広告のプライバシーをより安全にするプライバシー サンドボックス

ユーザー識別情報が不要でありながら関連性の高い広告のために

プライバシー サンドボックスは、オープンで無料のインターネットを維持しながらユーザーの行動をプライベートに保つことを目指す取り組みです。媒体社は、広告を利用してコンテンツを無料で利用できるようにしており、広告主は、ユーザーが興味をもつ商品やキャンペーンの情報を広告で配信しています。Google は Chrome と Android で、ユーザーの識別情報を使うことなく、ウェブサイトやアプリがユーザーのさまざまな行動に基づいて役立つ広告を表示できるようにする新しい機能をリリースします。

プライバシー サンドボックスの各種 API は、プライバシーの保護技術を用いて、広告のパーソナライズと効果測定に使用されるデータの安全性を強化するものです。広告主や媒体社は、これらの API を通じて、ユーザーの識別情報を第三者に共有することなく、ユーザーに関連性の高い広告を表示することができるようになります。結果として、プライバシー サンドボックスは、広告で成り立つ無料コンテンツやサービスを楽しむユーザーに、サードパーティ Cookie やその他のユーザー識別子（ハッシュ化された電子メール アドレスなど）（英語）と比べてプライバシーがより保護された環境を提供します。

プライバシーサンドボックスのユーザープライバシーに配慮した様々な API は、ユーザー識別情報を保護し、利用可能なデータの量を制限しながら、広告配信を可能にします。以下がその方法です。

ユーザー識別情報を提供しない: 現在のデジタル広告の多くが、事業者間でやりとりされるユーザー識別情報に依存しており、アプリ間やウェブサイト間を行き来するユーザーを識別できるようにしています。一方、プライバシー サンドボックスでは、アプリ間やウェブサイト間の個人を追跡するユーザー識別子を提供しません。代わりに、広告主に提供されるデータを集約、制限する、またはデータにノイズを加えることで、ユーザーの再識別を防ぎます。具体的な例として次のようなものが挙げられます。

• Protected Audience は、ユーザーの限られた閲覧履歴をデバイスに保存します。アドテク事業者は、この限られたデータを、制限された広告配信方法と、隔離されたプロセス内でのみ利用できます。その結果、アドテク事業者は、現在自社サーバーに蓄積し、ウェブサイトでユーザーの行動を特定するために使用することが出来る閲覧履歴データを利用できなくなります。

• Topics は、関連するウェブサイトのホスト名の大まかなデータと、潜在的なユーザーの興味に関する比較的小規模な分類に基づき、ユーザーごとに広告トピックを生成します。プライバシーをさらに保護するため、ユーザーの関心と関係のないランダムなトピックが付与されることもあります。その結果、さまざまなウェブページやアプリ間のユーザーを特定し得る十分なデータを蓄積することが困難になります。

• Attribution Reporting は、タイミングを遅らせたりノイズを組み込むことで、ウェブサイト間でユーザーの行動が結びつけられる可能性をさらに低減します。これらの保護手段を用いれば、ユーザー識別子がハッシュ化され暗号化されていても可能な現在ある再識別問題の多くを防ぐことができます。

データ収集を最小限に抑える: ウェブサイトやアプリ全体で個人の行動を追跡するためのユーザー識別子がなければ、アドテク事業者やデータ業者などのサードパーティ事業者がさまざまな属性を横断したプロファイルを構築することが難しくなります（現在はサードパーティ Cookie を使って可能）。さらにプライバシー サンドボックスでは、特定の時点でのユーザー情報を把握し、ウェブサイト間で共有される情報の量が制限されるため、存在する大規模なデータ収集を行われにくくすることができます。以下に例を示します。

• Protected Audience は、それぞれの広告インプレッションに関するデータを受け取る当事者を制限します。この API を使用すると、オークションの勝者が、限定的なイベント レベルのデータを受け取るようになります。対象的に現在は、リアルタイム入札の広告オークションで複数の当事者と無制限にデータが共有されています。（これらの当事者は、広告オークションを観察し、オークションにかけられているインプレッション全体でユーザーのプロファイルを作成して、それらのプロファイルを別の場所でさまざまな目的に用いることができます。）

• Topics は、ユーザーの閲覧履歴に基づき、アドテク事業者が収集するトピックの数を週ごとに少数になるよう制限します。対象的にサードパーティ Cookie やその他のウェブサイトやアプリ間で個人を追跡するユーザー識別子を使用すると、アドテク事業者は、ユーザーが訪問するウェブサイトにおいてユーザーの詳しい情報を収集することが可能です。

• Attribution Reporting は、イベント レベルのレポートにつながる媒体と広告主のデータの量に制限を課します。さらに集計レポートであれば、測定できる項目の数を制限し、記録されるコンバージョン情報の量に上限を設けます。対して現在はユーザー識別子を元にした効果測定ソリューションが使われており、個々のユーザーのウェブサイト間およびアプリ間での行動に関する詳細情報を含めて、実質的に無制限のデータ収集が可能です。

広告技術に関する説明とユーザー自身による適切なプライバシーの管理が可能に

プライバシー サンドボックスにより、アドテク事業者はデータの取り扱いについてより明確に責任を持てるようになり、ユーザーは複数のウェブサイトやアプリで共有されるデータをより適切に管理できるようになります。

責任の強化: これらの API を使用するアドテク企業の登録を義務付けることで、広告の実施状況が新たに開示されるようになります。

• 情報開示のウェブサイトで要求される証明書では、アドテク事業者によるプライバシー サンドボックス API の利用状況について、新たに明確な表明とコミットメントが提供されます。これまでは、ウェブサイト間でのユーザーの再識別やプロファイルの作成など、アドテク事業者がサードパーティ Cookie を使用する目的についての統一基準はありませんでした。

コントロール性の向上: 広告の関連性を高めて効果測定を行うために使用できるウェブサイトやアプリ間のユーザー行動を、わかり易い設定で簡単に選択できるようになります。

• ユーザーは、プライバシー サンドボックスがどのようにユーザーのデータを使用するかを管理することができます。ユーザーは、ウェブサイトが広告をパーソナライズするために使用できるトピックや以前にアクセスしたことがあるウェブサイトやアプリに基づき、広告を表示したいウェブサイトやアプリを確認したりブロックすることもできます。
  
  これに対して、サードパーティ Cookie を用いて広告プライバシーを管理する場合は、識別できないことも多いアドテク事業者の大量の Cookie ドメインを分類したり、 Cookie をブロックしたりする必要があり、ウェブサイトのログイン状態の維持など、広告以外に想定外の影響が生じる可能性があります。
  
  また、アドテク事業者がデバイスのフィンガープリントなど長きにわたって記録される識別子を使用する場合、ユーザーがそれらを一元的に管理できる場所は存在しないため、ユーザーによるコントロールはさらに難しくなります。

プライバシー サンドボックスはまだ序章段階

プライバシー サンドボックスでは、ユーザーのプライバシーを尊重しつつ、誰もが使いやすいブラウザとオペレーティング システムを構築することに全力で取り組んでいます。2024 年下期に予定されているサードパーティ Cookie の段階的廃止に向けて、私たちの取り組みが CMA に対する Google のコミットメントに確実に準拠していることを確認するため、引き続き CMA と緊密に連携していきます。さらに Google は、プライバシー サンドボックスの API がユーザーに安全性を提供し、適用される法的要件に準拠していることを保証するため、ICO などのプライバシー規制当局とも継続的かつ密に連携しています。

サードパーティ Cookie からさらにプライバシーを保護するソリューションへの移行は、よりプライバシーが保護されるインターネットを実現するというプライバシー サンドボックスのビジョンの始まりにすぎません。今後も革新を続け、ユーザーのための新しい保護機能を追加していきます。

Google は業界と連携し、無料でオープンなインターネットで人々の活動をプライベートに保つソリューションの開発に取り組んでいます。プライバシー サンドボックスを構成するテクノロジーについて学ぶには、ラーニング ハブから始めるのが最適です。また、プライバシー サンドボックスの取り組み、展望、API について取り上げた継続的なビデオ シリーズ（英語）もご用意しています。