Google が提唱する「Privacy Sandbox」について

これは TECHSCORE Advent Calendar の13日目の記事です。

Privacy Sandbox は Google が提唱する 広告についての技術的な取り組みです。Google の Chrome ブラウザの開発チームのブログで以下のように書かれています。

Chromium Blog - Potential uses for the Privacy Sandbox

we outlined our vision for an initiative aimed at evolving the web with architecture that advances privacy, while continuing to support a free and open ecosystem.

プライバシーを向上させながら自由でオープンな (広告の) エコシステムを引き続きサポートするアーキテクチャーで Web を進化させることを目的としたイニシアチブについて説明しました。

※ 訳文は筆者によるもの

まだアイデアの段階でドキュメントとして公開され広く意見が募られています。多くの技術者が関わり改善を続けながら将来の広告技術の標準となることを目指しているとのことです。
昨今の Third-Party Cookie をブロックしていこうとするブラウザのトレンド1に対して一石を投じる取り組みとして注目されています。

今回この Chromium Blog の記事について簡単に説明を試みたいと思います。そしてこの取り組みに興味を持つ人が一人でも増えてくれればありがたいです。そこからこの取り組みに関する新しいアイデアが出てきたらさらにすばらしいことだと考えています。

Chromium Blog の記事では まず Privacy Sandbox を発表するにいたった理由が説明され、次に広告エコシステム2の中で広告がどのように選択されて表示されるか、またその効果の測定方法について述べられています。そして fingerprinting3 といった技術を利用してユーザーの行動を不正に追跡しようする行為にどのように対応していこうとしているかが説明されています。順に見ていきましょう。

まず Chromium Blog の記事では Google が このコンセプトを提唱するに至る理由として Google Keyword の記事 (Building a more private web) が参照されています。 その記事の中で、ブラウザの仕様として Third-Party Cookie をことさらにブロックする流れが強まると fingerprinting3 を促進することにつながり、また広告費の減少が進むことも危惧され、かえってエンドユーザーにとってよくない事態をまねきかねないのではないかという懸念が表明されています。
この懸念を払拭し同時にプライバシーにも配慮した仕組みが Privacy Sandbox であるとしています。

続いて現在の広告エコシステム2のなかでユーザー情報がどのように使われているかをいくつかの事例をまじえて紹介しています。それぞれについて見ていきます。

広告エコシステムにおける広告の選択とコンバージョンの測定について

広告の選択

ブラウザ上で広告が表示される時はユーザーが興味がありそうな広告をサイト運営者が選択して表示します。このとき「興味がありそうか」どうか、つまりユーザーと広告を関連付けするために Web 閲覧履歴が活用されます。しかしユーザーのプライバシー保護の観点から閲覧履歴はできるかぎりブラウザ外に出すべきではありません。なので、いかに外に出す履歴情報を少なくするかが大きな課題になります。

Chrome ではこの課題解決のために利用してきた技術として差分プライバシー (Differential privacy) やフェデレーションラーニング(Federated learning) があるとしています。

  • 差分プライバシー
    個人を特定することなく似た者同士をグループにまとめることで、外部に公開が可能となるデータで、それを扱う技術のことを指すこともあります。個人の情報をどうやって特定できなくするかについては、グループの中に一定量のノイズ情報を含ませる事で統計的に個人の特定が難しい状態にできるとされています。
    Google では 2014 年に RAPPOR プロジェクト(セキュリティとプライバシーの保護を目的とした改善の取り組み) 内でこの技術が導入され、2015 年 の Google Blog の記事「テクノロジーで都市を快適に移動する」では交通量の統計情報をとる際に個人情報が特定されないための技術として紹介されています。

  • フェデレーションラーニング
    スマートフォンなどのデータをデバイス上に保存しながらネットワークごしに大規模な機械学習を行なう方法のことです。
    カーネギーメロン大学 (CMU) のブログサイトで「デバイスはサーバーから定期的に学習モデルを取得し、データはできるかぎり各デバイスに維持しながらネットワークの負担を減らしかつ端末を持つユーザーのプライバシーも同時に保護することがきる機械学習モデル」として紹介されています。
    差分プライバシーなどに比べると比較的新しい技術で、Chrome ではこの技術を利用して大規模なグループ (数千人) に属していると分かるまではその情報はブラウザの外に共有されない仕組みを実現しています。

コンバージョン測定

コンバージョン測定 (広告ごとの売上への貢献を知ることができる) は広告主にとってもサイトを訪れるユーザーにとってもメリットがあります。広告主にとってはコンバージョンをもとに広告を改善 (より高い効果のあるものにする) しその結果として売上が上がります。ユーザーにとってはより興味に近い広告が優先的に表示されることになります。双方にとって有益です。

ただ、現在のコンバージョン測定はユーザーのプライバシー保護の観点で課題があるとされています。以下、コンバージョン測定の仕組みを説明し、その中で課題がどこにあるかについてみていきます。

たとえばあるサイト A に表示された広告をユーザーがクリックして、広告主のサイト B にリダイレクトしたとします。そして サイト B で商品を購入するときは Cookie と "トラッキングピクセル" という見えない画像を使って 「ユーザーが商品をサイトBで購入した」という情報をサイト A に送ります。そして サイト A は 広告がクリックされたことと商品を購入したという情報を一致させることでコンバージョンを測定することができます。

しかしこの方法だと、いつユーザーがどのサイトでなにを購入したかという情報がすべてサイト A に送信されていることになります。本来なら広告のコンバージョンのみ測定すれば良くユーザーは特定しなくても済む話がユーザーの行動を追跡している状態にあります。

この課題を解決する方法として提案されている新しい技術が Apple が中心になって開発している Webkit (Safari に搭載されている HTML レンダリングエンジン) が発表した Privacy Preserving Ad Click Attribution と、Google が提案している Conversion Measurement API です。それぞれ少し説明したいと思います。

Privacy Preserving Ad Click Attribution

  • Privacy Preserving Ad Click Attribution では次の方法をとります。
    1. サイト A で広告をクリックしてサイト B にリダイレクトした情報はブラウザ上にのみ保存される
      (保存されるのは 「どの広告か(キャンペーン ID など)」、「どこから(サイト A)」、「どこに(サイト B)」)

    2. サイト B で商品を購入したことはトラッキングピクセルを使ってサイト A に送られる
      トラッキングピクセルのリクエストは サイト A にリダイレクトします
      (これによりブラウザでコンバージョンを検知できます)

    3. ブラウザ上で 1. で保存していた情報と サイト B で商品を購入した情報が一致するかを確認する。
      (2 の送信元と送信先の組合せ (サイト B と サイト A) が 1 の情報と一致するか)

    4. 一致した場合にコンバージョンとみなし 24 〜 48 時間の間のランダムなタイミングでサイト A に 広告のコンバージョンを送信する

サイト A に対して ランダムなタイミングで送信しているのは、コンバージョンの時間からユーザーを推測できないようにするためです。
2. の処理では サイト A に対して商品が購入されたことは送信されますがユーザーの情報は送られません。
この方法であればサイトをまたがってユーザー情報は送信されずユーザーを特定しないので、ユーザーのプライバシーは保護しながらサイト A でのコンバージョン測定も可能になります。もちろんですがこの仕組みをブラウザが実装することが前提です。
これが、Privacy Preserving Ad Click Attribution の おおまかな仕組みです。より詳細な仕様が Webkit の公開記事で説明されています。

Conversion Measurement API

Google が提案する Conversion Measurement API も基本的には Privacy Preserving Ad Click Attribution と同じような仕組みになっていますが、以下の点で異なります。

  • iframe 内の広告のインプレッション (クリックなど) に対応しています。例えばメインフレームのコンテンツの広告とは別に iframe 内で Third-Party による広告を表示することがあります。その場合 iframe 内の広告がメインフレームのコンテンツに影響を出さないようにすることができます。
  • コンバージョン情報の送信先を広告の表示サイト (パブリッシャー) 以外に指定することができます。これにより広告の表示サイトはコンバージョン情報の受け口を新たに開発する必要がありません。
  • 単純なインプレッション ("広告をクリックした" という情報など) だけでなく付加情報をつけた状態でコンバージョン情報を収集することを目標としています。これにより収集した情報から機械学習で将来のコンバージョン率を予測したり、不正なアクセス (ロボットによる自動リクエストなど) を取り除いたりすることができると考えられています。
  • コンバージョンの情報に差分プライバシー技術を適用するためにノイズ情報を含ませることが検討されています。

提案のより詳細な内容はこちらで説明されています。
Conversion Measurement API は、Privacy Sandbox のいくつかのアイデアの中のひとつになります。

このようにユーザーを特定することなく広告の効果を測定する技術についてのコンセプトが Google と Apple の両方から公開されています。

fingerprinting への対策

今まで Web 上でなにかの機能がなくなったとしても、次々にそれにかわる技術生み出されてきました。最たる例のひとつが Cookie が ブロックされることに対する fingerprinting の台頭です。

恐るべきことに Cookie を利用しなくても、一部の悪意のある開発者により fingerprinting によってユーザーのデバイスやインストール済のフォントから身元をある程度個人情報が割り出される可能性があります。JavaScript で収集された小さなデータの集まりを組み合わせて一意の識別子を生成しこれによって Web 間で device fingerprint (端末の識別情報) として ユーザーを照合するのです。 Cookie と違ってユーザーは fingerprint (指紋のような、ブラウザやデバイスの識別情報) を消し去ることはできません。

Google は fingerprinting を防ぐための措置を積極的に講じるとしていますが、Cookie をブロックしていっても問題の根本的な解決にはならない、というのが Google の主張になります。

Google の fingerprinting への対策の主要なものは Google I/O イベント (2019/5) で発表された、privacy budget という実装の提案です (これもPrivacy Sandbox のアイデアのひとつです)。

With a privacy budget, websites can call APIs until those calls have revealed enough information to narrow a user down to a group sufficiently large enough to maintain anonymity. After that, any further attempts to call APIs that would reveal information will cause the browser to intervene and block further calls.

privacy badget によりウェブサイトは、匿名性を維持するのに十分な大きさのグループにユーザーを絞り込むのに十分な情報がそれらの呼び出しによって明らかにされるまでは、APIを呼び出すことができます。しかし その後、情報を明らかにするAPIをさらに呼び出そうとすると、ブラウザが介入し、それ以上の呼び出しをブロックします。

※ 訳文は筆者によるもの

匿名性を維持するのに十分な大きさのグループを統計的に測り出して制限のしきい値にするという考えかたですが、いったいどんな実装になるのでしょうか。難しそうですが考える余地はあるかもしません。


Chromium Blog 記事では Privacy Sandbox の考えは意欲的な取り組みであり、ブラウザ、パブリッシャー業界全体のコラボレーションのなかでブラッシュアップされなければならないと強調し、世界中の関係者、技術者の意見を集めようとしています。今後どのような取り組みになるか楽しみですね。

ここまで読んでいただきありがとうございました。興味を持たれた人は是非 Chromium の Privacy Sandbox のサイトを見ていただきたいと思います。


  1. Firefox は version 70 において従来の ETP (Enhanced Tracking Protect) がすべてのプラットフォームでデフォルトで有効化され多くの Third-Party Cookie がブロックされるとしています。 また、Safari では ITP (Intelligent Tracking Prevention) 機能により Third-Party Cookie を用いたトラッキングに加えて ローカルストレージを利用したサイト間のトラッキングに対する防止策も組み込まれています。 
  2. 具体的な例は示されていませんが GDN / YDN 4 や DSP5 などを通じて複数の企業やサービスが繋った広告市場で価値を生み出している構造を指していると考えられます。 
  3. Cookie を利用せずに Web 上のサイトを訪れた端末情報を識別する技術です。HTML の Canvas 属性を使った Canvas fingerprinting といった手法が知られています。Browser fingerprinting、Device fingerprinting と記述されることもありますがここでは Chromium Blog の記事にある 「fingerprinting」で統一します。 
  4. Google ディスプレイ ネットワーク (GDN) や Yahoo!ディスプレイアドネットワーク (YDN) などの ディスプレイ広告出稿サービスのことです。 
  5. 広告在庫の買い付け、広告配信、掲載面、クリエイティブの分析などを提供する、広告主向けの配信プラットフォームです。国内外で複数の DSP 事業者により運営されています。 
Comments are closed, but you can leave a trackback: Trackback URL.