AppleのWebKitチームは、ウェブトラッキングの防止に関する公式のポリシーを発表し、ウェブブラウザー「Safari」のIntelligent Tracking Prevention(ITP)技術に実装した。
ITPの大きな狙いは、iOS/macOS向けSafariにおけるユーザー行動の追跡を制限しながらも、オンライン広告のパフォーマンスを測定する機能は阻害しないようにすることだ。
ITPは2017年に初めて導入され、元々はサードパーティーCookieを対象にしていたが、昨今のアップデートではファーストパーティーCookieの乱用にも対処している。
今回公開されたドキュメントでは、Appleが追跡していると見なす技術や、さまざまな種類のトラッキング、防止する種類のトラッキング、トラッキング防止策を回避しようとする試みを処理する方法について、概要を示している。
Appleは、Safariのトラッキング防止技術を回避する試みを「セキュリティ脆弱性の悪用と同様の重大事」として取り扱う意向で、特定の組織を狙って対応する可能性があると警告している。
「ある集団が当社のトラッキング防止手法を回避しようとした場合、われわれは事前の予告なく、さらなる制限を追加する可能性がある」とWebKitチームは述べた。
「これらの制限は全体に適用する場合もあれば、アルゴリズムで分類された対象、または(トラッキングを)回避しようとしている特定の集団に適用する場合もある」
Appleがトラッキングと見なすとしている技術のリストには、リンクデコレーション(リンクの修飾)、デバイスフィンガープリンティング(端末推定技術)のほか、「Cookie、DOMストレージ、IndexedDB、HTTPキャッシュ、その他のキャッシュ、HSTS(HTTP Strict Transport Security)、メディアキー」など、ユーザーのデバイス上のストレージを利用するトラッキングなどがある。
このポリシーは、リンクデコレーションを利用してITPを回避しているGoogleやFacebookなどに対する警告のように見えるが、それと同時に、ブラウザーフィンガープリンティングなどのプライバシー侵害行為に手を染めているマーケティング企業をも標的にしている。
WebKitチームは「ITP 2.2」のリリース発表時、ITPの導入以降、名指しは避けつつも複数のソーシャルネットワークが「リンクデコレーション」を通じてサイト間でユーザーを追跡していることに気付いたと述べていた。リンクデコレーションとは、クロスサイトトラッキング(複数ウェブサイト間におけるユーザー行動の追跡)において、外部サイトに向けて張った全てのリンクのURLに、実際のユーザーIDの代わりに「クリックID」を追加することだ。
クリックIDはファーストパーティーCookieに保存されるが、リンク先サイトの開発者がページ上でソーシャルネットワークからスクリプトをインポートできるようにしていれば、ソーシャルネットワークはこれを利用して複数のサイトをまたいでユーザーを追跡できる。Appleによると、これは通常、ソーシャルネットワークが開発者に組み込むべき新機能を提供することで実現するという。
Appleによると、その際、「ウェブサイトに埋め込まれているサードパーティーのJavaScriptが変更され、ウェブ開発者の知らないうちにリンクデコレーションが実装」されるという。
Appleはまた、トラッキング防止策の「意図しない影響を抑制」することも約束している。それに当てはまる機能には、「『いいね!』ボタン、GoogleやFacebookからサードパーティーサイトへのログイン、単一のウェブサイト上での分析、オーディエンスの測定」などがある。
「さらなる厳格化によってユーザー体験が損なわれる場合には特に、トラッキング防止方法を変更して特定のユースケースを許可する場合がある。それ以外のケースでは、新しいウェブ技術を設計して実装し、トラッキング機能を導入し直すことなく、影響があり得るこれらの機能を再び利用できるようにする」と、WebKitチームは述べている。
AppleのWebKitチームによると、新たなポリシードキュメントは、Mozillaが1月に公開した「Firefox」のトラッキング防止ポリシーに感化されたものだという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス