Googleが「プライバシー第一」とする新技術「FLoC」の本質はプライバシーを侵害する追跡技術だという主張
2021/04/14
GoogleはサードパーティーCookieなしの新しい広告の仕組み「FLoC」を開発していますが、FLoCは「最悪なものだ」と電子フロンティア財団から指摘されているほか、独占禁止法違反の疑いが持たれています。プライバシー重視のブラウザを開発するVivaldiのCEOであるJon von Tetzchner氏も「FLoCはプライバシーを侵害する追跡技術」であるとして、その理由やFLoCについての考えをつづっています。
No, Google! Vivaldi users will not get FloC’ed. | Vivaldi Browser
https://vivaldi.com/blog/no-google-vivaldi-users-will-not-get-floced/
◆FLoCはプライバシーを侵害する追跡技術
FLoCを使ったシステムはサードパーティーCookieを利用しませんが、引き続きユーザーを追跡し、プロファイルを作成します。これは、「プライバシーを保護する」と宣伝されるFLoCが「プライバシーを侵害する追跡技術」であることを意味するとTetzchner氏は述べています。
◆FLoCはVivaldiで動作するのか?
答えから言うと、FLoCはVivaldiで動作しません。
FLoCがGDPRのもと合法であるかどうかはまだ議論の余地があるところであり、GoogleはGDPRの影響が及ばない国でのみFLoCを有効にしています。このため、記事作成時点ではFLoCが動作可能かどうかに関して、ChromeとGoogleのサーバーで通信を行う必要があるとのこと。
VivaldiはChromiumエンジンを使用していますが、さまざまな点でエンジンに変更を加えています。VivaldiはブラウザがGoogleサーバーと通信することを許可していないため、FLoCが動作しないわけです。
またVivaldiはどのような形でFLoCが実装されても、それを無効にする予定とのこと。「FLoCはプライバシーを保護するものではなく、ユーザーに利益を与えず、Googleの利益のために知らないうちにユーザーがプライバシーを手放すものです」とTetzchner氏。
Vivaldiブラウザ: 超絶便利。タブ管理や広告で悩まないブラウザ
https://vivaldi.com/ja/
◆FLoCが生み出された理由とは?
これまで多くのウェブサイトはユーザーのログインを保つためにサードパーティーCookieを利用してきました。しかし、サードパーティーCookieはユーザーの行動を追跡するためにも利用されており、そのことがプライバシー侵害に当たるとして、一部のブラウザでサードパーティーCookieの排除がスタートしました。
その後、ウェブサイトはサードパーティーCookieに依存しないログイン方法に移行しており、近いうちに全てのブラウザでサードパーティーCookieがデフォルトで無効にされる可能性があります。
しかし、GoogleやFacebookといった広告により多額の収益を上げている企業は、サードパーティーCookieを用いてユーザーを追跡し、それぞれに適した広告を表示してきました。そのため、サードパーティーCookieの廃止は広告企業にとって大きな問題となっています。そんな中でGoogleが考案したこれまでの追跡方法の代替案がFLoCです。
Vivaldiはプライバシー指向の多くのブラウザと同様に、Cookie、localStorage、フィンガープリントといったユーザーの識別方法を問わず、サードパーティーのトラッカーをブロックしているとのこと。
◆サードパーティーCookieとは?どのように機能するのか?
サードパーティーCookieは広告企業が利用するテクノロジーの1つで、ユーザーの行動プロファイルを構築できるもの。この行動プロファイルによって、ユーザーが見ているウェブサイトの内容に関係なく、ユーザーのこれまでの行動から導かれる興味・関心に基づいた広告を表示できます。
このような広告は「商品を売る」ための方法だけでなく、ユーザーの行動を変え、人をコントロールするためにも使われます。実際に、2016年のアメリカ大統領選挙ではトランプ陣営が黒人が投票しないようにする広告キャンペーンを行っていたことが判明しています。
オンライン広告のトラッカーのほとんどは、GoogleやFacebookといった一部の大企業に属するもの。これらの企業はトラッカーによって、ソーシャルメディアのアカウントや氏名、友人や親戚関係、過去の投稿などとユーザーを結び付け、大量の情報を収集します。これらデータからユーザーの性格やプライベートな側面を知ることが可能とのこと。
具体的には、サードパーティーCookieはウェブサイトに埋め込まれており、ユーザーが最初にそのウェブサイトを読み込んだ時に、識別子とともにサードパーティーCookieがセットされます。そして、同じトラッカーが埋め込まれた別のウェブサイトにユーザーがアクセスすると、都度Cookieがトラッキングを行う広告企業に送られ、それらの情報が関連付けられます。こうして作られたユーザーのプロファイルを見れば、ユーザーがどのような健康状態にあり、政治的な考えを持ち、どこに住んでいるのかなどがわかるというわけです。
人々がこのような追跡や広告に慣れてしまったこと、そして声を上げる方法を持たないことにより、プライバシー侵害が横行しているとTetzchner氏は指摘。
「Vivaldiは、企業があなたに関するプロファイルを作成することが合法であってはならないと考えています。許可があってもなくても、プロファイルは作られるべきではありません。同意を求めることや、クリックを求めることなど、いかなる方法も行われるべきではありません」とTetzchner氏は述べました。
◆ではFLoCはどのように機能するのか
ブラウザに組み込まれたFLoCは、ユーザーのブラウジング行動を監視し、その情報からユーザーの好みなどを「決定」します。つまり、FLoCはブラウザ内で、ユーザーのプロファイリング作業を行います。そして、ブラウジング行動が他のユーザーと共通する場合、その行動のグループIDをユーザーに割り当てます。
ユーザーに個別のIDを割り当てないという点は、Googleが「FLoCはプライバシーを侵害しない」と主張する理由の1つです。しかし、「グループID1324・98744・19287の人々がこの薬を購入している」ということはわかります。このため、病気であることを隠している人でも、その病気の治療薬が広告として表示される可能性があります。
このようなIDの統計分析は、処理データが少ない小規模な広告企業であれば不可能ですが、多数の広告枠を持つ大企業、つまりGoogleであれば可能です。これにより「Googleは多くの優位性を持つことができる」とTetzchner氏。
◆FLoCはこれまで以上にあなたの個人情報をさらす
これまで広告企業は、広告を表示するウェブサイトに関係するユーザーの情報しか見ることができませんでした。しかし、FLoCの場合、ウェブサイトに広告が表示されているか否かに関わらず、ユーザーの行動からIDを割り当てることになります。
また、現状において広告ネットワークを運用する企業は、自社のトラッカーを埋め込んだウェブサイトのユーザー情報しか把握できません。このため異なる広告企業は情報の共有ができないようになっています。しかし、広告ネットワークに限定されず、ブラウザレベルでの追跡を行うFLoCを使えば、異なる広告企業が同じ情報を共有することもありえるとのこと。
◆FLoCは社会全体に影響をもたらす
FLoCは、セクシュアリティ、政治的視点、宗教など、迫害環境にある人々にとって非常に深刻な影響を及ぼすともTetzchner氏は考えています。たとえば、独裁政権が、「反対派は同じFLoC IDを持っている」ということを判断すれば、そのIDを持つ人が政府の管理下にあるウェブサイトを通じて危険にさらされる可能性があるとのこと。同様のことが宗教やセクシュアリティについても言えます。このように、プライバシーを超えて、個人を危険にさらすことについてもTetzchner氏は言及しました。
Googleが開発中の「FLoC」はなぜ「有害」なのか、ユーザーとウェブサイトに発生する損害とは?
2021/04/13
プライバシー保護の観点からサードパーティーCookieが規制される中で、GoogleはChromeでサードパーティーCookieを廃止して新しい広告の仕組みを構築しようとしています。しかし、新しい仕組みとしてテスト中の「FLoC」は「最悪なもの」と酷評されるだけではなく、すでに独占禁止法違反の疑いで調査されています。FLoCがなぜユーザーやウェブサイトやブラウザにとって有害なのか、ブラウザ開発企業のBraveが解説しています。
Why Brave Disables FLoC | Brave Browser
https://brave.com/why-brave-disables-floc/
GoogleはCookieにかわるターゲティング広告の仕組みを「プライバシーサンドボックス」という提案の中で議論しており、この提案の1つがFLoCと呼ばれるAPIです。FLoCは「Federated Learning of Cohorts(連合学習のコホート)」を略した言葉となっています。
GoogleはFLoCを、ユーザーのプライバシーに配慮しつつ、ブランドや広告企業が広告パフォーマンスを高く保てるものだと位置づけています。
FLoCはウェブサイトに訪れたユーザーを数千人単位のグループ(コホート)に分類し、コホートの興味・関心に基づいた広告を示すという仕組みのため、ユーザー「個人」を追跡しません。実際にGoogleは「インターネットでユーザー個人を追跡しない」と明言しており、これが「プライバシーに配慮している」と説明する理由です。
Googleが「ネットでユーザーを追跡しない」ことを明言 - GIGAZINE
しかし、ウェブブラウザを開発するBraveは2021年4月12日付けで、「FLoCはウェブユーザーにとっても、ウェブサイトにとっても、ウェブ全体にとっても有害」だとして、自社ブラウザでFLoCを無効にすることを発表しました。
Braveが述べる、「FLoCが有害である理由」は以下の通りです。
◆1:FLoCはユーザーの閲覧履歴について伝える
まず、FLoCはユーザーの閲覧行動に関する情報を、FLoC以外の方法ではその情報にアクセスできない広告主やウェブサイトと共有します。
ユーザーを個人ではなく「集団」としてとらえ、ユーザー固有の情報を利用しないとするFLoCは「プライバシーを害しない」とGoogleは主張しますが、これは誤解を生む考えとのこと。たとえ集団として捉えられたとしても、ユーザー固有の情報が利用されていることに変わりはないとBraveは述べています。
また、FLoCはこれまで通りユーザーの情報をウェブサイトに伝えているにもかかわらず、Googleは複数のトピックを絡ませることで、それをごまかしているとのこと。
GoogleはサードパーティーCookieをプライバシー侵害となる有害なものと位置付け、FLoCを使った仕組みはサードパーティーCookieを使っている現状のChromeよりもプライバシー保護の点で優れていると述べています。
しかし、そもそもBraveやFirefox、Safariなどは既にサードパーティーCookieをブロックしています。FLoCを使った新しいChromeは「現状のChrome」と比較してプライバシーが改善されているに過ぎず、ほかのブラウザと比較してプライバシーが配慮されているものとは言えません。
そしてプライバシー保護には「本人の許可なしに、本人の情報を、他の人に渡さないこと」という概念が含まれるべきであるところ、Googleは意図的にこの概念を排除しています。そもそもプライバシー保護の観点からみれば「クロスサイト追跡を可能にする」こと自体が間違った方向だとBraveは述べました。
◆2:FLoCを使うとウェブサイトがユーザーの行動を簡単に追跡できるようになる
またFLoCは「興味関心に基づいたグループを識別する」という仕様上、ブラウザにフィンガープリントの要素を大量に追加する必要があります。
フィンガープリントはCookieなしでもユーザーを識別可能にするとして、近年懸念されているもの。
Cookieなしでもユーザーを識別可能な「フィンガープリント」とは何か? | GIGAZINE.BIZ
FLoCに伴うフィンガープリント対策としてGoogleが提案するものは「不可能あるいは実行できそうにないもの」だとBraveは指摘。たとえばGoogleは、個人を識別可能になる情報に予算(budget)を与えて、その予算内で情報取得を可能にする仕組みを提案しています。Braveはこの仕組みに対する懸念をGoogleに示しましたが、1年以上たってもGoogleから返事はなく問題も解決されていないとのこと。この「プライバシー予算」がどのように機能するかも、記事作成時点ではっきりしていないとBraveは説明しています。
◆3:「プライバシーとは何か」についての誤った考えを助長する
加えて、Googleは性的指向・医療問題・政治的思想といった「デリケートなカテゴリ」がFLoCで使用されないようにする方法を検討していますが、このアプローチは根本的に間違いだとBrave。 FLoCのコホートがデリケートかどうかを判断するにはまず、Googleがデリケートなカテゴリについて情報を収集して記録する必要があるためです。何がデリケートかどうかは個々人によって異なりますが、Googleがその単一の決定者となるような「プライバシー保護システム」は、基本的にプライバシーを保護しないとBraveは述べました。
◆4:ウェブサイトに損害を発生させる
例えば、ウェブサイトの運営者が、他の企業には認識されていないニッチな市場を特定しウェブサービスを運営することで成功を収めたとします。このウェブサイトは一部の愛好者に特化したサービスを提供することでAmazonよりも高い価格を設定できますが、FLoCはこれらユーザーコホートの興味・関心を特定して、Amazonなどほかのウェブサイトにユーザーを流出させる可能性があるとのことです。
上記の理由から、Braveは自社ブラウザ上でFLoCをブロックすることを発表。またFLoCに懸念を示す開発会社はBraveだけでなく、検索エンジンであるDuckDuckGoもFLoCをブロックする拡張機能発表しています。
Use DuckDuckGo Extension to Block FLoC, Google’s New Tracking Method in Chrome
https://spreadprivacy.com/block-floc-with-duckduckgo/
なお、GoogleはサードパーティーCookieを使わない広告の仕組みとしてFLoCを検討していますが、Google以外の広告企業は新たに「Unified ID 2.0」という広告識別子の利用を検討しています。Unified ID 2.0はCookieの代わりにユーザーのメールアドレスを紐付けてターゲティングを行うものとなっています。
After Cookies, Ad Tech Wants to Use Your Email to Track You Everywhere | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2021/04/after-cookies-ad-tech-wants-use-your-email-track-you-everywhere
「Google Chrome」でFLoCの試験運用が開始 ~個人情報保護型の広告ソリューション
2021/03/31
米Googleは3月30日(現地時間)、「Google Chrome」で“Federated Learning of Cohorts”(FLoC)の試験運用(Origin Trials)を開始すると発表した。ユーザーのプライバシー保護のため、主要なWebブラウザーでサードパーティーCookieのブロックが進むなか、コンテンツ制作者の利益、広告の収益との両立を模索する。
サードパーティーCookieを用いてユーザーの閲覧行動を追跡(トラッキング)する手法には、かねてより行き過ぎが指摘されており、「Chrome」を含む主要なWebブラウザーで対策が進んでいる。しかし、現在無償で享受できているWebコンテンツの多くがCookieベースの広告の収益に依存している点や、Cookieの遮断を迂回するため、フィンガープリンティングに代表されるより悪質な追跡技術が生み出されている点も考慮する必要があるだろう。 そこでGoogleは、Cookieベースの従来型広告に代わるプライバシー保護型の広告ソリューションとして、“Privacy Sandbox”と呼ばれる仕組みを提案している。従来型の広告はユーザー情報の扱いを広告側に一任していたが、それをWebブラウザーのコントロール下におき、広告側はWebブラウザーのAPIを通じてその結果を利用する仕組みにするのが主眼といえる。 その具体的なアルゴリズムとして今回テストされるのが、“Federated Learning of Cohorts”(FLoC)だ。FloCアルゴリズムは機械学習によりユーザーの閲覧履歴を分析し、同じような興味や関心をもつ何千人ものユーザーとまとめて“Cohort(コホート:群れ)”を形成する。広告主から要求できるのはどのコホートに属しているかだけで、個人の・具体的な閲覧履歴は共有されない。 あまりにもコホートが小規模であると複数を組み合わせて個人を特定できてしまう可能性もなくはないが、「Chrome」には機密性が高いと判断したグループを作成しない仕組みが導入されるとのこと。コホートを決定する際に特定のWebサイトへの訪問を含めないようオプトアウトすることもできる。 FLoCの初期テストは日本を含む地域のごく一部のユーザーを対象に行われるが、トライアルがグローバルに拡大するのに合わせて他の地域にも拡大される予定。ただし、現行版の「Chrome」でサードパーティのCookieをブロックしているプライバシー重視のユーザーが勝手に“Origin Trial”へ参加させられることはないので安心してほしい。また、4月には「Chrome」に“Privacy Sandbox”の管理UIが導入されるとのこと。“Privacy Sandbox”に参加したくない場合は、明示的に拒否しておくとよいだろう。
