレスをUIDトークンに変換する際のハッシュ化や暗号化に用いられるUnified ID(UID) APIのバージョンがv1からv2へアップグレードされました。Githubに公開されたガイドによると、UID APIを利用する事業者などは2023年3月31日までにアップグレードの完了を求められています。

「バージョンアップで変わったことの1つが、API を介してクライアント/サーバー間でやりとりされるデータがend-to-endで暗号化された点です。従来のGETメソッドがPOSTメソッドに変更され、情報漏洩の防止強化が謳われています」(太田)

携帯電話番号を暗号化したトークンでも識別可能に

UID APIのバージョンv2で変わったもう1つの点が、オンライン識別子として用いるUIDトークンの元データとして、メールアドレスだけでなく、電話番号が加わったことです。

「昨今、スマホでもユーザーの電話番号を用いて認証するアプリが増えつつあります。Unified ID 2.0でも電話番号に基づいてトークンを生成し、ブラウザをトラッキングします」(太田)

行動分析に基づくターゲティング広告の手法には、W3Cで標準化が進められるプライバシーサンドボックスのTopics API(FLoCの後継としてグーグルが提案するオンライン広告技術)があります。ただ、Topics APIはグーグルが決めたカテゴリー(トピック)に関連づけられたブラウザに対してのみアプローチが許されています。一方、Unified ID 2.0にはそのような大手プラットフォーマーによって課される制約がありません。ファーストパーティーCookieデータを持たないアドテク事業者を中心に、Unified ID 2.0が支持される理由になっています。

「今後、ユーザーは、Unified ID 2.0を利用するウェブサイトでメールアドレスや電話番号の登録を求めれられるようになる可能性があります」(太田)

メールアドレスの正規化は必須のまま

ただ、Unified ID 2.0におけるメールアドレスのノーマライゼーション(正規化)は今回のバージョンアップにおいても残りました。

ノーマライゼーションとは、メールアドレスのアカウントに含まれる「+」などの特定の記号を除去する処理です。

「たとえば、『Ota+abcde@・・・』というように、同じメールアドレスの使い回しをせず、用途に応じてメアドの文字列を変えて使い分けているユーザーもいます。ただし、これらの使用はv1同様、v2でも認められていません。ノーマライゼーションをユーザーに同意なく強制してよいのか。ユーザーへの説明や配慮が足りない印象があることは否めません」(太田)

Unified ID 2.0では、メールアドレスのハッシュ化に必要なソルトや暗号化に用いる鍵の管理は、本ランチタイムトーク時点で、開発元のトレードデスクが一手に担っているようです。今後、アドテク事業者を中心に構成される団体などに移管されるようですが、太田は管理体制のガバナンスや、運営組織に対するトラスト(信頼)に関して一抹の不安を指摘しました。

メールアドレスや携帯電話番号の提供が求められるUnified ID 2.0が、ユーザーに受け入れられ普及するのかどうか。今後も注目したいと思います。