Googleが開発中の新しい広告の仕組み「FLoC」は、電子フロンティア財団から「最悪」と評されるなど、強い反発を受けています。そこでFirefoxを開発するMozillaが、FLoCのプライバシーについて詳細に分析し、何が問題なのか、どのようなプライバシー侵害のリスクがあるのかを公開しました。
Technical Comments on FLoC Privacy
(PDFファイル)https://mozilla.github.io/ppa-docs/floc_report.pdf
Privacy analysis of FLoC
https://blog.mozilla.org/en/mozilla/privacy-analysis-of-floc/
Googleはプライバシー保護を向上させるため、ChromeにおけるサードパーティーCookieの利用を廃止し、それに置き換わる新しい仕組みを作り出そうとしています。
この新しい仕組みの1つが「FLoC(Federated Learning of Cohorts/連合学習のコホート)」と呼ばれるもの。Googleは、インターネット広告においてFLoCを利用することで、高いターゲティング効果を生み出しつつも、ユーザーのプライバシーを保護できると主張しています。
FLoCについては以下から詳細を読むことができます。

しかし、FLoCに対しては、Oracle、電子フロンティア財団、GitHub、Brave、WordPressなど、数多くの企業や組織が問題点を指摘しています。そんな中、Firefoxの開発元であるMozillaが開発中のFLoCについて詳細な分析を行い、プライバシーの問題がどれほど含まれるのかを評価しました。
◆FLoCはユーザー追跡に利用できないのか?

現行のインターネットにおけるサードパーティーCookieは、ユーザー個人のインターネット上での行動を記録して、そのデータを第三者のサーバーに送信することから、「企業が個々人の行動を追跡することができる」という点が問題として指摘されています。このためGoogleはFLoCにおいて「ユーザーを数千~数万人単位の集団(コホート)に分類し、そのコホートが持つ興味・関心といった情報を企業に示すことでターゲティング効果を上げる」という仕組みをとっています。個々人に識別子を振って興味・関心を割り出さないため、プライバシーを侵害しないという発想です。
しかし、Mozillaによると、FLoCで作成されるコホートは多くとも数万人規模のものであり、企業が持つ他の情報と組み合わせることで、ユーザーを迅速に絞り込むことが可能とのこと。個人の絞りこみに利用される可能性のある情報は以下の通り。
・ブラウザのフィンガープリント
フィンガープリントを日本語に直すと「指紋」の意味になります。ユーザーが使用するブラウザにはさまざまな特徴があり、ChromeやFirefoxというブラウザの種類のほか、PCのOS、使っているフォント、言語、インストールしているプラグイン、タイムゾーンなど、人によって異なる使用条件を細かくみていくと、個人を特定することが可能だといわれています。Mozillaは、このようなフィンガープリントを少し使うだけで、数万人単位のコホートを数人規模にまで絞り込むことが可能だと述べています。
たとえば、1万人から構成されるコホートがあったとします。コホートだけの状態だと個人が特定されることはありませんが、企業が「人々を8000グループに分割するフィンガープリント」を有していた場合、「1万人中の1人」を「数人中の1人」にまで絞り込むことが可能です。コホートの規模がさらに大きくなれば絞り込みは難しくなりますが、それでも「個人の特定ができない」という意味にはなりません。
「フィンガープリントにはどういったものがあるのか?」「どのくらいの精度なのか?」という詳細は以下から読むことができます。
Cookieなしでもユーザーを識別可能な「フィンガープリント」とは何か? | GIGAZINE.BIZ

・複数回の訪問データ
現行の案では、FLoCのコホートIDは1週間ごとに再計算されるようになっています。人の行動は変化していくので、1週間ごとに異なるIDが割り振られることが考えられますが、この「変化するID」を企業が収集することで個人特定につながる可能性があるとのこと。
Firefoxは「Total Cookie Protection(TCP)」というプライバシー保護機能を実装しており、ユーザーによる複数ウェブサイトへの訪問をトラッカーが関連付けさせないようにしています。しかし、TCPは1つのウェブサイトに対する複数の訪問を関連付けないことを目的としていません。このため上記のような場合、TCPでは対応できないとMozillaは述べています。
・FLoCがCookieポリシーを弱体化させる
サードパーティーCookieを利用した現行のターゲティング広告では、「トラッカーが埋め込まれているウェブサイトの数」によって、トラッカーの取得する情報量が決まります。このため、より多くの情報を取得するためにはそのトラッカーを埋め込んでいる人が多い、大きな広告ネットワークに参加したり、複数のトラッカーを組み合わせたりする必要があります。また、GDPRといった法規制の存在により、Cookieの利用に同意が必要になるケースも増えてきました。この場合、ユーザーがCookieの利用について「同意しない」とすると、その分トラッカーはクロスサイトのユーザーデータを得づらくなります。
しかし、FLoCはCookieと違ってウェブサイトごとに同意/非同意を求める仕組みにはなっておらず、既存のCookieポリシーと同様に扱うことができません。また、全てのウェブサイトにおけるユーザーのFLoC IDは同じであるため、トラッカーが外部のデータと紐付けるための「共通ID」となり得ます。企業が収集したファーストパーティーデータや、フィンガープリントを利用し、「フランスに住み、Macを持ち、Firefoxを使っていて、このコホートIDを持つ人は車が好きですか?」といった風に絞り込んだターゲティングを行うことも可能になるとのこと。
◆プライバシーに対するGoogleの対応

Googleは上記の問題に対し、いくつかの対処方法を提案しています。
まず、ウェブサイトはFLoCに参加するかどうかをあらかじめ決定できるようになる予定です。すでに行われているChromeでのテストでは、FLoC APIあるいは「広告関連のリソース」を受け入れることで初めてウェブサイトがFLoCの計算に含まれます。最終的にどのような仕様になるかはまだ結論が出ていないものの、「ウェブサイトはデフォルトでFLoCに参加し、オプトアウトしたり、Permissions-Policy HTTP Headerを使用したりすることで、FLoCを拒否できる」という内容になる見込み。この問題点は、オプトアウトの形式を取るため、多くのウェブサイトが知らぬ間にFLoCに参加することになるということです。
また、Googleは性的指向・医療問題・政治的思想といった「デリケートなカテゴリ」がFLoCで使用されないようにする方法を検討しています。しかし、何がデリケートであるかは人によって認識が異なります。また、「それ自体はデリケートではないが、デリケートなウェブサイトに関連するウェブサイト」が存在することもあり、目的とするカテゴリを完全に排除することは難しいとのこと。さらに、FLoCのコホートがデリケートかどうかを判断するにはまず、Googleがデリケートなカテゴリについて情報を収集して記録する必要があるという点も問題視されています。
FLoCはまだ開発段階にあるものの、プライバシーに関して重大な問題を引き起こす可能性があるため、Googleはこれらの問題への対処に集中する必要があるとMozillaは述べました。