Googleが導入予定の「FLoC」は最悪なものだと電子フロンティア財団が指摘

Googleは2022年までにCookieを使った広告配信を終了させ、新たな仕組みをGoogle Chromeに導入する予定です。その仕組みとして検討中のアイデアの1つに「FLoC」と呼ばれるものがありますが、電子フロンティア財団(EFF)はFLoCについて「最悪のアイデア」「実行しないで欲しい」と述べています。

Google’s FLoC Is a Terrible Idea | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea

2018年にEUの新データ保護規則「GDPR」が施行されて以降、SafariやFirefoxがサードパーティーCookieをブロックし、Googleも2020年に「2年以内にChromeでサードパーティーCookieのサポートを廃止する」だと発表しました。

サードパーティーCookieはプライバシーへの懸念が高まる一方で、ユーザーの行動や興味・関心に基づいて広告表示の絞り込みを行うターゲティング広告では「費用対効果が非常に高い」として重宝されています。このため、サードパーティーCookieの使用が制限されると、広告主や広告業者が収益面で大打撃を食らう可能性があると指摘されています。

この課題を解決するため、Googleはプライバシーサンドボックスという提案の中で、Cookieに代わる新しい仕組みを議論しています。プライバシーサンドボックスではさまざまなAPIの利用が検討されていますが、特にGoogleが有望としているのは「FLoC」と呼ばれるもので、これはGoogle Chrome 89安定版でテストが開始されました。

Googleが提案するサードパーティーCookieなしの新しい広告の仕組み「FLoC」とは？ - GIGAZINE

しかし、EFFは2021年3月3日付けで「GoogleのFLoCは最悪のアイデアです」と題した記事を掲載。FLoCは広告のターゲティングを廃止させるものではなく、新しいプライバシーの問題を発生させると指摘されています。

FLoCはFederated Learning of Cohorts(連合学習のコホート)の略であり、機械学習アルゴリズムを使用してウェブサイトを訪れたユーザーのデータを分析し、何千人ものユーザーから構成される「コホート」を作成するというもの。

コホートはFLoCが有効になっているブラウザにおいて、その閲覧情報を基に作成されます。ブラウザはユーザーの閲覧情報を収集し、同様の閲覧習慣を持つユーザーとグループ化します。そして各ユーザーのブラウザはユーザーの所属するグループを示す「コホートID」をウェブサイトや広告主と共有し、この情報をベースにターゲティング広告が配信されます。

FLoCの詳細はまだ議論中ではあるものの、(PDFファイル)Googleの概念実証では、Googleクローラーでも利用されるSimHashアルゴリズムがドメインを元にユーザーをグループ化しました。SimHashは各ブラウザでローカルに稼働するため、中央サーバーが行動データを収集する必要がありません。一方でコホートの規模が小さすぎると個人の特定につながる可能性があるため、「中央管理者」が各コホートのユーザー数を数え、十分な数になるまで他のコホートとまとめて扱われることをGoogleは提案しています。

コホートIDはJavascriptを通して利用できるようになると考えられていますが、記事作成時点では詳細が決まっていないため、変更される可能性もあります。また、ドメインではなくURLやページコンテンツによってグループ化が行われる可能性もあるとのこと。コホートの数についても未定で、Googleの概念実証では8ビットの識別子が使用されましたが、実際には16ビットの識別子を使用しさらに多くのコホートIDが作り出されることが示唆されています。コホートIDが長ければ長いほど、広告主はユーザーの興味・関心について詳細情報を得て、フィンガープリントを作成することが容易になるとEFFは指摘しています。

そして重要な点は、FLoCが毎週再計算され直すということ。これはFLoCが長期的な識別子にはなりづらいということを意味しますが、一方で「時間の経過と共にユーザーの行動がどう変化しているか」を示すものとなり得ます。

Googleはブログでインターネットにおけるユーザー個人の行動追跡を行わないことを明言していますが、一方で、コホートのデータを使い、ユーザーの興味・関心を元にしたターゲティング広告自体は続けることも明確にしています。

Googleが「ネットでユーザーを追跡しない」ことを明言 - GIGAZINE

つまり、Googleは「ウェブサイトが広告主と情報を共有し続けること」を前提としており、これにより新しいプライバシーのリスクが発生するとEFFは指摘しています。

その問題の1つがフィンガープリントです。ユーザーの行動追跡はCookieだけでなく、ブラウザの特徴を使って行うことが可能であると、これまでの調査で判明しています。このため、ブラウザの外観や動作が他と異なれば異なるほど、個人の特定が容易になるとのこと。この前提に立ち、8ビットの識別子を、ユーザー追跡を行いたい側が他のフィンガープリントをまとめるためのツールとしても使うことも可能です。

Googleも上記の問題を認識しており、その解決を約束していますが、EFFは「既存のフィンガープリントの問題を解決するまで新たなフィンガープリントのリスクを作るべきではありません」としました。

そして、別の問題として、EFFは「FLoCのコホートは『Googleでログインする』といった別のサービスと組み合わせることにより、情報の結びつけを行える可能性がある」と指摘しています。この方法により追跡を行う側は、コホートの割当アルゴリズムをリバースエンジニアリングし、特定コホートに属する人が訪れたウェブサイトを特定できる可能性があるとのこと。同様に、コホートから年齢・性別・人種・政治的派閥・性的指向などを割り出すことも考えられます。

FLoCの目的はプライバシーの向上であるにも関わらず、上記のような点から、個人情報を追跡する側に多くの情報を提供することが考えられるとのこと。

加えてEFFは、そもそも「ターゲティング広告」そのものに問題があると指摘。これまで、民族・宗教・性別・年齢または能力に基づいて人々をターゲティングすることにより、仕事や住居といった分野で差別的な広告の数々が行われてきました。例えば信用情報に基づくターゲティングを行うと、金銭的な問題を抱える人に高金利のローンを表示させるという「略奪的な」広告が可能になります。また、政治の世界では、ターゲティング広告が世界的な混乱を起こしてきたと知られています。

2016年大統領選で黒人が投票しないようにトランプ陣営が広告キャンペーンを行っていたことが判明 - GIGAZINE

FLoCが実装された世界では、年齢・性別・収入に基づいた直接的なターゲティングが難しくなる可能性もありますが、不可能ではないとEFFは述べています。GoogleはFLoCの機能をオフにするオプションを提供するとしていますが、「多くの人がFLoCの仕組みを理解せずに機能をオフにしない」ことも見越しているはずだとのこと。「Googleはサードパーティーによる追跡の時代から教訓を学び、広告主ではなくユーザーのために機能するようなブラウザを設計する必要があります」とEFFは締めくくりました。