ナビゲーションをスキップ
部 II 章 10

プライバシー

序章

Web Almanacのこの章では、Web上のプライバシーの現状を概観します。このトピックは、最近人気が高まっており、ユーザー側の意識も高まっています。ガイドラインの必要性は、さまざまな規制によって満たされてきました(ヨーロッパのGDPR、ブラジルのLGPD、カリフォルニアのCCPAなど)。これらは、データ処理業者の説明責任とユーザーに対する透明性を高めることを目的としています。本章では、さまざまな技術を用いたオンライントラッキングの普及状況と、ウェブサイトにおけるCookie同意バナーやプライバシーポリシーの採用率について説明します。

オンライントラッキング

第三者のトラッカーは、ユーザーデータを収集してユーザーの行動のプロファイルを構築し、広告目的で収益化します。このことは、ウェブ上のユーザーにプライバシーに関する懸念を抱かせ、その結果、さまざまなトラッキング保護手段が登場することになりました。しかし、このセクションでご紹介するように、オンライントラッキングは今でも広く利用されています。プライバシーに悪影響を及ぼすだけでなく、オンライン・トラッキングは環境に多大な影響を与えており、それを避けることはパフォーマンスの向上につながります。

サードパーティーCookieとフィンガープリンティングを用いた、もっとも一般的なサードパーティートラッキングを検証します。オンライントラッキングはこの2つの手法に限らず、既存の対策を回避するための新しい手法が次々と生まれています。

サードパーティートラッカー

当社では、WhoTracksMeのトラッカーリストを使用して、潜在的なトラッカーにリクエストを発行するウェブサイトの割合を調べています。次の図に示すように、少なくとも1つの潜在的なトラッカーがおよそ93%のウェブサイトに存在することがわかりました。

図10.1. 少なくとも1つの潜在的なトラッカーを含むウェブサイト

私たちは、もっとも広く使われているトラッカーを調べ、もっとも人気のある10種類のトラッカーの普及率をプロットしました。

図10.2. トップ10の潜在的なトラッカー

オンライントラッキング市場の最大手は、間違いなくGoogleです。同社の8つのドメインがトラッカー候補のトップ10に入っており、少なくとも70%のウェブサイトで利用されています。次いでFacebook、Cloudflarと続きますが、後者はホスティングサイトとしての人気を反映していると思われます。

WhoTracksMeのトラッカーリストには、トラッカーが所属するカテゴリーも定義されています。CDNとホスティングサイトを統計から除外すると、これらのサイトはトラッキングを行わないか、少なくともそれが主な機能ではないと仮定すると、トップ10の見方が少し変わります。

図10.3. トップ10トラッカー

ここでは、トップ10のドメインのうち7つをGoogleが占めています。次の図は、潜在的なトラッカーの数が多い100件について、カテゴリー別の分布を示したものです。

図10.4. ポテンシャルトラッカー100選のカテゴリー

もっとも人気のあるトラッカーの60%近くが広告関連である。これは、オンライン広告市場の収益性がトラッキングの量に関係していると認識されているためと考えられる。

Cookies

WebサイトでHTTPのレスポンスヘッダーに設定されているもっとも一般的なCookieを、その名前とドメイン別に調べました。

ドメイン Cookieの名称 ウェブサイト
doubleclick.net test_cookie 24%
facebook.com fr 10%
youtube.com VISITOR_INFO1_LIVE 10%
youtube.com YSC 10%
doubleclick.net IDE 9%
doubleclick.net unknown 9%
youtube.com GPS 9%
doubleclick.net unknown 8%
google.com NID 6%
doubleclick.net unknown 6%
図10.5. デスクトップサイトのトップCookie
ドメイン Cookieの名称 ウェブサイト
doubleclick.net test_cookie 32%
doubleclick.net IDE 21%
facebook.com fr 10%
youtube.com VISITOR_INFO1_LIVE 10%
youtube.com YSC 10%
google.com NID 10%
youtube.com GPS 8%
doubleclick.net DSID 7%
yandex.ru yandexuid 6%
yandex.ru i 6%
図10.6. モバイルサイトのトップCookie

ご覧のとおり、Googleのトラッキングドメイン「doubleclick.net」は、モバイルクライアントでは約4分の1、デスクトップクライアントでは全Webサイトの3分の1のWebサイトにCookieを設定しています。ここでも、デスクトップクライアントでもっとも人気のある10個のCookieのうち9個、モバイルでは10個のうち7個がGoogleのドメインによって設定されています。これは、HTTPヘッダーを介して設定されたCookieのみをカウントしているため、Cookieが設定されているウェブサイトの数の下限となります。

フィンガープリンティング

もう1つの広く使われているトラッキング技術は、フィンガープリンティングです。これは、ユーザーに固有の「フィンガープリント」を作成することを目的として、ユーザーに関するさまざまな種類の情報を収集するものです。ウェブ上では、さまざまな種類のフィンガープリンティングがトラッカーによって使用されています。ブラウザフィンガープリントでは、ユーザーのブラウザに固有の特性を使用します。これは、追跡するための変数の数が十分に多ければ、他のユーザーがまったく同じブラウザを設定している可能性はかなり低くなるという事実に基づいています。今回の調査では、ブラウザ・フィンガープリントをサービスとして提供しているFingerprintJSライブラリの存在を調べました。

図10.7. FingerprintJSを使用しているサイト

このライブラリはウェブサイトのごく一部にしか存在していませんが、フィンガープリンティングの永続的な性質から、わずかな使用でも大きな影響を与える可能性があります。さらに、フィンガープリンティングの試みはFingerprintJSだけではありません。他のライブラリ、ツール、ネイティブコードでもこの目的を果たすことができますので、これは一例に過ぎません。

コンセントマネジメント・プラットフォーム

Cookie同意バナーは今や一般的になっています。このバナーは、Cookieに対する透明性を高め、しばしばユーザーがCookieの選択肢を指定できるようにします。多くのウェブサイトが独自のCookie・バナーの実装を選択していますが、最近ではConsent Management Platformsと呼ばれる第三者のソリューションが登場しています。このプラットフォームは、ウェブサイトがさまざまなタイプのCookieに対するユーザの同意を収集するための簡単な方法を提供します。4.4%のウェブサイトが同意管理プラットフォームを使用して、デスクトップ・クライアントでのCookieの選択を管理しており、モバイル・クライアントでは4.0%となっています。

図10.8. コンセント・マネジメント・プラットフォームを使用しているウェブサイト
図10.9. コンセント・マネジメント・プラットフォームの普及

さまざまな同意管理ソリューションの人気度を見ると、OsanoとQuantcast Choiceが主要なプラットフォームです。

IABヨーロッパのトランスペアレンシー・コンセント・フレームワーク

IABヨーロッパ(Interactive Advertising Bureau)は、ヨーロッパのデジタルマーケティングと広告に関する団体です。彼らは、デジタル広告の好みに関するユーザーの同意を得るために、GDPRに準拠したソリューションとして、Transparency Consent Framework(TCF)を提案しました。この実装は、パブリッシャーと広告主の間で消費者の同意に関するコミュニケーションを行うための業界標準を提供するものです。

図10.10. TCFバナーの採用率

今回の結果は、TCFバナーがまだ「業界標準」ではないことを示していますが、正しい方向への一歩と言えるでしょう。IABヨーロッパの主なターゲットはヨーロッパのパブリッシャーであり、私たちの活動はグローバルなものであることを考えると、デスクトップクライアントで1.5%、モバイルでは1.4%のウェブサイトで採用されていることは悪くないと思います。

プライバシーポリシー

プライバシーポリシーは、法的義務を果たし、データ収集方法についてユーザーへの透明性を高めるために、ウェブサイトで広く使用されています。クロールでは、訪問したウェブサイトにプライバシーポリシーのテキストが存在することを示すキーワードを検索しました。

図10.11. プライバシーポリシーのあるサイト

その結果、データセットに含まれるウェブサイトの約半数がプライバシーポリシーを記載していることがわかり、ポジティブな印象を受けました。しかし研究によると大多数のインターネットユーザーは、プライバシーポリシーを読もうとはせず、読んだとしても、ほとんどのプライバシーポリシーの文章が長くて複雑なため、理解できていないことがわかっています。しかし、プライバシーポリシーが存在することは、正しい方向への一歩と言えるでしょう。

結論

本章では、デスクトップとモバイルの両方のクライアントにおいて、第三者によるトラッキングが依然として顕著であり、Googleがもっとも多くのウェブサイトをトラッキングしていることを示しました。コンセント管理プラットフォームが使用されているウェブサイトの割合は少ないですが、多くのウェブサイトでは、独自のCookie同意バナーが実装されています。

最後に、約半数のウェブサイトがプライバシーポリシーを掲載しており、データ処理の方法についてユーザーに大きな透明性をもたらしています。これは間違いなく一歩前進ですが、まだやるべきことはたくさんあります。今回の分析以外にも、プライバシーポリシーは読みにくく理解しにくいものであり、Cookieの同意バナーはユーザーを操作して同意させるものであることがわかっています。

ウェブが真にユーザーを尊重するためには、プライバシーは後回しにするのではなく、発想の一部にしなければなりません。この点において、規制は良いことであり、世界的にプライバシー規制が増加していることは心強いことです。プライバシーバイデザインは、最低限の法的要件を満たし、金銭的なペナルティを避けるためにポリシーやツールを導入するのではなく、規範となるべきものです。

著者

  • Yana Dimova
    Yana Dimovaは、ベルギーのKUルーヴェン大学の博士課程に在籍し、プライバシーとウェブセキュリティの研究を行っています。