クッキーとフィンガープリント

クッキーとは、コンピュータに保存されている小さなファイルで、たとえばウェブサイト上であなたのユーザー番号が＃745673であといったことや、好みの情報などをウェブブラウザに伝えています。これらのクッキーは、同じサイトを訪れるたびに言語や位置情報を指定し直したり、ショッピングカートのアイテムを失ったり、フォームを一から記入し直さなくても済むようにと考案されました。この技術の初期段階では、クッキーは収集できるデータについて完全な制御権を持っていました^1,2。

その後、企業は、私たちが何をクリックしたり購入したりする傾向があるかといった情報をクッキーデータを利用して把握できることに気づきました。これにより、広告は表示されているページの内容ではなく、私たち個人の好みに基づいて（行動ターゲティング）表示されるようになったのです¹。さらに、企業は他の企業のウェブサイトに自社のクッキーを設定し、ユーザーをより密接に追跡するようになりました。これらのサードパーティークッキーは、その特権の対価としてホストサイトに報酬を支払っています。こうして、広告がウェブサイトを越えて私たちを追跡する時代が始まったのです。

さらに、電子メールIDやクレジットカード番号などを利用することで、企業は異なる識別番号を単一のユーザーに紐づけ、その行動に関するより詳細な情報を得ることが可能となりました。これはクッキー同期と呼ばれます。もちろん、自分の行動プロファイルを構築するためにどのようなデータが組み合わされているのか、ユーザーには知る術はありません。

これに加えて、機械学習アルゴリズムがユーザーデータの分析に活用され始め、男性、女性、黒人、ヨーロッパ人、または「うつ病になりやすい」といったラベルが割り当てられるようになりました¹。これらのラベルは私たちのアイデンティティとは関係がなく、私たち自身の行動パターンと最もよく似た過去のユーザーの行動に基づいています。これらのラベルは、製品、住宅、求人情報を販売する企業に売却されます。結果として、特定のラベルを持つユーザーにはある広告が表示され、異なるオンライン行動を持つ別のユーザーには同じウェブページ上で全く異なる広告が表示されるようになります。これはさらに、私たちがどのような仕事に応募し、どの地域の家を購入し、ひいては子供たちがどの学校に通うかを決定づける要因ともなり得ます³。

現在、クッキー技術はほとんどのインターネットブラウザに組み込まれています。2016年の研究によれば、大半のサードパーティがクッキー同期を行っていることがわかりました。「上位50社のうち45社、上位100社のうち85社、上位200社のうち157社、上位1000社のうち460社」のサードパーティが異なるソースからクッキーを同期してユーザーに関する情報をまとめています⁴。例えば、Googleは80％のウェブサイトを横断してユーザーを追跡できることが示されており、プライバシーと自律性への脅威を高め、監視とモニタリングを強化しています⁵⁶。

これらの結果が公表されると、世論の怒りを買いました。DoNotTrackMeのようなクッキーをブロックするブラウザプラグインが広く普及し、インターネットブラウザはクッキーのブロックや削除機能を備え始めました²。AppleやGoogleなどの企業は、サードパーティクッキーの使用を停止あるいは禁止することを約束しました¹。オンラインターゲティングには、クッキーに代わってより永続的な追跡技術が使われるようになりました。

例えば、AdobeのFlashプレーヤーに保存されているクッキーに似たファイルは、他のクッキーが削除された後も残ります。これらは、FlashBlock²などのアプリをインストールすることでブロックできます。追跡技術には、ほとんどのブロッキングツールでは検出されない、さまざまなフィンガープリンティングなど、より永続的なツールが実装されています⁴。

私たちのデバイスやサービス（コンピュータ、電話、デバイススピーカーなど）がデータを処理し、他のユーザーのデバイスとはわずかに異なる出力を提供するというアイディアがあります。異なる技術が組み合わされて私たちのオンラインアイデンティティが作成されると、これらは私たち固有のフィンガープリントとして機能し得ます⁴。私たちのデバイスのIPアドレス、イーサネットやWifiアドレス（WebRTCベースのフィンガープリンティング）、ハードウェアとソフトウェアによる音声ファイルの再生する方法（AudioContextフィンガープリンティング）、さらにはバッテリーに関する情報までもが、オンライン上での追跡を維持するための長期的・短期的識別子として使用される可能性があります^7,4。

¹ Kant, T., Identity, Advertising, and Algorithmic Targeting: Or How (Not) to Target Your “Ideal User”, MIT Case Studies in Social and Ethical Responsibilities of Computing, 2021.

² Schneier, B., Data and Goliath : the Hidden Battles to Collect Your Data and Control Your World, W.W. Norton & Company, New York, 2015.

³ Barocas, S.,  Hardt, M., Narayanan, A., Fairness and machine learning Limitations and Opportunities, 2022.

⁴ Englehardt, S., Narayanan, A., Online Tracking: A 1-million-site Measurement and Analysis, Extended version of paper, ACM CCS, 2016.

⁵ Libert, T., Exposing the Invisible Web: An Analysis of Third-Party HTTP Requests on 1 Million Websites, International Journal of Communication, v. 9, p. 18, Oct. 2015.

⁶ Tavani, H., Zimmer, M., Search Engines and Ethics, The Stanford Encyclopedia of Philosophy, Fall 2020 Edition, Edward N. Zalta (ed.).

⁷ Olejnik, L., Acar, G., Castelluccia, C., Diaz, C., The leaking battery, Cryptology ePrint Archive, Report 2015/616, 2015.