Cookieが使えなくなる？今からでも遅くないプライバシーサンドボックス

この記事は GMOアドマーケティング Advent Calendar 2022 25日目の記事です。 
みなさんこんにちは、GMOアドマーケティングの星野です。
今年のアドベントカレンダーも本日で最後です！
GMOアドマーケティングはアドテクノロジー(アドテク)をメインにしたプロダクトを展開しています。
最終日は、アドテクでは避けては通れない話題、「プライバシーサンドボックス」について書いていきます。

Cookieが使えなくなるみたいな話はなんとなく知っているけど、どうして使えなくなるのかの背景や具体的にどういう使い方ができなくなるのかなどは曖昧な方も多いと思います。
そういった方に向けて基本的な内容について解説をしつつ、今年発表された最新情報もまとめていきます。

「Cookieが使えなくなる」とは？

「Cookieが使えなくなる」は正確ではなく、正しくは、「3rd Party Cookieが使えなくなる」となります。
3rd Party Cookie は訪れているサイト以外から発行されるCookieのことを指します。

3rd Party Cookieはサイトを跨って情報を保持できることから以下の用途で利用をされていました。

• シングルサインオン
• ターゲティング広告
• 広告効果測定
• …

上記を見て分かるようにWeb広告に関係する使われ方をすることが多いです。
サイト訪問時に3rd Party Cookieを利用して、ユーザ識別をすることで、広告を配信するシステムは、ユーザ毎に効果が高い広告を表示していました。
3rd Party Cookieが規制されると上記のようなターゲティング広告も難しくなります。
この話を聞いて殆どの方は、「付け回されるような広告がでなくなるのか！良かった！」となると思います。
しかし、もう少し話は複雑で、以下のような状況になります。

ターゲティング広告は効果が高いため、広告単価が高いのですが、ターゲティングできなくなると広告単価が単純に下がってしまいます。その結果、広告収益も下がる形になります。
広告収益が悪化すると無料でいろいろな情報を提供することが出来るという広告を利用したWebのエコシステム全体に影響が発生してしまいます。

なぜ制限する必要があるのか

Webのエコシステム全体に影響させてまで、なぜ規制をするのかというと、プライバシーの問題が大きいです。
ターゲティング広告を突き詰めていった結果、ユーザから広告に追いかけられているという感覚を持たれてしまいました。

そうした中、Appleはプライバシー保護を全面に打ち出し、Safariでは既に3rd Party Cookieが制限された状態となっています。

また、ヨーロッパやアメリカのカリフォルニア州ではターゲティング出来る＝個人が特定できるとして、個人情報として扱うように法律が施行されました。


この流れを受けて日本でも今年施行された個人情報保護法では、CookieやIPの情報は「個人関連情報」として新たに定義されました。
Cookieと個人データを紐付けできる場合は、個人情報としてユーザの同意が必要となります。

日本ではCookie単体ではまだ個人情報として位置づけられてはいませんが次回の改正時には含まれるのではないかと予想されています。

プライバシーサンドボックスとは？

こうした世界的なプライバシー保護への圧力もありChromeはプライバシーサンドボックスを立ち上げました。
プライバシーサンドボックスはプライバシー保護と広告による収益の両立を目指しています。
単純に3rd Party Cookieを制限するだけではなく、代替となる技術をプライバシーを保護しながら提供しようとしています。

詳しく知りたい方は、公式ページを参照してみてください。

最初のスケジュールでは、2022年後半にはCookieを制限する機能をリリースする予定でしたが、2021年6月に2023年後半に伸び、今年の7月に、さらに2024年後半に延期されました。
公式ページにはCookie廃止までの公式タイムラインも記載されています。

プライバシーサンドボックスは大きく分類すると広告機能とプライバシー保護機能に分けられます。
全体としては30件を超える提案がなされていますが、大きめの機能をまとめると以下のようになります。

プライバシー保護の要素としてはフィンガープリントを防止するために取得出来る情報を制限する提案があります。

User-Agentは既に今年の4月から徐々に削減が始まっており、10月にはPC版のChromeでOSやデバイスなどの情報が削除されました。
2023年2月にはAndroid版のChromeにも同等の削減が適用がされます。

Privacy Budgetは一度にブラウザから取得できる情報に上限を設ける仕組みです。
大雑把に言うと32個のフラグがあれば全世界の人口を分類できるパターンを作ることが出来ます。
ブラウザから取得できる情報はかなりの数があり、それらを組み合わせることでフィンガープリントとして個人を特定出来てしまうため、一度に取得できる上限を設定しようとしています。
仕様検討段階のため、詳細はこれから公開されるのだと思います。

IP Protectionは元々はGnatcatcher と言われていましたが、ユーザのIPを隠蔽する機能になります。
iOSで提供されているPrivate Relayと近い機能になります。
こちらもまだ仕様検討段階のため、詳細はこれから公開されるのだと思います。

Private State Tokensは、bot判定の機能となっています。CookieやIPを利用できないとなるとbot判定が困難になってしまうため、提案されています。 元々はTrust Tokenという名前で呼ばれていたのですが今年の10月により意味にあった名前に変更するということで、 Private State Tokensという名前に変更になりました。


また記載は省きましたが、その他にもCookieやlocalStorage、キャッシュなどの要素をリクエストドメインごとに分割する機能などプライバシー保護機能は色々と提案されています。

広告機能となるTopicsとFLEDGEについてはもうすこし詳細をまとめていきたいと思います。

Topicsとは？

ブラウザが事前定義された数百件のトピック(公式仕様提案ページ)からユーザが興味を持っているトピックを割振ります。
割当されるトピックはサイトのホスト名と紐付けが行われており、Web履歴を元に割振ります。

以下の流れでトピックが割り振られます。

1. 公開されているトピックからサイトにトピックを割当てる
2. ブラウザがユーザの閲覧履歴から1週間毎に上位5個のトピック＋ランダムトピックを割当てる。
   （ユーザ自身でどのトピックに割り当てられたかを確認・削除が可能）
3. アドテク事業者などがJavaScriptのTopicsAPIを利用して、トピックを取得し、興味類推情報として利用

トピックとホスト名の紐付けは人手と機械学習モデルを利用して割当を行っています。
1つのホスト名で、複数のカテゴリを扱っているサイトもあるため、ホスト名よりも細かい粒度で設定するかについて議論がありましたが、現時点では、ページ単位など細かい粒度で分類したい場合は、後述するFLEDGEを利用すればよいというスタンスのようです。

トピックを取得する事業者は1週間で割り当てられたトピックの1つを取得することができ、最大で3週間分のトピックを取得することができます。

トピックを取得する際には5%の確率でランダムなトピックが割り当てられます。

また、取得する事業者がアクセスをしたことがないトピックは取得できないようになっています。

自分がどんなトピックに割り当てられるか、サイトがどんなトピックに割り当てられているかは、以下にアクセスして、PrivacySandbox APIを有効化します。

その後、以下のTopics API Internals にアクセスすることで確認できます。

このAPIを有効化するとプライバシーサンドボックス関係のAPIがJavaScriptから利用可能な状態になるので注意してください

同様の機能がFLoCという名前で開発されていましたが、センシティブなカテゴリへの割当が防げない、自分がどんなカテゴリに割り当てられたかを明確に説明できない、粒度が細かく他の情報と組み合わせると個人特定に繋がる可能性があるなどの理由で開発停止になり、2022年の1月に現在のTopicsに切り替えられました。

Topics自体もまだ仕様含めてテストをしているので仕様が変更になる可能性はあります。

FLEDGEとは？

元々はTURTLEDOVEという名前で開発されていましたが、アドテク事業者からのフィードバックを反映し実証実験をする際に、現在のFLEDGEという名前に変更されました。

ユーザへのタグ付けをブラウザ内で完結させることでアドテク事業者などにユーザ識別子を渡さずにユーザに対して直接ターゲティングできる仕組みになります。

FLEDGEを利用しての広告配信は以下の流れになります。

1. ユーザが広告主サイトに訪問する
2. ユーザのブラウザにDSPなどの広告表示領域(広告枠)を購入するアドテク事業者（Buyer）がインタレストグループを追加
3. ユーザがサイトを訪問
4. SSPなどの広告表示領域を販売するアドテク事業者（Seller）がブラウザでオークションを実施
5. ユーザに紐付けたインタレストグループを登録したBuyerがオークションに参加し入札を行う。必要に応じて「信頼できるサーバ」と通信を行いリアルタイムデータを取得。
6. オークションを開催したSellerが入札金額などを考慮して広告を選択し、ブラウザがプライバシーに保護されたfenced frame(仕様ページ)上に広告表示領域に広告を表示。

Buyerが入札する際には、1表示あたりの金額を提示します。入札単価を決めるためのロジックはブラウザ上で実行される仕様でしたが、Buyerが増えるに従ってブラウザに負荷がかかる検証結果がでるなどパフォーマンスについて問題になり、また、「信頼できるサーバ」と通信する際に発生する遅延も考慮して、サーバ上で実行される形に方針転換されました。

サーバ上で実行されるとしても、プライバシーを担保するために、Trusted Execution Environment (TEE)環境にて実行されます。
TEE環境はデータとコードを分離された環境となっており、暗号化された環境でプログラムを実行し、永続ディスク書込みやネットワーク通信をさせないことで、データを保護することが出来ます。
これにより、Buyerのアドテク事業者は、ユーザ情報を保存することができないため、プライバシーが担保されることになります。

広告表示を行うfenced frameはFenced framesという名前で提案されている仕様で、フレーム内ではプライバシーを担保するために、外部通信などが制限されています。
そのため、fenced frame内に、広告表示を行っても個人を特定するようなフィンガープリントとの紐付けをするようなことは出来ません。

詳しい情報も徐々に公開されてきていますが、FLEDGE自体がいろいろな提案の上に成り立っており、仕様を詰めている段階という状態のため、今後も注目が必要な要素の一つとなっています。

まとめ

今回は、Googleが提唱するプライバシーサンドボックスがどうして必要なのかを背景も含めてまとめさせていただきました。
Cookieがどう使えなくなるのか、今後どうなっていくのかを理解するための助けになってくれたら嬉しいです。

個々の提案要素については軽く触れるだけとなってしまっているので機会があれば詳細の説明もさせていただけたらと思います。

本日でGMOアドマーケティング Advent Calendar 2022 も最終日となりました。
今年も無事に25日間リレーをつなぐことが出来ました！

Advent Calendarが終わった後も継続してブログは更新していきますので引き続き投稿を見ていただけると嬉しいです。

最後までお付き合いいただきありがとうございました！

参考リンク

• 公式ページ：The Privacy Sandbox
• Chrome Developers：トラストトークンの名前がプライベートステートトークンに変更
• Chrome Developers：Topics API: developer guide
• 公式Github：The Topics API
• Chrome Developers：FLEDGE
• 公式Github：TURTLEDOVE
• 公式Github：Overview of FLEDGE Services
• 公式Github：Bidding and Auction Services API
• プライバシーテック研究所：【技術】TEE（Trusted Execution Environment）とは？