プライバシーバジェット

サイトに公開される個々のユーザーデータの量を制限し、隠されたトラッキングを防止します。

公開日 2022年3月4日金曜日

翻訳先言語： English

Alexandra White

Technical Writer, Google Chrome

実装状況

このドキュメントでは、隠されたトラッキングを防止する新しいプライバシーバジェットという提案の概要を説明します。

プライバシーバジェット提案の公開ディスカッションが始まりました。
プライバシーバジェットはまだどのブラウザにも実装されていません。
プライバシーサンドボックスのタイムラインには、プライバシーバジェットとプライバシーサンドボックスのその他の提案の実装時期に関する情報が提供されています。

この提案が必要な理由

ブラウザにおける Cookie の処理方法が変化し続ける中、一部のユーザー追跡に関する取り組みは、Cookie による制御を打ち破る、検出が困難な方法へと移行しています。これらの方法は、 フィンガープリンティング と呼ばれ、特殊なブラウザを判定する、ユーザーが知ることのないさまざまな手法を使用しています。

Key Term

フィンガープリンティングサーフェス は、ウェブサイトが特定のユーザー（ネットワーク ID やユーザー言語など）またはデバイス（特定のデバイスモデルなど）に関する情報を得られる対話ポイントを指します。このデータは JavaScript API によって返されることがあります。

フィンガープリンティングサーフェスは、他の情報源と組み合わさった場合に、プライバシーの大問題となります。これは、時間の経過とともにユーザーの秘密特定につながる可能性があるためです。

プライバシーバジェットの提案では、サイトに公開できる個々のユーザーデータの量に制限を設けることで、個人を追跡して特定するには総合的にも不十分となるようにすることを提案しています。これには、ユーザーがサードパーティと共有する量を定量化する必要があります。これは、次の方法で決定できます。

K-匿名性: 匿名化されたデータが所有するプロパティ。ここで、「k」は同じ情報を持つ他のユーザーの数です。
エントロピー: 情報理論。応用すると、データの潜在的な限界に内在する不確実さの程度があることを説明します。
差分プライバシー: 一セットの集合データで 1 つの個別データを特定できないようにするシステムです。

各ユーザーについて明らかにされる情報量の最大許容が、プライバシーバジェットということになります。サイトで利用できるフィンガープリンティングサーフェスが少なく、露呈される情報の粒度が低いほど、1 人のユーザーを識別できる可能性が低くなります。

フィンガープリンティングデータを測定する

プライバシーバジェットの提案の成功は、ブラウザが各フィンガープリンティングサーフェスによって明らかにされる情報量を推定することに依存しているほか、サイトに公開される情報の合計量を測定する必要もあります。これらの測定値を 1 つのサービスに報告することが必要です。

このデータの測定方法には潜在的なものがいくつかあり、Chrome は積極的にソリューションを模索しています。

サイトに公開される情報の合計量を削減する

ウェブ全体で情報量の合計が測定されたら、公開された API サーフェスを分析して、必要な情報と共有する必要のない情報に優先順位を付けることになります。

プライバシーバジェットの計算では、パッシブフィンガープリンティングによって明らかにされたデータは、サイトが使用するものだと想定されます。 User-Agent の削減で実現したり、Gnatcatcher で提案されているとおり、パッシブフィンガープリンティングサーフェスを縮小することが重要です。