今年の1月にGoogleより3rd-party cookieの廃止が発表されました。
この発表がきっかけでユーザのプライバシー保護とオンライン広告のエコシステム（ターゲティング広告、計測、アドフラウド対策）の維持を目的とする技術的な取り組み「Privacy Sandbox」に注目が集まりました。

実はPrivacy Sandboxだけじゃない

Googleの提案ばかり注目されがちですが、プライバシーに配慮した技術提案を行っているのは、それだけではありません。アドテックとブラウザにおいてNo.1のシェアを誇るGoogleは、シェアの高さゆえに実はプライバシー保護に一番消極的で、Safariに比べると2年ほど対応が遅れています。

プライバシー保護に関わる技術的な取り組みはPrivacy Sandboxの他にも、Webを支える技術の標準化を担うW3C（World Wide Web Consortium）のグループがあります。W3Cでは現在、3つのグループがプライバシーに関する技術提案やレビューを行っており、githubで提案書を管理したり、issueで議論したりしています。
W3Cの他には、ネット広告業界団体IAB（Interactive Advertising Bureau）の技術部門「IAB Tech Lab」もあります。

このように、さまざまなグループや団体によって進められているユーザープライバシーに関する議論。
ここからは具体的にどんな議論や提案が行われているのか、複数回に分けて見ていきたいと思います。今回は各グループとその取り組みの概要についてご紹介します。

Privacy Sandbox

Privacy Sandboxは課題の洗い出しとルール作り、課題を解決するための新しいブラウザAPIの提案（仕様書）で構成されています。
Privacy Sandboxの各提案は、最初にエンジニア個人のgithubアカウントでリポジトリを作って、具体的な仕様が決まる段階でW3CのWICG（Web Platform Incubator Community Group）のリポジトリへ移行されます。WICGメンバーの大半がGoogleに所属していることからTwitterでは「他のブラウザの意見を無視している」との批判の声も見受けられます。

そんなPrivacy Sandboxの現時点の課題と提案一覧はこちらです。

W3C Privacy Community Group

Apple, Mozilla, Microsoftの社員がチェアを務める「Privacy CG」は今年の1月に発足し、現在Safari (WebKit)とBraveブラウザのエンジニア・研究員から提案が出ています。Google以外のブラウザベンダー、アドテックベンダー、パブリッシャーが参加しているのが特徴です。

ITPの3rd-party cookieブロックの影響でできなくなった広告のコンバージョン（CV）計測API「Private Click Measurement」（PCM）と、動画サイトやSNSの埋め込みリソースからログインクッキーへのアクセスを許可するためのStorage Access APIの標準化が当面のゴールとされています。標準化される前にStorage Access APIはすでにSafari、Firefox、Edgeに、PCMはSafariに、実装されている状況です。その他にも、リダイレクトトラッキングの防止、フィンガープリンティング防止、サードパーティスクリプトの機能制限について議論が進められています。
ITP自体は、クロスサイトトラッキングをできるだけ早くやめさせるための応急装置であり、アドテックベンダーとのイタチごっこに勝つためにスピードを優先しているため、標準化の対象外と思われます。各ブラウザが競うようにクッキーのブロック機能（Safari ITP / Firefox ETP / Edge TP）を実装し、プライバシー尊重への取り組みが大きな差別化ポイントにしています。

W3C Improving Web Advertising Business Group

2017年11月に発足したウェブ広告改善を目的とするBusiness Group。前述のCommunity Group（CG）とBusiness Group（BG）の主な違いは、参加費の有無。BGは、参加が有料で議事録も非公開の場合が多いです。
Privacy CGと似たようなメンバーですが、Googleも参加しているという点も違いと言えそうです。

3rd-party cookieの廃止発表記事では、代替技術の標準化に向けてこのグループを通じてフィードバックを呼びかけています。最近はFacebookからの提案が多く、Privacy SandboxやPrivacy CGの提案に対する拡張案もここに出されています。他のグループにない技術としては、クロスデバイス のCV計測や、リフト計測のための仕組みが提案されています。

W3C Privacy Interest Group (PING)

2011年9月に発足したPINGでは、W3Cの他のグループの提案をプライバシー観点でレビューしたり、ガイドラインを作ったりします。
現在はプライバシーThreat Model（スレットモデル）という、プライバシーの侵害に繋がる脅威・攻撃の定義（つまり許容する・しない技術）を進めています。
それにより、PING内はもとよりオンライン広告エコシステム全体の認識合わせとプライバシー意識の向上を目指しています。

IAB Tech Lab

具体的な提案がまだ出ておらず、今の所、変革プロジェクトの名前だけ決まっています：（リアーキテキトを略して）「rearc」
「デフォルトがトラッキング」の現状から、ブラウザが目指す「デフォルトがプライバシー」への変化の重要性を認めて、
各企業への協力を呼びかけている段階です。最近開催したWebinarでは、初回だけで1000人近く参加していたそうです（資料は後日公開される予定）。

まとめ

各グループが取り組んでいる課題と提案は共通する部分が多いですが、プライバシーに関する考え方やスタンス、アプローチ方法に違いがあります。図にまとめるとこんな感じでしょうか。

SafariとChromeのシェアが大きく、ITPやSameSite等によりクッキーの仕様が既に異なっているため、標準化を後回しにし、味方だけで仕様策定を進めている印象があります。

次回

次回は、ユースケース（クロスサイト計測、クロスデバイス計測、ターゲティング、ブロック）ごとに、対応する技術のもう少し詳細な話と論点、実現可能性についてまとめたいと思います。