3PCA 15 日目: Work Around
Intro
このエントリは、3rd Party Cookie Advent Calendar の 15 日目である。
- 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita
今回は ITP が始まったことで試行された、迂回方法について見ていく。
制限をどう迂回するか
ITP 以降、3rd Party Cookie への制限が厳しくなると、従来トラッキングをしていた事業者たちは「トラッキングができる別の方法」を求めることになった。
今まで動いていた機能が動かなくなれば、代替手段を探したくなる気持ちはわからなくはない。トラッキングができなくなることで、広告のための分析精度が落ちると、収益が下がってサービスの継続性に関わる場合もあるだろう。
しかし、この連載を通して何度も言っているように、そもそもの目的は「3rd Party Cookie をなくす」ではなく「トラッキングを防ぐ」なのだ。
「3rd Party Cookie が使えないなら、別の手法でトラッキングをしよう」という発想自体が間違っている。
イタチごっこ
ITP が発表された直後、「弊社は独自の手法で、従来の 3rd Party Cookie と同等の精度でトラッキングできるソリューションをご提供します」といったサービスが散見された。
そうしたソリューションも、大抵の場合は 3rd Party Cookie ほどの精度が出ない眉唾なものが多いだろう。しかし、もし本当に精度の高い未知の手法が提供されているなら、それは解析され、報告され、最終的にはブラウザと標準化団体によって塞がれることになるだろう。その時点では使えても、半年後も有効かはわからない。
そして、多くの研究によって大体が既に塞がれているため、今の時点で精度の高いトラッキング手法を見出すこと自体がかなり困難だ。
仮にブラウザが直接防ぐことが難しい技術でも、そうした技術への依存自体によって、ドメインがブラウザにトラッカー判定されたり、司法により違反と判断され罰金が課せられるなど、より厳しい結果につながってしまう可能性もあるのだ。
こうした背景を知らなければ、代替トラッキングサービスにうっかり大金を払って契約をしてしまうかもしれない。特に来年は、そうしたサービスが散見されるだろう。トラッキングに強く依存しているユースケースを持っていれば、藁にも縋る思いで導入してしまうかもしれない。そこにコストを払うのは自由だが、コストをかけるべきが本当にそのサービスの導入なのかは一考すべきだ。
理想的な着地点
こうなった元凶として ITP を非難する声も多くあるが、今の時点で「トラッキングができない」ことに不平不満を言うのは「ユーザはタダで使える代わりに黙ってプライバシーを売り渡すべきだ」と公言しているのと変わらなくなってしまっている。
今回振り返ってきたように、この問題は別にどこか一つのベンダや団体が、自分たちの利益やポジションのために気まぐれで実施している変化ではなく、長いこと先送りにされてきた問題への決着なのだ。
これを、まるで自分たちが一方的に被害を被っていると捉える事業者がいると、通常の Web 技術の枠を超えたより高いリスクを伴う過激な手法へ依存していく可能性がある。
例えば、事業者がユーザのメールアドレスをキーに 1st Party の情報を互いに共有し合うような行為を、ある程度の精度でトラッキングは可能かもしれない。
もちろん、ユーザの同意を得た上での実施は別だが、ユーザに黙って行えば法規制に抵触する可能性が高い。しかし、小さい規模でたくさん行われると、摘発するのは困難だろう。そして、その行為をブラウザで防ぐことは原理上不可能だ。
こうした新たな問題を生み出さないためには、各事業者が「問題はトラッキングにある」という事実自体を正しく認識する必要がある。
筆者としてはこれを機に、迂回手段ではなく、時代に即した正しい姿は何なのか、実装だけでなくビジネスモデルも踏まえて模索する方を推奨したい。
迂回手段
以上を踏まえた上で、以降しばらくは ITP に対して考えられた代表的なワークアラウンドがどのように防がれていったのかを解説する。
対象は、以下を予定している。
- Bounce Tracking
- Link Decoration
- CNAME Cloaking
- Fingerprinting
- Super Cookie