またしてもプライバシーより自社の利益を優先したGoogle――サードパーティークッキー廃止を撤回

Electronic Frontier Foundation

先週、Googleは方針を転換し、Chromeでサードパーティクッキーをブロックするという長年の約束を撤回した。この決定は、ユーザのプライバシーに悪影響を及ぼす一方、Google自身のビジネスには大変に都合がいい。サードパーティクッキーは、企業が監視や広告ターゲティングを目的として、広範囲に及ぶユーザのオンライン活動を詮索できるトラッキング技術だ。これらのクッキーがもたらす消費者への悪影響は長年にわたって詳細に記録されていて、SafariとFirefoxはすでに2020年からサードパーティクッキーをブロックしている。Googleもこの事実を認識しており、2020年にサードパーティクッキーの段階的廃止を誓約した。だが、Googleはこの計画を放棄し、何十億ものChromeユーザをオンライン監視の脅威にさらし続けることを選んだ。

オンライン監視を促進するサードパーティクッキー

クッキーとは、訪問したウェブサイトがブラウザに保存する小さな情報パケットである。もともとは言語設定や買い物かごの中身を記憶するなど、有用な機能を実現するために作られた。しかし長年にわたり、企業はこの機能を悪用してユーザの行動を追跡し、広範なオンライン監視ネットワークを形成してきた。

ファーストパーティクッキーが便利な機能を提供する一方で、サードパーティクッキーは主にオンライン追跡に用いられている。こうしたサードパーティクッキーは、その時に閲覧しているサイトではなく、外部のウェブサイトによって設定される。多くのウェブサイトは、広告、アナリティクス、ソーシャルメディアボタンなどのリソースを読み込み、そこにサードパーティ企業のコードが含まれている。あるウェブサイトにアクセスすると、そのサードパーティコードがユーザ固有の識別子を含むクッキーを作成する。同じサードパーティ企業のリソースを読み込む別のウェブサイトにアクセスすると、その企業は以前設定したクッキーから固有の識別子を受け取る。複数のサイトを横断してこの固有の識別子を認識することで、サードパーティ企業はユーザの閲覧習慣に関する詳細なプロファイルを構築するのだ。

例えば、WebMDの「HIV & AIDSリソースセンター」にアクセスした場合、WebMDがそのページへの訪問情報を取得することは予想できるだろう。しかしサードパーティクッキーは、ユーザが聞いたこともない数十の企業がWebMDへの訪問を追跡できるようにする。本稿を執筆時点で、WebMDの「HIV & AIDSリソースセンター」を訪れると、ブラウザに257のサードパーティクッキーが設定される。これらのクッキーを設定する企業は、たとえばビッグテック企業（Google、Amazon、X、Microsoft）やデータブローカー（Lotame、LiveRamp、Experian）だ。WebMDにクッキーを設定することで、こうした企業はWebMDへの訪問を他のウェブサイトでの活動と結び付けることができるようになる。

オンライン監視が消費者にもたらす悪影響

サードパーティクッキーにより、企業はユーザのオンライン活動に関する詳細なプロファイルを構築できる。これはターゲット広告に利用されたり、販売されたりしている。その影響は幅広く、深刻な懸念を引き起こす。ユーザの閲覧履歴は、そのユーザの経済的状況、性的指向、医療状態など、センシティブな情報を暴くおそれがある。データブローカーは、ユーザに知らせることも、同意を得ることもなく、この情報を収集して販売している。ひとたびデータが販売されると、誰でも購入できるようになる。購入者には保険会社、ヘッジファンド、詐欺師、反中絶団体、ストーカー、あるいは軍、FBI、ICEなどの政府機関も含まれる。

広告主向けに構築されたオンライン監視ツールは、広告主以外にも悪用される。例えば、NSAはをGoogleが設定したサードパーティクッキーを用いて、ハッキングの標的や匿名性を維持しようとする人々を特定した。また、保守系カトリック非営利団体が、ゲイ向けデートアプリを使っている司祭を特定するために、データブローカーに数百万ドルを支払ったこともある。このブローカーはオンライン広告システムからこの情報を入手していた。

ターゲティング広告も我々に悪影響を及ぼしている。経済的に困難な人々を狙う高利貸しのように、弱者を標的にした略奪的な広告すら可能にしている。また、人種にもとづいて住宅広告をターゲティングする家主のような差別的な広告も容易にする。

またしてもプライバシーより利益を優先するGoogle

監視による悪影響の圧倒的な証拠の蓄積があるにもかかわらず、サードパーティクッキーの許可を継続するというGoogleの決定は、広告主導のビジネスモデルの直接的な結果である。Googleは追跡ドリブンの行動ターゲティング広告から収益の大部分を得ている。

Googleが望めば、Chromeはユーザのプライバシーをより保護できるはずだ。SafariやFirefoxなど他の主要ブラウザは、デフォルトでオンライントラッキングに対してはるかに強力な保護を提供している。特筆すべきは、Googleがインターネット最大のトラッカーであり、ユーザが訪れるほとんどのウェブサイトでGoogleのトラッカー（サードパーティクッキーに限らない）をばらまいていることだ。Chromeがユーザをトラッキングに対して脆弱なままにしている一方で、Googleは引き続き収益の約80%をオンライン広告から得ている。

Googleの計画撤回は、Chromeにおけるサードパーティクッキーの喪失がデジタル広告業界の競争を阻害するという広告主や規制当局の懸念を受けてのものだ。Googleのアドテク業界における反競争的慣行は確かに解決すべき問題だが、オンライン監視システムの維持は解決策ではない。むしろ、こうした競争上の懸念の本当の原因にこそ対処すべきだ。Googleのような垂直統合型のアドテク大手の分割を提案した超党派のAMERICA Actは、より効果的なアプローチを提供している。競争力のあるデジタル市場を育成するためにユーザのプライバシーを犠牲にする必要はない。

今後どうすべきか

まず、Googleにこの有害な決定を撤回するよう求める。他の主要ブラウザが何年も前からブロックしているにもかかわらず、最も広範なオンライン追跡の形態の一つを許可し続けることは、ユーザの信頼を裏切るものだ。Googleは広告収入よりもユーザのプライバシーを優先し、競争上の懸念に応える真の解決策を見出さなければならない。

それまでの間、ユーザにはオンライン追跡から身を守る手段がある。Privacy Badgerをインストールすれば、サードパーティクッキーやその他の形態のオンライン追跡をブロックする助けになるだろう。

また、プライバシースタンダードが広告企業によって設定されないよう、強力なプライバシー法制が必要だ。企業はサードパーティクッキー以外にも、フィンガープリンティングやリンクリダイレクションなど、さまざまな追跡手法を用いてウェブ全体でユーザを監視している。合法かつ利益を生みだす限り、企業はオンライン活動のプロファイルの構築と販売を続けるだろう。すでにGoogleは、サードパーティクッキーほど侵襲的ではないものの、依然として有害な監視を可能にする代替的なトラッキングツールを開発している。サードパーティクッキーをブロックすることは重要だが、それだけでは広範囲に及ぶオンライン追跡は防ぎきれない。米国は強力なプライバシー法制を制定できるし、必要とされているし、長らく待望されている。包括的なデータプライバシー法は、デフォルトで閲覧履歴を保護し、行動ターゲティング広告を禁止するべきである。ターゲティング広告こそが過剰なデータ収集を招いているのだから。

GoogleがChromeのサードパーティクッキー許可を継続するという決定には、大いに失望している。インターネットの閲覧が監視の対象となることを強いられるべきではない。Googleがプライバシーよりも利益を優先するのであれば、我々は自身のデータをコントロールする権利をもたらす法律を求めざるを得ない。