アップデートされたGoogle は自社のウェブサイトを Chrome の自動データ スクラブ機能から除外しているため、この広告大手はユーザーが追跡しないように指示した場合でもユーザーを追跡できる可能性があります。
プログラマーのジェフ・ジョンソン氏はこの異常な動作に気づき、今月スクリーンショットとともに問題を記録しました。状況分析の結果、少なくともデスクトップ版のChromeで、ブラウザ終了時にすべてのCookieといわゆるサイトデータを自動的に削除するように設定すると、Google.comとYouTube.comのサイトデータを除いて、すべてが期待通りに削除されることが分かりました。
Cookieは通常、ウェブサイト訪問時にユーザーを識別し、オンライン設定の一部を保存するために使用されますが、サイトデータは別のレベルにあります。サイトデータには、サイトがユーザーの個人情報をユーザーのコンピュータに保存できるストレージデータベースなどが含まれます。このデータベースは、ユーザーが次回ウェブサイトにアクセスした際に、サイトから再びアクセスされます。したがって、GoogleやYouTubeのCookieはChromeによって消去される可能性がありますが、サイトデータはユーザーのコンピュータに残り、将来的にユーザーを識別するために使用される可能性があります。
ジョンソン氏は、Chrome をアプリケーションの終了時にすべての Cookie とサイトデータを消去するように設定したところ、apple.com などのサイトでは期待通りにすべてのデータが消去されたと指摘しました。しかし、Google の主要検索サイトと動画サービス YouTube は、Cookie は消去されたものの、サイトデータは保持されていました。Google が将来、ユーザーの Google Cookie に相当するデータを Google.com のサイトデータストレージに保存することを選択した場合、ユーザーが次回 Google にアクセスした際にそれらの Cookie が取得され、ユーザーを特定される可能性があります。たとえ Chrome で Cookie の取得を許可していないつもりでも、です。
Chrome同期を無効にしたにもかかわらず、Googleが個人情報を収集したとして訴訟を起こす - ネットユーザー
続きを読む
最終的には、Googleだけが、プライバシー保護を選択したChromeユーザーを追跡し続けることを可能にする可能性があります。これは、インターネットの巨人であるGoogleにとって、広告配信において非常に価値のあることです。多くのユーザーは、ウェブ上でストーカー行為をされるのを防ぐために、Chromeを終了時にCookieとサイトデータを自動的に削除するように設定しています。しかし、セッションごとのCookieが消去されるため、次回ウェブサイトにアクセスする際に再度ログインが必要になることがよくあります。
しかし、Googleは自ら例外を認めたようだ。この状況は、位置情報の追跡をめぐる同様の問題を彷彿とさせる。当時、ユーザーが位置情報の追跡をブロックするオプションを積極的に選択したにもかかわらず、Googleはアプリを通じてユーザーの位置情報の追跡を続けていたのだ。Googleは、位置情報の追跡を開始するかどうかの実際のオプションを、「位置情報」という言葉さえ含まない別の設定にしていた。
この場合、「Chrome を終了するときに Cookie とサイトデータを消去する」は、少なくとも Google にとっては実際にはその通りの意味ではありません。
回避策があります。ブラウザ内で「Google.com」と「YouTube.com」を「Cookieを使用しないサイト」のリストに手動で追加することができます。この場合、これらのサイトからの情報は、サイトデータさえも保存されませんが、全体的に少しわかりにくいかもしれません。
ただのバグですか?
ジョンソン氏はGoogleの主張を肯定し、「これはGoogle Chromeの単なるバグであり、意図的な動作ではないかもしれない」と示唆したが、「問題は、なぜこれがGoogleサイトだけに発生し、Google以外のサイトには発生しないのかということだ」と指摘した。サイトデータにはキャッシュファイルが含まれる可能性があることにも留意すべきである。
Googleがユーザーの明確な意図にもかかわらず個人情報を保存していると非難されるのは、これが初めてではありません。7月には、Chromeユーザーから訴訟を起こされ、Chromeに保存されているデータをGoogleアカウントと同期しないというユーザーの選択にもかかわらず、Googleが個人情報を収集していると訴えられました。
「Googleは、ユーザーが同期を選択したかどうか、あるいはGoogleアカウントを持っているかどうかに関係なく、Chromeにユーザーの個人情報を故意かつ違法に記録させてGoogleに送信させている」と訴状には記されている。
また2月には、インストールごとのID番号らしきものをGoogleに送信したとして非難されたが、開発者らによると、このIDはウェブ上で人々を追跡するためにも使用される可能性があり、識別子は個人を特定できるデータとみなされる可能性があるため、欧州の一般データ保護規則に違反する可能性があるという。
これに対し、Googleは、これらの数字には使用されているChromeのバリエーションに関する情報のみが含まれており、固有のフィンガープリントではないと主張した。しかし、その後まもなく、識別子の説明を変更し、「個人を特定できる情報は含まれず、Chrome自体のインストール状態のみを示す」というセクションを削除し、さらに「Googleに送信されるネットワークリクエストには、低エントロピーのバリエーションのサブセットが含まれています。これらのバリエーションを組み合わせた状態は、13ビットの低エントロピー値に基づいているため、個人を特定するものではありません」という難解な表現に書き換えた。
調査
グーグルは、自社の規則に従わずにサービスを運営し、競合他社のサービスよりも自社のサービスを不当に宣伝しているとして、米国政府と欧州連合から調査を受けている。
Googleは今年初め、SafariとFirefoxが既に実施しているように、2021年末までにすべてのサードパーティCookieを廃止する計画も発表しました。ただし、ファーストパーティCookieは保持され、Chromeでは自社サイトが優先されるようです。
Googleに説明を求めました。回答が得られ次第、この記事を更新します。®
追加更新
Googleの広報担当者は、この問題はプログラミングエラーであり、修正される予定だと述べた。「一部のGoogleファーストパーティウェブサイトでCookieの消去方法に影響を与えるChromeのバグを認識しています。現在この問題を調査しており、近日中に修正を公開する予定です。」
