Malwarebytesは2月19日(米国時間)、「Google now allows digital fingerprinting of its users|Malwarebytes」において、Google広告を使用する組織がフィンガープリンティング技術を使用できるようになったと報じた。

これはGoogleが昨年12月、「Upcoming February update to the platforms program policies - Platforms Policies Help」において発表していたもので、予定どおり2月16日から適用されたことになる。

  • Google now allows digital fingerprinting of its users|Malwarebytes

    Google now allows digital fingerprinting of its users|Malwarebytes

フィンガープリンティングとは

Webサービスにおけるフィンガープリンティングとは、サービス利用時のIPアドレス、Webブラウザーの情報、オペレーティングシステム、拡張機能の情報、タイムゾーン、言語、フォント、その他の情報を収集し、個人を特定する技術とされる。これらはCookieの影響を受けないため、ユーザーの意思や選択に関係なく個人を特定することが可能とされ、広告配信などに利用される。

Malwarebytesによると2021年にAppleが「App Tracking Transparency」を導入した際、米国ユーザーの約96%(推定)が追跡を拒否したとされる。このように大多数のユーザーは個人の特定を忌避しており、フィンガープリンティングを望ましく思っていない。

GoogleのChrome開発者も過去に次のように述べている(参考:「Building a more private web」)。

Cookieと異なり、ユーザーはフィンガープリントを消去できないため、自身の情報がどのように収集されるかを制御できません。これはユーザーの選択を覆すものであり、間違っていると思います。

しかしながら、Googleが公開した最新のプラットフォームポリシーでは、Cookie、Webビーコン、IPアドレス、その他の識別子の収集について禁止しておらず、フィンガープリンティングを許可する内容となっている(参考:「Overview of the Platforms programs policies update (February 2025) - Platforms Policies Help」)。

規制の対象

Googleの発表を受け、英国のデータ保護機関「情報コミッショナーオフィス(ICO: Information Commissioner's Office)」は、「Our response to Google’s policy change on fingerprinting | ICO」において次のように述べ、企業に違法な情報収集をしないよう呼びかけた。

Googleは同社の広告製品を使用する組織に対して、2025年2月16日からフィンガープリンティング技術の使用を禁止しないと発表しました。私たちの答えは明確です。企業はフィンガープリンティングを好きなように自由に使用できるわけではありません。すべての広告テクノロジーと同様、合法的かつ透明性を持って展開されなければならず、そうでない場合はICOが行動します。

対策

ユーザーが実施できるフィンガープリンティングへの対抗策は多くないが、重要な識別子となるIPアドレスおよび位置情報を隠蔽する仮想プライベートネットワーク(VPN: Virtual Private Network)の利用が有効とされる。また、Webブラウザに搭載されたプライベートモード(シークレットモード)の活用も効果があるとされる。

Malwarebytesはさらなる対策として、JavaScriptの無効化を提案している。JavaScriptを無効化すると提供する情報を大幅に削減できる。しかしながら、多くのWebサイトがJavaScriptの使用を前提に設計されており、困難を伴う対策となる。

広告配信と個人情報保護は長年課題となってきたが、これまでのところ解決策は見つかっていない。Googleの発表を受けてフィンガープリンティングを実施する企業には、各国規制の調査およびユーザー保護を優先した取り組みが望まれている。