Mozillaのプライバシー保護属性技術

2024年7月、Mozillaは最新バージョンのFirefoxブラウザーで、Privacy-Preserving Attribution（PPA：プライバシー保護属性）と呼ばれる技術を導入しました。この技術は、オンライン広告の効果の測定を目的としていて、Firefox 128ではデフォルトで有効になっています。

このニュースはすでに、ネット上のプライバシー保護を擁護する人たちから注目を集め「今度はMozillaもユーザーデータを販売するようになった」といった声も上がっています。FirefoxのCTOであるボビー・ホーリー (Bobby Holley) 氏は、ユーザーに直接説明しようと、Mozillaが実際に行ったこととその理由をRedditに投稿しました。

それでは、PPAとは何か、PPAはそもそもなぜ必要なのか、そしてPPAはなぜ今登場したのかを、詳しく見てみましょう。

Google広告トピックとFacebookリンク履歴

まず、背景を少し説明します。記憶にある方もいらっしゃるかもしれませんが2019年、世界で最も人気のあるブラウザー、Google Chromeの開発者は、サードパーティのCookieのサポートを完全に無効にする計画を立て始めました。

これらの小さなファイルは、30年もの間、オンラインでユーザーの動作を追跡してきました。この技術は、オンライン広告業界と切っても切り離せない関係であると同時に、ユーザーのプライバシーを侵害する代表的な手段でもあります。

しばらく前、Googleはその代替として、「Ad Topics」と呼ばれる自社開発を発表しました。この技術を使用すると、ユーザーのChromeブラウザー履歴とAndroidアプリとの対話履歴に基づいてトラッキングが行われます。Ad Topicsの展開に続き、2024年下半期にはChromeにおけるサードパーティCookieのサポートが段階的に廃止される予定となっていました。

独自のユーザートラッキング技術を開発しているもう1つの大手デジタル広告企業はMetaで、同社も同様にサードパーティのCookieに依存しています。リンク履歴と呼ばれるこの機能により、Facebookモバイルアプリ内のすべての外部リンクがアプリに実装されたブラウザーで開かれるようになり、同社がユーザーの動作を監視し続けることが可能になります。

結論を言えば、サードパーティCookieのサポートが終了することで、世界で最も人気のあるブラウザーとモバイルOSの所有者であるGoogleと、世界で最も多くのユーザー数を抱えるSNSのMetaが、ユーザーデータをより恣意的に扱えるようになるということです。一方、より小規模な企業は、サードパーティCookieにますます依存するようになるでしょう。

同時に、ユーザーデータは産業規模で収集され続けています。プライバシーの侵害を主張する場合、その容疑者はいつものように、GoogleとFacebookです。

ユーザーデータを大量に収集せずに、広告主が広告の効果を追跡できるような仕組みを開発することはできないのでしょうか？その答えを形にしたのが、プライバシー保護属性です。

プライバシー保護集約システム「Prio」について

この技術の歴史をより深く理解するためには、2017年、スタンフォード大学の暗号学者ヘンリー・コリガンーギブス (Henry Corrigan-Gibbs) 氏とダン・ボーネー (Dan Boneh) 氏が研究論文を発表した時まで、少し時間をさかのぼる必要があります。その中で彼らは、集約された統計を収集するプライバシー重視のシステムについて説明しており、それをPrioと呼んでいます。

簡潔に説明するとPrioは次のような仕組みに基づいています。特定の数のユーザーの平均年齢に関心があるが、ユーザーのプライバシーは保護したい場合を例に説明しましょう。2つ（またはそれ以上）の貯金箱を用意し、各ユーザーに自分の年齢に応じた枚数のコインを数えてもらい、誰にも見せずにコインをランダムに別々の貯金箱に入れます。

そして、貯金箱から出したコインを山積みにして数え、ユーザー数で割ります。結果として、あなたが望んでいた通り、ユーザーの平均年齢が得られます。そして、少なくとも1つの貯金箱の秘密が維持されている（つまり、何が入ったかを誰にも言わない）場合、各ユーザーが何枚のコインを箱に入れたかを特定することは不可能となります。

Prioの主な情報処理工程。 出典

Prioはこの基本的な仕組みに多くの暗号技術を追加することで、情報を第三者の傍受から保護し、受信したデータの有効性を保証します。どんな理由であれ、結果を歪めるような回答をユーザーがシステムにこっそりと入力することはできません。主なコンセプトは、要求された情報のランダムシェアを収集するアグリゲーターを2つ以上使用することです。

Prioのアルゴリズムにはもう1つ重要な特徴があります。それは、信頼性が高い匿名化データ収集の従来の方法と比較して、システムのパフォーマンスが大幅に向上することです。それもあるリサーチャーによりますと、50～100倍向上するとしています。

Distributed Aggregation Protocol（DAP：分散集約プロトコル）

MozillaがPrioに興味を持ったのは、2018年のことでした。Mozillaは当初、Prioを使用して、ブラウザーのテレメトリデータを収集する実験を実施しました。その後開発されたシステムはFirefox Originテレメトリシステムと呼ばれるものです。このように長期にわたって監視することで、トラッカーがMozillaの保護システムにどのように反応するのかを判断します。に対抗するブラウザーの能力に関するテレメトリを非公開で収集するように設計されたことです。

その後2022年2月、MozillaはMetaと共同開発したInteroperable Private Attribution（IPA）技術を発表し、これがPPAの原型といわれています。

そして2022年5月には、Prioベースの分散集約プロトコル（DAP）のゼロドラフトが公開されました。このドラフトを作成したのは、MozillaとHTTPSの使用を民主化する「Let’s Encrypt」プロジェクトで知られる非営利団体、Internet Security Research Group（ISRG）およびCloudflareの従業員2名です。

プロトコルの開発に取り組む一方で、ISRGは「Divvi Up」として知られる、匿名化された統計を収集するためのDAPベースのシステムも構築していました。このシステムは主に、ページの読み込み時間など、Webサイトのパフォーマンスを向上させるために各種の技術的なテレメトリを収集することを目的としています。

DAPプロトコルの基本的な動作原理の概略図。 出典

そしてついに2023年10月、Divvi UpとMozillaは、FirefoxブラウザーにDAPを実装するための共同の取り組みを発表しました。この共同作業の一環として、2つのアグリゲーターのシステムが作られました。一方はMozilla側で、もう一方はDivvi Up側で運用されます。

PPAの仕組み

現在、PPA技術を用いて展開されているのは、このDivvi Up/Mozillaシステムです。今のところ、これは限られたサイトを対象とした実験に過ぎません。

大まかに述べると、その仕組みは次の通りです。

• Webサイトはブラウザーに、広告の表示に成功した事例を記憶するよう依頼します。
• サイトにとって有益と判断される行動をユーザーがした場合（たとえば、商品の購入）、サイトはブラウザーに問い合わせ、ユーザーが広告を見たかどうかを確認します。
• ブラウザーはサイトに何も知らせずに、DAPプロトコルを通じてアグリゲーションサーバーに情報を送信します。
• このようなレポートはすべてアグリゲーターに蓄積され、サイト側は定期的にサマリーを受け取ります。

その結果、ある広告を見たX人のユーザーのうち、Y人のユーザーがサイトにとって有益と判断される行動を起こしたことをサイトが把握します。しかし、サイトも集計システムも、これらのユーザーが誰なのか、オンラインで他にどんな活動をしていたのかなどについては何も知ることはありません。

PPAが必要な理由

前述のRedditでの声明で、FirefoxのCTOは、Mozillaが新バージョンのブラウザーとともにPPAを導入する目的について説明しました。

同社の理由付けは、おおよそ次の通りです。オンライン広告は、少なくともインターネットの発展の現段階では、必要悪です。また、広告主がその効果を測定できるようにしたいと考えるのも無理からぬことです。しかし、現在この目的で使用されているツールは、ユーザーのプライバシーを無視しています。

一方、広告主によるユーザーの動作の追跡を何らかの形で制限しようという議論をすると、広告主からの抗議が常に寄せられる結果となります。データ収集をしないということは、オンライン広告を評価するツールを奪われることに等しいというのが、彼らの主張です。

基本的にPPAは、ユーザーの対処方法に関するデータを収集、保存することなく、広告主が必要なフィードバックを得ることができる実験的なツールです。

この技術が広告主のニーズを満たせることが実験によって証明されれば、プライバシー擁護派は今後、規制当局や法律家との交渉において、説得力のある議論を展開できるようになるでしょう。大まかに言えば、全面的なオンライン監視は不要であり、法律で制限されるべきであることが証明されるということです。

サードパーティのCookieを今すぐブロックしましょう

偶然にも、Mozillaの新しい取り組みをめぐる騒動のすぐ後に、GoogleはサードパーティのCookieを無効にする計画を完全に撤回することを発表しました。旧態依然とした技術の撤廃は、想像以上に困難な場合があります。MicrosoftがInternet Explorerを廃止しようとした時にも、そのことが証明されました。

幸いなことに、Windowsから削除するのが困難なInternet Explorerとは異なり、サードパーティのCookieはユーザーが自分で処理できるものです。最新のブラウザーでは、これらを簡単にブロックできます。詳細は、当社のガイドを参照してください。

GoogleがCookieの削除を拒否したからといって、Ad Topicsが終わるわけではありません。同社は今後も実験を継続する意向です。したがって、この機能も無効にすることを推奨します。ChromeとAndroidで無効にする方法はこちらを参照してください。

また、Facebookモバイルアプリを使用する場合は、リンク履歴をオフにすることを推奨します。この手順についても、当社のガイドを参照してください。

また、当社製品のWebトラッキング防止機能もぜひご活用ください。この機能は、カスペルスキー スタンダード、カスペルスキー プラス、カスペルスキー プレミアムのサブスクリプションプランでご利用可能であり、広告トラッカー（そのすべてがCookieを使用するとは限りません）をブロックすることができます。

最後に、当社が無料で提供しているプライバシーチェッカーサービスの使用を推奨します。このサービスでは、各種のオペレーティングシステムで最もよく使用されるアプリケーション、サービス、ソーシャルネットワークのプライバシーの設定方法を確認することができます。

PPAに関して述べると、この技術はかなり有用に思えます。有用性を感じない場合は、こちらの簡単な手順に従って、FireFoxでこれを無効にすることができます。私自身は、この技術の開発を支援したいので、ブラウザーで今後も使用し続けるつもりです。