デジタル広告はどう変わろうとしているのか

　2021年1月14日、アルファベート傘下のグーグルが運営するブラウザ、クローム（Chrome）での「サードパーティクッキー」のサポートが段階的に廃止されることが発表された。2022年末までに、これまで利用されてきたサードパーティクッキーがなくなることで、広告をめぐって利用されてきた個人情報収集のあり方が大きく変化しようとしている。この発表直後、広告主は不安にかられて大騒ぎとなったが、その後、グーグルは彼らと協議を重ねながら、準備が進められている。

　他方で、アップルは2020年6月の段階で、IDFA（Identifier for Advertisers）と呼ばれる携帯電話上の識別子を初期設定（デフォルト）の段階からだれでも利用できるようにしている状態を承諾が必要なオプトイン方式に変更すると発表し、それが2021年4月から実際に導入されるようになった。

　IDFAはサードパーティクッキーのように使われており、個人を特定しないユーザーのウェブサイトの訪問履歴や購入履歴、属性データ、位置情報などを解析して特徴的なグループにまとめたセグメントデータの収集に利用されてきた。具体的には、ユーザーのアプリのダウンロード、その利用実績、閲覧ソフト（ブラウザ）ごとの閲覧記録、通販実績などのデータが「トラッキング」（追跡）されていたのだ。このIDFAへの承諾と求めるようになれば、承諾しない者が増えてプライバシー保護につながる。

　この二つの動きはいずれも、プライバシー強化の動きであり、それは同時に、これまでのインターネットやスマートフォン上でのデジタル広告のあり方を大きく変えることになる。

　こう書いても、意味がわからない人がたくさんいるかもしれない。そこで現在、デジタル広告がどう変わろうとしているかについて、できるだけわかりやすく説明し、プライバシー保護の問題がどうなりつつあるかの理解を深めてもらいたいと思う。

どのブラウザを使うかはきわめて重要な選択

　まず、ブラウザについて説明しよう。ブラウザはデータや情報をまとまった形で閲覧するためのソフトウェアを意味し、通常、ウェブサーバーからデータを取得して閲覧するための「Webブラウザ」をいう。具体的には、ウィンドウズを使っている人は、Microsoft Edge（かつてはインターネット・エクスプローラーと呼ばれていた）というブラウザを使っているかもしれない。アップルのユーザーはSafariを使っているかもしれない。あるいは、グーグルのスマートフォンやノートパソコンをもっている者はグーグルのブラウザであるChromeを利用しているかもしれない。

　ブラウザはクッキーと深く関係しているので、どのブラウザを使うかはきわめて重要な選択になる。このクッキーとは、ウェブサイトの提供者が、閲覧者のコンピューターにブラウザを介して一時的に書き込むデータで、閲覧者の識別や認証のために使われるものである。たとえば、ユーザーがウェブサイトAを閲覧した際、AのサーバーないしJavaScriptはユーザーのブラウザに対してクッキーを発行する。二度目以降にAを閲覧すると、ブラウザはこのクッキーを送り返すため、Aのサーバーは同じ閲覧者が訪問したことを確認できる（図1参照）。このクッキーはユーザーの訪問したウェブサイトが発行したクッキーで、「ファーストパーティクッキー」と呼ばれる。なお、これから先の説明は、「オンライン広告におけるトラッキングの現状とその法的考察」という論文を参考にしている。

　クッキーにはもう一つ、ユーザーが訪問したウェブサイトやサービスの運営主体以外の事業者が発行する「サードパーティクッキー」と呼ばれるものがある。たとえば、ウェブサイトAと広告事業者Bとが提携し、Aのウェブサーバーのウェブ文書（HTML）上にBがJavaScriptを設置してもらい、Aを閲覧したブラウザに対し、「Bのサーバーにアクセスしろ」などの指示をすると、このユーザーのブラウザはBのサーバーにアクセスする。するとBのサーバーもこのユーザーにクッキーを発行する。これがサードパーティクッキーで、ユーザーはアクセスしたつもりのないBから、ブラウザを識別される状態になる（図2参照）。

　この時、Bはファーストパーティクッキーと統合したり、リファラ（ブラウザがサーバーに送信する、リンク元サイトのURL）を参照したりすることによって、このユーザーがサイトAからの訪問者であることがわかる。

　もし、Bが、サイトAばかりでなく、サイトCやサイトDなどにも同じようにJavaScriptを埋め込んで、閲覧ユーザーにアクセスを要求すると、BはユーザーがAやCやDを閲覧したことも把握できる。Bが多くのサイトと提携すればするほど、ユーザーのウェブ上のさまざまな行動履歴がクッキーを介して統合されていくことになる。JavaScriptの指示内容によっては、単にアクセス要求だけでなく、ポインタの位置やクリックの有無、入力内容などの情報を送信させることもできる。

　たとえば、ニュースサイトでどんな記事をどのくらいの時間をかけて読んでいたのか、何をクリックしたのか、どんな言葉を検索していたのか、どんな商品を購入したのかといった情報を得ることも可能だ。しかし、ユーザーにすれば、ブラウザに紐づく情報とはいえ、自らアクセスしたわけでもないBに、興味関心に関する情報を把握されてしまうことになる（図3参照）。これこそ、「プライバシーの侵害」にあたる。

　こうした「プライバシーの侵害」行為はさらに、サーバー側でブラウザに対し指示ができるというJavaScriptの特性を使ったJavaScriptの「入れ子構造」によって悪化している。サイト運営者が、広告会社などと提携して閲覧者をその広告会社のサーバーにアクセスさせるJavaScriptを設置する際、その広告会社のサーバーに、新たに別の広告会社などへのアクセスを指示するJavaScriptを設置するといった手法で、広告業界では「ピギーバック」などと呼んで広く活用されているからだ（図4参照）

　こうした方法でプライバシーが侵害されながらも、長く放置され、これを利用した広告で金儲けをしてきたのがグーグルなどのインターネット広告業者であった。

　だが、こうしたやり方に対する批判が高まるにつれて、ユーザー側のさまざまな防御策も生まれており、最大手のグーグルもこれまでのやり方を改める決意をしたわけである。

プライベート・ブラウザとは何か

　やや脱線して、ブラウザとクッキーが連動している以上、どのブラウザを使うのが個人情報の保護という観点からお勧めなのかを論じてみよう。ちょうどいいことに、2021年3月31日付の「ニューヨーク・タイムズ電子版」に「プライバシーを気にするなら、新しいWebブラウザを試す時だ」という記事が公表されたので、これを参考にしてみたい。

　まず、世界中で利用されているブラウザのシェアをみると、下図に示されたように、近年、そのシェアは安定している。グーグルのChromeのシェアが6割強ともっとも高い。ついで、Safariが20%弱と比較的安定している。第三位以下には、Firefox、Edge、Samsung Internet、Operaなどがある。

　PCでもスマートフォンでも、これらのブラウザを使用する際、「プライベート・ブラウザ」を利用することができる。たとえば、グーグルのChrome で閲覧内容が記憶されないようにするには、シークレットモードでシークレットブラウジングを行う必要がある。iPhoneやiPod touchでは、「プライベートブラウズ」のオン／オフを切り替えるという作業がいる。

　名称に違いはあっても、これを利用できるように設定すれば、ユーザーの閲覧履歴を記録しないでブラウジングが可能となる。加えて、プライベート・ブラウザでは、ブラウザの拡張機能としてダウンロードできるトラッカー・ブロッカー（追跡遮断）を使用することもできる。このブロッカーは、ウェブサイトを読み込むたびに、ソフトウェアがこれらのトラッカーを検出し、サイトからサイトへとユーザーを追いかけていくのを制限する。ただし、この方法の大きな欠点は、トラッカーをブロックすると、ショッピングカートや動画などのウェブサイトの一部が破損することがある点だ。

　こうした個人情報の保護機能はChromeやSafariといった大手のブラウザでは、最初の標準設定（デフォルト）時に自動的に設定されているわけではなかった。そのため、何も知らないまま、多くのユーザーが個人情報を盗まれるという状態が放置されてきた。ただし、ブラウザのシェアの低いアップルのSafariは2017年9月以降、トラッキング防止機能（ITP）を搭載し、すでにサードパーティクッキーをブロックしている。なお、ファーストパーティクッキーについても厳しく制限されることに