3PCA 31 日目: 3rd Party Cookie 廃止の廃止

Intro

このエントリは、2023 年の 3rd Party Cookie Advent Calendar の 31 日目である。

• 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita
  • https://qiita.com/advent-calendar/2023/3rd-party-cookie

このエントリもいよいよ終わりに近づいてきたようだ。

振り返り

ここまでの Chrome の動きを振り返る。

• 2020/01: 3rd Party Cookie を 2022 年には廃止する計画を発表
  • https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html
• 2021/06: 2023 年後半に延期
  • https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/
• 2022/07: 2024 年後半に延期
  • https://blog.google/intl/ja-jp/company-news/technology/2022_07_privacy-sandbox/
• 2024/01: Deprecation の 1% リリース開始
• 2024/03: 2024 年内の廃止は無しで延期に
  • https://privacysandbox.com/intl/en_us/news/update-on-the-plan-for-phase-out-of-third-party-cookies-on-chrome/
• 2024/07: 方針転換を宣言、「User Consent Prompt」を出す方針を発表
  • https://privacysandbox.com/news/privacy-sandbox-update/

このアドベントカレンダーでは、Chrome に表示されユーザが選択する User Consent Prompt がどのようなものになるのかによって、3rd Party Cookie が今後どうなっていくのかが決まるというところまでを解説していた。

その結果が出た形になる。

Chrome User Settings の維持

Chrome がプロンプトを出すことで、3rd Party Cookie の利用許可をユーザ自身に委ねるのであれば、それをどのタイミングで出すのかによって話は大きく変わってくる。

• 3PCA 30 日目: 2024 年の 3rd Party Cookie まとめ | blog.jxck.io
  • https://blog.jxck.io/entries/2024-12-12/state-of-3pc-2024.html

頻度やブロックするスコープによって実装は変わるため、実装にはいくつかの方式が考えられた。

その時に整理した図を再掲する。

この中で Chrome がどの実装を選ぶのかにより、「ブロックする人はほぼおらず今まで通り使える」か「多くの人がブロックし実質 3PCD が完了する」どちらの世界になるかが決まる。

その答えが出た形になる。

Chrome の選択

• Next steps for Privacy Sandbox and tracking protections in Chrome
  • https://privacysandbox.com/news/privacy-sandbox-next-steps/

Chrome が選んだのは右下の「現状の Settings と同等の Prompt」であった。という予想を覆し、「だから今まで通り Settings を使う」というものだった。

最初から Prompt を出す気などなかったのか、それとも 4 択を厳選し迷った上で右下を選択し、であれば Settings と変わらないとして決定したのかはわからない。

今回の発表に付随する細かい話はまだ出てきていないのでわからないが、額面通り受け取るのなら、Chrome は何も変わらないことになる。

CMA の反応

前回は「方針転換」だったが、それでも W3C や Mozilla などから遺憾の意がブログで表明された。今回は完全に終わるという方針と見て取れるため、そのような反応がまた来るだろうことは予想される。

しかし、この発表に対して最も重要になるのは CMA の反応だ。

ここまでも解説してきたように、Google はこれらの変更を単独で決定しているわけではなく、CMA とのコミットメントに沿って作業を進めてきた。

今回の変更についても、CMA が知らないうちに勝手に発表したというものではないだろう。

CMA の立場としては、ざっくり 2 つの観点が重要になるはずだ。

1. Chrome が 3PCD を終わらせると、1st Party Data でパーソナライズする時代になる。その時、世界で最も 1st Party Data を持つ Google が他社より有利になる。
2. そこで 3PCD の前に、公平に使える代替手段(Privacy Sandbox)を用意させたいが、それが Google に有利なものにならないようにしたい。

今回の決定であれば、少なくともシェアが最も多い Chrome 上では、3PC を用いたトラッキングその他がこれまで通り可能になるため、広告事業へのネガティブインパクトは無いことになる。

しかし、本当に CMA はそれで良いのだろうか?

前回と異なり、CMA からのアップデートはまだ何も出ていない。

• Investigation into Google's 'Privacy Sandbox' browser changes - GOV.UK
  • https://www.gov.uk/cma-cases/investigation-into-googles-privacy-sandbox-browser-changes

予定通り四半期ごとのレポートを出すのであれば、2025Q1 のレポートがもうすぐ来るはずなので、それを待つしかない。

仮に「公正な競争」を主目的とする CMA はよくても、他の問題は無いのだろうか?

ブラウザのフェアネス

既に Safari/Firefox は既に 3PCD を終えた状態だ。

3PC が無いと広告収益が落ちるとされている中、Safari / Firefox ではトラッキングができないが、Chrome ではできる。

となれば、例えば「この記事は Chrome でしかアクセスできません」といった排他的な実装が、広告収益で運営されているメディアによって実装される可能性は否定できない。

また、3PCD に巻き込まれたポジティブなユースケースとしての認証連携についても、3PC を用いるものは他のブラウザで壊れるが、Chrome ではそのまま動き続けるといったことになる。広告を使っていないサイトですら、「Chrome でしか動かない」を加速するモチベーションになり得てしまうだろう。

既に 3PCD を終えたブラウザが、「やはり戻す」というわけにもいかないと考えると、5 年近く散々これを「既定路線」として進めてきたうえでの方針転換は、他のブラウザにとって、はしごの外し方としてかなり影響が大きい。

Privacy Sandbox

もちろん、そうしたユースケースをカバーするために、新しい「ユースケース特化の API」を策定してきた。

それがまさしく Privacy Sandbox だった。

Passkey や FedCM もやんわりそこに含まれるようだが、そちらはまだいい。問題は、広告関連の API だ。

3PCD が終わったあとの代替として提案し、策定し、業界を巻き込んで実装とトライアルを進めてきた。

かなりのコストを払っているのは、Chrome だけではない。

これらの API は、プライバシーを侵害せずに最低限のユースケースを満たすという落とし所を、取得できる情報のエントロピーの調整で探ってきた。

それが故に、他のブラウザは乗り気ではなく、策定が終わる前から Considered Harmful されるような場面ばかりだ。

一方、3PC を使えるのであれば、わざわざ面倒で難解でエントロピーが下がる API を使う事業者はいない。

Chrome 以外は実装せず、実装している Chrome ですら誰も使わないのであれば、いよいよ不要なものとなる。

これまで費やしてきた膨大なコストとともに、消えていくことになるだろう。

それでいいのだろうか?

Chrome そのものの行方

Google への圧力は CMA だけにとどまらず、今は Google 自体を解体すべく裁判が起こっている。

独占を解消するために Chrome を売却するしかなくなれば、買い取っても良いという企業の名乗りも上がっている。

実は Google と Chrome が分社化すると、少なくとも CMA が懸念していた「ブラウザと広告を両方持っている Google」はなくなるため、構造上一部の問題は解決してしまう可能性がある。

Google にとってこれ以上のリソースの投下は意味がなくなり、「損切り」として今回の決定に至ったというのは、うがった見方ではあるが、あまりにも時期が同じため思わず繋げたくなってしまう話だ。

結果、広告ビジネスの寡占がなくなっても、3PC によるプライバシーの問題は、そのままでいいのだろうか?

User Privacy

このアドカレでも散々言っていたが、「問題は 3PC という技術ではなく、Tracking というユースケースだ」という点から見てみよう。

確かに今は Global Privacy Control で定義した Sec-GPC を、その国の法律から参照することで、DNT のように無視されない「ユーザの意図」として尊重していく流れはある。それを盾に「技術としての 3rd Party Cookie を Deprecate しなくても、法律を後ろ盾にユーザを守れる」という話はあるかもしれない。

カリフォルニアや EU がそれを進めており、ということはそれらに右へ習えな日本にも、そうした法案が輸入されるだろう。その法案がある地域にサービスを提供するなら、他の国であっても法律の効果が及ぶとし、コンプライアンス意識が高く衆目に監視された企業であれば、Sec-GPC を尊重して運営してくれるかもしれない。

しかし、ネット上でそんな仕組みだけを盾に、ユーザのプライバシーを守ることなど本当にできるだろうか?

3PC がなければと、Super Cookie やら DNS Cloaking やらを編み出してでもユーザをトラッキングしたい業者は山程いた。それらが、3PC を再度手に入れて、それでも治安が守れるだろうか?

Outro

第一報は VP による公表であるため、概要にとどまる。

今後、CMA、W3C、他のブラウザなどからの反応や、Privacy Sandbox をどうするかなど、より具体的な話が出てくるだろう。

筆者は 5 年前、Privacy Sandbox が始まったとき、どうせ上手くはいかないだろうと思った。

しかし、その上手くいかないは「それでも 3PCD は既定路線であるため半ば強引にデプロイし、Web を思いっきりぶっ壊し、治したり壊したりを繰り返しながら 10 年くらいかけて進めていくことになるんだろう」というイメージでの失敗だった。まさか途中で諦めて撤退し、全てを無かったことにするとは、その選択肢が取れるとは、全く思っていなかった。

実際、この選択肢が及ぼす影響が、どこにどう現れるのか現時点では筆者にはよくわからない。

そもそも、なぜこの選択肢が取れたのか、どういう意思決定のプロセスでここに至ったのかも、疑問が多い。

ただ単に

「Web の互換性の影響を考えると無理だった」とか

「Privacy Sandbox のやり方では業界がついてこれなかった」とか

「やっぱり法律で縛っていく方向で進める」とか

そういう、わかりやすい理由で説明のつく方針転換だったと願いたい。

5 年前とは全く違う前提が「Google と Chrome」の間に現れて、問題の構造が変わっているのであれば、それが「Web の抱える問題」ではなく「Google にとっての Chrome が抱える問題」として蔑ろにされる可能性がある。

その心配が杞憂であってくれるよう、もうしばらく続報に注視したい。