Googleは月曜日、2024年第1四半期中にChromeからサードパーティCookieを段階的に廃止する手続きを開始し、従来のオンライン広告の終焉の始まりを告げた。
これはまだ小さな一歩で、Chromeブラウザのわずか1%がサードパーティCookieを廃止するだけです。しかし、Chromeユーザーが約30億人と推定されていることを考えると、それでも大きな数字です。いずれにせよ、これはインターネット経済にとって大きな転換点となる重要な節目です。
チョコレートファクトリーは5月にCookie廃止のタイムラインを明らかにし、先月そのスケジュールを正式に発表しました。対象となる1%は2024年初頭に選定され、同年第3四半期からはサードパーティCookieの段階的な廃止が拡大される見込みです。
サードパーティ Cookie を廃止および削除するという意向の通知が公開されたことで、Google の Chrome ブラウザとそれに関連する Chromium オープンソース プロジェクトの開発に携わる人々は、より具体的なガイダンスを得られるようになりました。
HTTP Cookieは、ウェブサイトによって定義され、ブラウザによってコンピュータまたはデバイスに保存される情報の断片です。訪問したサイトがあなたのマシンに残す小さなプライベートメモのようなもので、将来的にそれらのサイトが再びアクセスして、通常、あなたが中断したところから再開することができます。サイトにログインするとCookieが設定され、そのウェブサイトに戻ったときにCookieを検査して、あなたがどのユーザーであるかを判別できるようになります。技術的に言えば、Cookieとはウェブページによって設定および取得されるキーと値のペアのデータセットです。
これらのCookieは主に、サイトへのログイン状態を維持したり、ページの外観をパーソナライズしたり、ユーザーのアクティビティを追跡したりするために使用されます。関連サイトで使用される場合(Cookieはアクセスしたウェブサイトによって書き込まれ、読み取られます)、特に問題となることはありません。しかし、サードパーティで使用される場合(関連サイトウェブサイトに含まれるサードパーティのトラッキングスクリプトによって設定される)、組織によるクロスサイトトラッキングを可能にするという点で、プライバシーの問題が生じます。
つまり、ユーザーはサイトからサイトへと移動することになりますが、それぞれのサイトでサードパーティCookieが保存され、その後取得されることになります。その結果、サードパーティCookieを管理する側は、ユーザーが訪問したページ、ひいてはユーザーが興味を持っているものを監視し、その情報に基づいて広告やその他のマーケティングをターゲティングできるようになります。Chromeは、こうした種類のCookieを廃止します。
Apple、Brave、Mozillaなどの他のブラウザメーカーは、既にサードパーティCookieをデフォルトでブロックし始めています。Google ChromeとMicrosoft Edgeでは、デフォルトでブロックするオプションは提供されていますが、まだ提供されていません。
2019年以降、欧州のデータ保護規則によりオンライン広告の仕組みを見直す必要があることが明らかになったことを受けて、Googleはプライバシー保護を謳う広告技術API群「プライバシーサンドボックス」の構築に取り組んできました。このツールキットの目標は、クロスサイトトラッキングやブラウザフィンガープリンティングといったプライバシーに関わる問題を軽減しつつ、ターゲティング広告の配信能力を維持することです。
サンドボックスの要素の一つにTopics APIがあります。これにより、ウェブサイトはユーザーのブラウザ履歴に基づいてChromeにユーザーの興味関心を直接問い合わせ、ターゲット広告を表示できるようになります。そのため、マーケターがユーザーを追跡するために設定するようなトラッキングCookieは必要ありません。ただし、ユーザーが指示しない限り、Chromeがユーザーを常に監視することになります。
- GoogleのサードパーティCookie削除は2024年第1四半期に開始予定…Chromeユーザーの1%が対象
- Google Chromeのプライバシーサンドボックスが一般公開:ウェブサイトがユーザーの習慣を直接利用して広告を表示できるようになる
- EFFはChromeユーザーにプライバシーサンドボックスから抜け出すよう促している
- Google Chromeは、閲覧履歴に基づいたターゲット広告を推進しています
Google のシニア ソフトウェア エンジニアであるヨハン ホフマン氏が前述の通知で指摘したように、サードパーティ Cookie の段階的な廃止とプライバシー サンドボックス テクノロジーへの移行 (少なくとも Chrome においては) は現状における大きな変化です。
「長年にわたるウェブプラットフォームへの最も影響力のある変更の1つとして、サードパーティCookieの廃止と代替APIの導入は、数文で要約できないほどウェブ開発者から多くの有益なフィードバックを受け取った」とホフマン氏は述べた。
概要に記載されているように、プライバシー サンドボックスは、強力なユーザー保護を展開しながらも、活気に満ちた自由にアクセスできる Web の存在を確保することを目指しており、今後も Web 開発者と協力してそのユースケースを理解し、適切な (プライバシーを保護する) API を提供していきます。
マーケターが依然としてインターネット広告のビジネスを続けている中で、インターネット広告の技術基盤を置き換えることの影響は、規制当局にも無視できない。規制当局はGoogleに対し、公平な競争環境の構築を求めてきたが、批判的なロビー団体はこれに異議を唱えている。そのためGoogleは、プライバシーサンドボックスが競合他社にとっての殺戮地帯とならないよう、英国競争・市場庁(CMA)に対し具体的な約束を行うことに同意した。
提起されている問題の一つは、これまでサードパーティCookieに依存していた広告主は意思決定に必要なデータが大幅に減少する一方で、多くの人がGoogleアカウントにログインした状態でChromeを使用しているため、Googleは引き続きオンラインアクティビティに関する洞察を得ることができるという点です。監視機関がすべてのマーケターが同等の情報量に基づいて行動することを望んでいるとは考えにくいですが、世界中で独占禁止法違反の裁判や調査が行われている中で、競合他社は警鐘を鳴らすことで、この広告大手を足止めする絶好の機会を得ています。
独立プライバシー研究者、コンサルタントであり、『サイバーセキュリティの哲学』の著者でもあるルカス・オレニク氏は、The Register への電子メールで、予定されている Cookie の段階的廃止は「プライバシーへの配慮を中核とした、概念的およびアーキテクチャ的な大幅な進化」を意味すると語った。
「この大規模なシステム移行は、非常に重要な課題です。広告技術と広告エコシステムにプライバシー向上のための変更を導入することになります」とオレニク氏は述べた。「しかしながら、このシステムは脆弱であり、分析は複雑です。そして、移行の全体的な影響はまだ完全には明らかになっていないのです。」
オレイニク氏は、SafariやFirefoxなどのウェブブラウザはすでにサードパーティCookieに対応しているという意見もあるが、Chromeのユーザーベースの方がはるかに大きいと述べた。
英国競争・市場庁は、この特定のケースにおいて事実上の世界技術規制当局となった。
「Chrome の移行は、オーストラリア、EU、そして特にこの件で事実上の世界技術・競争規制当局となった英国競争・市場庁の競争規制当局によって綿密に精査されたが、これは平凡な結果である。
確かに、EUの調査は不確実性を高めていますが、CMAのプロセスで定められた停止期間やCMAの承認を必要とする決定も同様に不確実性を高めています。だからこそ、移行はソフトウェアと標準化だけの問題ではなく、規制の問題でもあるのです。実際、EUは競争法とデータ保護法の対象となる、規制の厳しい地域なのです。
オレニク氏は、サードパーティCookieの段階的な廃止は必要な第一歩であり、その取り組みが予想以上に長引いて2025年まで続くとしても驚くことではないと述べた。また、プライバシーサンドボックスAPIの一部にはさらなる改良が必要となり、その結果、一部の形式の追跡がもう少し長く続く可能性があると予想している。
実際、ブラウザ開発者が独自の方法でクロスサイトトラッキングを撲滅しようと試みている一方で、Cookieにおけるクロスサイトトラッキングの合意された定義や、そうしたCookieがセキュリティの観点からどのように機能するかについて、まだ検討すべき課題が残されています。ホフマン氏が指摘するように、Googleは相互運用性を確保するために、他のブラウザメーカーと協力して共通のセキュリティ対策を確立しようとしています。これは、Salesforce for Microsoft Teamsのようなシナリオで発生します。SalesforceのサービスはMicrosoftの認証サービスを利用しており、サードパーティとしてMicrosoftをブロックすると、問題が発生します。
サードパーティCookieの段階的な廃止の理由の一つは、ウェブサイトの機能不全に対処するためです。「FirefoxとSafariでは既にサードパーティCookieがブロックされており、開発者への啓蒙活動も行われ、廃止への備えを促す取り組みも行われていますが、ユーザー向けの機能の一部にサードパーティCookieを依拠しているサイトが依然として相当数あると推定しています」とホフマン氏は述べています。
Googleのプライバシーサンドボックスを批判してきた電子フロンティア財団は、クッキーの廃止とその後についてより慎重な見解を示した。
「ウェブ全体は急速にサードパーティCookieから離れつつあり、FirefoxとSafariがその先頭に立っています」と、EFFのシニアスタッフテクノロジスト、ジェイコブ・ホフマン=アンドリュース氏はThe Registerへのメールで述べています。「Google Chromeがこのプロジェクトを将来のある時点で完了すれば、ウェブ上のプライバシーにとって素晴らしい日となるでしょう。」
発表によると、段階的な展開は2024年第3四半期に開始される予定で、100%達成の期限は明記されていない。Googleの広告部門が、これらの重要なプライバシー改善を過度に遅らせないことを願うしかない。
Google、ChromeのIPアドレスクローキング問題で英国監視機関に召喚される
エクスクルーシブ
Braveブラウザを開発するBrave Softwareのプライバシーエンジニアリング担当副社長ピーター・スナイダー氏は、The Registerへの電子メールで、Braveに関してはクッキーのカットオフとプライバシーサンドボックスが依然として問題であると語った。
「サードパーティのクッキーをプライバシーサンドボックスに置き換えても、Google Chromeのプライバシー保護が主要ブラウザの中で最も劣悪であるという事実は変わらない。我々はGoogleの今後の計画を非常に懸念している」と同氏は述べた。
「Google がゆっくりとサードパーティ Cookie を削除すると同時に、多数の変更も実施しました。これらを総合すると、ユーザー中心でプライバシーを保護する Web に向けて他のブラウザが進めている進歩に深刻な悪影響を及ぼします。」
「最近のGoogle Chromeの変更により、ユーザーによるウェブ体験の変更、プライバシー保護、セキュリティ強化(Manifest v3)、ユーザーの興味関心をアクセス先のウェブサイトに公開(Topics)、ウェブ上のプライバシー境界の消滅(Related Sites)、広告オークションによるバッテリー消費コストのユーザー負担軽減(FLEDGE/Protected Audience API)、そしてユーザーコントロールとウェブの透明性の低下(Signed Exchange/WebBundles)といった問題が引き起こされています」とスナイダー氏は説明した。「そしてこれは、Chromeに導入されている有害な変更の、より長いリストの中のほんの一例に過ぎません。」
スナイダー氏は、グーグルはサードパーティクッキーの削除をプライバシー問題への真摯な取り組みと位置づけているが、真実はその逆だと主張した。
「他のブラウザは、よりプライバシーが高く、よりユーザーフレンドリーなウェブが実現可能であることを示しています」と彼は述べた。「GoogleがサードパーティCookieを削除することは、Googleの真の優先事項である自社の広告事業に悪影響を与えることなく、可能な限り最小限の変更として、より正確に理解されるべきです。」
BraveがChromeのCookie削除とプライバシーサンドボックスについて何か発言するだろうと承知していたGoogleの広報担当者は、次のように述べました。「ユーザーのプライバシーを向上させるには、デジタルエコシステムの重要なニーズをサポートするプライバシー保護の代替手段を構築する必要があります。一部のブラウザやオペレーティングシステムは、そのような代替手段を整備することなく、サードパーティCookieなどの既存のユーザー識別子を制限することでプライバシーの向上を試みてきました。」
「このアプローチは人々のプライバシーの保護に逆効果を及ぼします。
プラットフォームがプライバシー向上のためにこうした露骨なアプローチを試みたとき、研究者たちは、より巧妙なクロスサイトトラッキングが蔓延していることを指摘しています。ブラウザフィンガープリンティングや、ユーザーの個人識別情報(メールアドレスなど)に基づく識別子といった技術を用いてユーザーを追跡・プロファイリングすることは、プライバシー、コントロール、そして透明性の低下を意味します。これはユーザーとインターネット全体にとって悪い結果です。®
