Chromeはなぜ3rd. party Cookieを廃止するのか？その先に残る問題は？

どうも、エンジニアのgamiです。

GoogleがChromeでの3rd. party（サードパーティ）Cookie廃止に向けて、FLoCと呼ばれる代替技術の提供を来月2021年4月から始めることを発表し、話題になっています。

Google、サードパーティーCookie完全廃止に向けてFLoCのテスト開始

Chromeは世界で最も使われているWebブラウザであり、デスクトップ、モバイルのそれぞれで6割を超えるシェアをもつとされています。Chromeのドラスティックな仕様変更によって、Web上の（特に広告をめぐる）体験は大きく変わるかもしれません。特に3rd. party Cookieの廃止はWeb広告の分野で大きなインパクトを持っています。

今回のnoteでは改めて、3rd. party Cookieがなぜ廃止されるのか、それで問題は解決するのか、について考えます。

ちなみに、「そもそも3rd. party Cookieって何？」という人はこのYouTube動画がおすすめです（宣伝）

3rd. party Cookieが実現してきたもの

3rd. party Cookieは、誰も使わないから廃止されるわけではありません。むしろ、3rd. party Cookieと呼ばれるCookieを第三者のサーバーとやりとりをするようなトラッキング手法は、主に広告業者やデータ販売会社に便利に使われてきました。

上記の動画ではわかりやすい例としてリターゲティング広告を挙げました。リターゲティング広告では、「あなた、以前この商品を見ましたよね？」とピンポイントで商品を勧めることができます。これも、広告主がサイトに3rd. party Cookieを使った広告用トラッキングタグを設置しているからこそ実現できることです。リターゲティング広告に限らず、複数サイトを横断した行動トラッキングによってその人の属性や興味が推定され、それを元にしたターゲティング広告が日々配信されています。

また、パブリックDMPと呼ばれる類のサービスでは、3rd. party Cookieを利用して推定された属性や興味の情報自体が売買されています。こうしたデータは3rd. partyデータと呼ばれ、自社Webサイト上でのパーソナライズやメールなどのマーケティング施策で活用されています。

3rd. party Cookieを実店舗の体験に例えて理解する

3rd. party Cookieを使ったターゲティングを体験した人の多くは、おそらく「どこまで知られているかわからない」という不安を感じます。特にリターゲティング広告では、自分があるサイトで見たのと全く商品が、全く別のサイトで広告として表示されることがあります。これを見たユーザーが「自分の閲覧履歴が知らない間に誰かに盗み見られているのではないか？」と恐怖を覚えるのは自然なことです。

もちろん、3rd. party Cookieを使って実現できることにも限界はあります。あるサイトの閲覧情報を広告会社が知るためには、そのサイトにトラッキング用のタグが設置されている必要があります。全てのサイトにそのタグが設置されているわけではないので、実際に特定の広告会社に送信される閲覧情報には制限があります。また、3rd. party Cookieを経由して取得できる広告用ユーザーID自体は、現実世界の個人を特定できるほどの強いIDでもありません。このようなWebや3rd. party Cookieの仕様を正しく理解することは、必要以上に不安を感じずに済むためには必要です。

一方で、「サイト横断で同一ユーザーと特定される」という3rd. party Cookieの仕組みは、実店舗での体験に置き換えて考えるとかなり怖いものになります。たとえば自動車ディーラーで「真っ赤なファミリーカー」の試乗をした翌日から、保険会社の相談窓口では最初から「自動車保険」を紹介され、旅行会社ではいきなり「マイカーで行ける家族向けの旅行先」を提案され、ふらっと入ったアパレルショップで「真っ赤な車に乗るならこの服がおすすめですよ」とか言われたら、恐怖で外出できなくなるかもしれません。こうした体験が、Webの場合は（ここまで露骨でないにせよ）日常的に行われていました。

自分に関するデータをコントロールできるか

しかしながら、「企業に情報を知られること全体が悪である」と短絡的に判断するには、この現実世界の体験はあまりにも多様です。たとえばザ・リッツ・カールトン・ミスティークと言われるようなリッツ・カールトンホテルの神秘的とまでいえる接客は、顧客の些細な発言を覚えて先回りの対応をすることで実現されていたりします。とある三ツ星レストランでは、これまでに顧客が食べたメニューや「美味しい」と言った料理が全て記録され、次の来店時のコース料理ではその人の好みに合った、かつ被りの無いメニューが提案されるそうです。感動的な体験は、ときに顧客に対する深い理解によって生み出されます。インターネットの世界でも、たとえばAmazonの購買履歴を元にしたレコメンドの精度は驚くほど高く、自分が欲しい物を効率的に探すことができたりします。

3rd. party Cookieの問題も、「ユーザーに関するデータを収集しているから悪い」という単純な話ではありません。もしユーザーを理解するためにデータを集めること自体が悪であれば、1st. party Cookieも禁止されているはずであり、またGoogle Analyticsを導入してサイト改善に勤しむあらゆるWebサイトが批判の対象になってしまいます。

そうではなくて、「ユーザーのコントロール下を超えてユーザーに関するデータがやりとりされていること」を問題と考えた方が、3rd. party Cookieをめぐる議論を理解しやすいです。2018年に施行されたGDPRでも、「個人が自分のデータをコントロールする権利を取り戻すこと」が目的の1つとされていました。直感的にも、「Amazonのサイトを見たいけれど、Amazonには閲覧データを渡したくない」という主張よりも、「Amazonのサイトを見たいけれど、知りもしない広告会社には閲覧データを渡したくない」という主張の方が、納得感があります。

3rd. party Cookie自体は単なるCookieの技術的な仕様の話であり、本来はそれ自体が中立的なものであるはずです。しかし、現実的に3rd. party Cookieは「ユーザーのコントロール下を超えたユーザーデータの取得」に使われています。全てのWebサイトでの全ての3rd. party Cookie取得に対して毎回パーミッションを求めるのも、現実的ではありません。

（アップル、App Storeでアプリのプライバシー利用を明示--開発者に申告の義務付けも - CNET Japan）

こうした状況の中で、ブラウザベンダーの間で「3rd. party CookieというCookieの使い方自体を一律で廃止する」という動きが強まっています。

Safari、サードパーティーCookieの完全ブロック宣言

3rd. party Cookieを廃止したら問題は解決するのか？

3rd. party Cookieをめぐる議論はプライバシー問題、広告と倫理、プラットフォーマーの利益追求など、様々な要素が絡み合い複雑化しています。多くの問題は、残念ながら3rd. party Cookieを技術的に禁止したから解決するという単純なものではありません。

たとえば3rd. party Cookieが助長していた過度なターゲティング広告。仮に3rd. party Cookieが廃止されたとしても、1st. partyデータを大量に収集できるプラットフォーマーであれば、プラットフォーム内で同様のターゲティングを実現できるかもしれません。ユーザーの滞在時間が長いサービスを複数もっているようなプラットフォーム企業が、それらのサービスを横断してユーザー行動を追跡し続けたとしたら、ユーザーデータは「ユーザーのコントロール下」にあると言えるでしょうか？

別の見方をすれば、3rd. party Cookieの廃止によって、1st. partyデータの重要性が増し、膨大な量の1st. partyデータをもつプラットフォーマーの力が強まります。われわれインターネットユーザーは、こうしたプラットフォーマーが不当にデータを取得したりユーザーの預かり知らない使われ方がされていないかを、常にチェックし続ける必要があります。

フェイスブックの広告プラットフォームは、根幹から「差別的」かもしれない

もちろん、3rd. party Cookieが廃止されることのメリットもあります。たとえばユーザーは「自分が誰に直接データを渡しているのか」を把握しやすくなります。ユーザーとしては、「この企業ならデータを渡してもいい」と思える企業を選択し、その企業を信じて（あるいは適切に監視して）サービスを使い続ければいいというわけです。3rd. party Cookieが廃止される前よりは、「知らない第三者にデータが渡っている」という状況は減るかもしれません。

こうした問題は、もはや技術の問題ではなく、企業と顧客（あるいは社会）との信頼関係の問題になってきます。Webブラウザが3rd. party Cookieを廃止するなどプライバシーをめぐる問題に一律に対処してくれたとしても、悪意のあるサイトに会員登録すれば個人のプライバシーは簡単に侵害されます。自分に関する情報をなるべくコントロールしたいと考える人がWebを使いたければ、Webブラウザの機能に頼るだけでは不十分であり、自らデジタルリテラシーを身に付け自衛する必要がありそうです。

Googleの新しい代替技術 "FLoC" への批判

さて、3rd. party Cookieの代替技術として、GoogleはFLoC（Federated Learning of Cohorts）と呼ばれる技術を開発しています。

FLoCは、大まかに言うと、同じ関心を持つ匿名ユーザーの集合体という意味で、名称のFLoCもflock（群れ）を意図しているようだ。このAPIにより、個々のユーザーを追跡せずに広告主とパブリッシャーに成果を提供することが可能という。

（Google、サードパーティーCookie完全廃止に向けてFLoCのテスト開始 - ITmedia NEWS）

このFLoCについても、問題の解決には不十分であるという批判記事が話題になっていました。

Google’s FLoC Is a Terrible Idea

この記事に触れながら、FLoCの問題点について考えます。（ここから先は付加的な内容なので、読みたい人だけどうぞ。）

前提として、この「Google’s FLoC Is a Terrible Idea | Electronic Frontier Foundation」という記事は、ターゲティング広告自体に対してかなり批判的な立場で書かれています。

Over the years, the machinery of targeted advertising has frequently been used for exploitation, discrimination, and harm. The ability to target people based on ethnicity, religion, gender, age, or ability allows discriminatory ads for jobs, housing, and credit.（中略）All kinds of behavioral targeting increase the risk of convincing scams.

何年にもわたって、ターゲットを絞った広告の仕組みは、搾取、差別、危害のために頻繁に使用されてきました。民族、宗教、性別、年齢、または能力に基づいて人々をターゲットにする機能により、仕事、住居、および信用に関する差別的な広告が可能になります。（中略）あらゆる種類の行動ターゲティングは、説得力のある詐欺のリスクを高めます。

（上は原文、下はGoogle翻訳）

その上で、記事中ではFLoCが技術的に悪用されるのでは？という批判がいくつか書かれています。

1つは、「ブラウザフィンガープリンティングに悪用されるのでは？」という指摘です。ブラウザフィンガープリンティングとは、3rd. party Cookieに依存せずサイト横断でのユーザー特定を可能にする技術です。ページ上のJavaScriptからブラウザやデバイスに関する情報をできるだけ多く取得することで、それらをヒントにユーザーの同一性を推定します。仮にFLoCによって推定されたコホートの情報がJavaScriptで取得可能になると、ブラウザフィンガープリンティングの精度を上げるために悪用されるのではないか？というわけです。

もう1つは、「自社データとFLoCのコホートを組み合わせることで相関関係を推定するモデルを作れるのでは？」という指摘です。たとえばログインユーザーの年齢や性別がわかっているサイトがあったとします。もし仮にそのサイトがFLoCのコホートをユーザー毎に取得し、年齢や性別と各コホートとの相関の強さを計算できたとします。すると、まだ会員登録をしていないユーザーについても、所属コホートから年齢や性別などの属性情報を推定できるようになってしまいます。記事では、結局FLoCはサイト横断の閲覧履歴の要約であり、ユーザーはこうした「サイト横断の情報」に縛られずサイト毎に閉じたアイデンティティを持つ権利があるはず、という点が強調されています。

Remember, a FLoC cohort is nothing more, and nothing less, than a summary of your recent browsing activity. You should have a right to present different aspects of your identity in different contexts.

もちろん、まだFLoCの詳細な仕様が公開されているわけではないので、確かなことは言えません。一方で、FLoCの仕組みには、3rd. party Cookieよりマシに見える部分と、ヤバく見える部分があります。

3rd. party Cookieよりマシに見える部分として、Webの閲覧履歴をそのドメイン外の第三者が直接見ることはできなくなります。FLoCのコホートはブラウザ内で計算されるため、Googleすら閲覧ページ情報を直接取得することはできません。

一方で、これまでの3rd. party Cookieを用いたサイト横断のトラッキングは、広告用トラッキングタグを設置しているサイトに限定され、すべてのWebサイトの閲覧データが利用されるわけではありませんでした。対してFLoCはChromeの機能として実装されるため、Chromeで閲覧した全てのページ情報がFLoCのコホート計算に利用される可能性があります。コホート計算に使うには世の中の全てのWebページに対して意味付けをする必要があり、現実的ではないと思うかもしれません。しかしながら、なんとGoogleは検索の会社であり、世界中のWebページに関する情報を持っています。その意味では、やるかどうかは別にして、FLoCコホートを限りなく細かく定義していけば、かなりの精度でユーザーの属性情報を推定できる可能性があります。

Google’s experiment used 8-bit cohort identifiers, meaning that there were only 256 possible cohorts. In practice that number could be much higher; the documentation suggests a 16-bit cohort ID comprising 4 hexadecimal characters. The more cohorts there are, the more specific they will be; longer cohort IDs will mean that advertisers learn more about each user’s interests and have an easier time fingerprinting them.

Googleの実験では、8ビットのコホート識別子を使用しました。つまり、可能なコホートは256個しかありませんでした。実際には、その数ははるかに多い可能性があります。ドキュメントが示唆している4つの16進文字で構成される16ビットのコホートID。コホートが多ければ多いほど、それらはより具体的になります。コホートIDが長いほど、広告主は各ユーザーの興味についてより多くを学び、フィンガープリントを作成するのが簡単になります。

（上は原文、下はGoogle翻訳）

もちろんGoogleとしてはあまりにも細かいコホートの分割はしないでしょう。しかし、サイト横断のユーザーデータ利用に関してGoogleが主導権を握ることになるのは事実です。今後GoogleがFLoCをどのように実装し運用していくのか、引続き注目していきたいところです。