ブラウザフィンガープリンティングと同意:規制当局が注視するトラッキング技術についてのパブリッシャー向けガイド
オンライントラッキングに関するクッキー時代の議論の大半において、重要だった技術的領域はストレージ層でした。ブラウザのクッキー、localStorageのエントリ、IndexedDBデータベースなど、開発者が確認でき、規制当局が指摘できるものです。フィンガープリンティングはこれとは異なる仕組みで動作します。ブラウザに何かを保存するよう要求するのではなく、ブラウザに質問を投げかけます — どのフォントがインストールされているか、このcanvasレンダリングはどのように見えるか、オーディオコンテキストはこの信号をどのように処理するか — そしてその回答を組み合わせて、セッション、デバイス、さらにはプライベートブラウジングウィンドウをまたいで持続する識別子を生成します。パブリッシャーやアドテックベンダーにとって、フィンガープリンティングはサードパーティクッキーの廃止を回避する魅力的な方法でした。規制当局にとっては、設計上ユーザーの協力なしにユーザーを識別するため、最も積極的に取り締まられるトラッキング技術の一つとなっています。CNIL、EDPB、UK ICO、およびイタリアのGaranteはすべて、過去24ヶ月間にフィンガープリンティングを具体的に対象とした執行決定またはガイダンスを発行しています。本ガイドでは、フィンガープリンティングとは実際に何か、法律上何がフィンガープリンティングに該当するか、そしてパブリッシャーが同意管理フレームワーク内でそれをどのように扱うべきかを解説します。
ブラウザフィンガープリンティングとは
ブラウザフィンガープリントとは、ブラウザが実行中のJavaScriptに公開するプロパティから構築される高エントロピーの識別子です。基本的な技術はいくつかのファミリーに分かれ、それぞれが組み合わされたフィンガープリントにエントロピーを付加します。
Canvasフィンガープリンティング
HTML5のcanvas要素は、基盤となるGPU、ドライバー、オペレーティングシステム、およびフォントサブシステムに応じてわずかに異なる方法でグラフィックスをレンダリングします。特定のフォントで固定文字列を描画し、結果のピクセルデータをハッシュ化すると、デバイスごとに異なるが同一デバイス上ではセッションをまたいで安定した識別子が生成されます。Canvasフィンガープリンティングは典型的な例であり、執行措置で最も引用される技術です。
オーディオフィンガープリンティング
AudioContext APIは、グラフィックスと同種のハードウェア・ソフトウェアパイプラインを通じてオーディオ信号を処理し、その出力はエントロピーを生み出す形で変化します。既知のオシレーターをコンプレッサーに通し、結果をハッシュ化することで、デバイスごとに安定した識別子が生成されます。
フォント列挙
異なるオペレーティングシステムやユーザープロファイルには、異なるフォントセットがインストールされています。候補フォントのリストについてテキストメトリクスを測定することでフォントの有無を調査すると、特にフォントセットをカスタマイズしたユーザーを識別するのに有効な識別子が生成されます。
WebGLフィンガープリンティング
WebGLはGPUの機能とレンダリング動作を公開します。ベンダー文字列、レンダラー文字列、および固定シーンのレンダリングの組み合わせにより、もう一つの高エントロピー識別子が生成されます。
ネットワークおよびデバイスメタデータ
アクティブなプロービング技術に加えて、フィンガープリントは通常、パッシブなメタデータを組み込みます:User-Agent文字列、言語設定、タイムゾーン、画面解像度、色深度、利用可能メモリ、利用可能プロセッサ数、バッテリー状態、および接続層でのTLSフィンガープリント。各項目は単独でエントロピーを追加し、他の項目と乗法的に組み合わさります。
規制当局によるフィンガープリンティングの取り扱い
法的分析は概要としては明快ですが、実務上はより複雑です。ユーザーを識別するフィンガープリンティングは、GDPRの定義における個人データを生成し、デバイスに既に保存されている情報の読み取りまたはアクセスは、ePrivacy指令のArticle 5(3)—クッキーを規律するのと同じ条項—に該当します。Article 5(3)とGDPRの両方が、必須でないトラッキングに対して事前同意を要求しています。法律がクッキーを超える範囲に及ぶのは、ePrivacy 5(3)が「加入者またはユーザーの端末機器に情報を保存すること、または既に保存されている情報へのアクセスを取得すること」を対象としており、この文言がフィンガープリンティングが依存するデバイス状態の調査を含むほど広範だからです。
EDPBは2023年の非クッキートラッキングへのArticle 5(3)の適用に関するガイドラインでこの解釈を確認し、CNILは最も積極的な執行者となっています。2024年の複数の罰金では、同意取得前に動作するフィンガープリンティングライブラリが主要な違反として引用されました。UK ICOの2024年のトラッキングに関する声明は、canvas、オーディオ、および類似のフィンガープリントがクッキーと同等にオプトイン同意を必要とすることをさらに直接的に示しています。
グレーゾーン:不正防止とトラッキング
最も争われるフィンガープリンティングのユースケースは不正防止です。ボット検出、アカウント乗っ取り防御、および決済不正スクリーニングはすべて、コアシグナルとしてデバイスフィンガープリンティングに依存しています。規制当局は、この処理の一部が同意ではなく正当な利益に基づいて正当化できることを認めていますが、基準は高く範囲は狭いです。CNILの立場は他のDPAにも共有されており、以下の通りです:
- ファーストパーティのプロパティにおける厳密に必要な不正防止は、正当利益評価(LIA)における適切な文書化のもと、正当な利益に基づいて実施できます。
- 同じフィンガープリントの行動ターゲティングまたは広告目的での利用には同意が必要であり、不正防止の根拠に便乗することはできません。
- フィンガープリントの第三者との共有は、いかなる目的であっても通常、正当な利益の範囲外となり、同意が必要です。
- 即時の不正チェックを超えたフィンガープリントの永続的な保存は、一般的に同意または非常に厳密に起草された正当利益のポジションのいずれかが必要です。
実務上の含意として、不正防止フィンガープリンティングとアドテックフィンガープリンティングの両方を運用するパブリッシャーは、不正防止の根拠に両方を依拠することはできません。二つのフローはアーキテクチャ上分離されなければならず、アドテックフローは同意の背後にゲートされ、不正防止フローは文書化された目的に制限される必要があります。
CMPにおけるフィンガープリンティングの取り扱い方
フィンガープリンティングの統合パターンは他のトラッキング技術と類似していますが、明らかなストレージがないため同意の境界を見落としやすく、追加の注意が必要です。
1. フィンガープリンティングの対象範囲を棚卸しする
サイトにおいて、canvas toDataURL()、AudioContextベースの処理、テキストメトリクス測定によるフォント調査、またはWebGLレンダラークエリを呼び出すスクリプトがないか監査します。これらの呼び出しはサードパーティライブラリ — アドテックSDK、不正対策ベンダー、A/Bテストツール — に埋もれていることが多く、すぐには見えません。
2. 各フィンガープリンティングの用途を分類する
フィンガープリンティングを行う各ライブラリについて、それが(a)サイトの機能に厳密に必要か、(b)正当な利益に基づく不正防止措置か、(c)トラッキング、アナリティクス、または広告目的かを文書化します。カテゴリ(a)と(b)は文書化された根拠のもと明示的な同意なしに実施できますが、カテゴリ(c)にはオプトインが必要です。
3. トラッキング目的のフィンガープリンティングをゲートする
カテゴリ(c)に該当するライブラリについて、CMPはそれらをマーケティングクッキーと同一に扱うべきです。スクリプトはDOMに存在するが、訪問者がマーケティングカテゴリを受け入れるまで不活性です。最新のCMPのほとんどは、標準的なtype="text/plain" + カテゴリ属性パターンを通じてこれをサポートしています。
4. 不正防止フィンガープリンティングの正当利益根拠を文書化する
フィンガープリンティングが正当な利益に基づいて実施される場合、LIAは具体的で最新であり、実際の処理範囲を反映している必要があります。一般的な「不正防止」では不十分であり、LIAはどのデータが処理されるか、どのくらい保持されるか、どのような保護が適用されるか、およびユーザーの現実的な期待は何かを特定する必要があります。
5. 正当利益フローに対して意味のあるオプトアウトを提供する
不正防止フィンガープリンティングが同意なしに実施される場合でも、GDPRのArticle 21はユーザーに正当利益処理に対する異議申立権を付与しています。CMPはこの権利を表示しなければならず、技術的な実装は権利が行使された際に実際にフィンガープリンティングを停止しなければなりません — 異議を記録しつつフィンガープリンティングを継続するのではありません。
監査チェックリスト
フィンガープリンティングの対象となりうるサイトに対して回答すべき6つの具体的な質問です。
1. 棚卸しの完全性
セキュリティチームは、canvas、オーディオ、フォント、WebGL、またはデバイスメタデータのプロービングを行うすべてのライブラリの最新リストを作成しましたか?回答が「不明」であれば、監査は進められません。
2. 根拠の分類
各ライブラリについて、文書化された適法な根拠(同意、LIAを伴う正当利益、契約上の必要性)がありますか?文書化されていない根拠は、説明責任の下では事実上存在しないものと同じです。
3. 同意によるゲーティング
トラッキング目的のフィンガープリンティングライブラリは、マーケティング同意カテゴリの背後にゲートされ、承諾前にスクリプトが実行できないようになっていますか?
4. LIAの鮮度
正当利益評価は過去12ヶ月以内の日付であり、レガシーな記述ではなく実際の現在の処理範囲を反映していますか?
5. オプトアウトの実効性
ユーザーがArticle 21を行使した場合、システムは実際に正当利益フィンガープリンティングを停止しますか、それとも異議を記録するだけですか?
6. ベンダー間のクリーンアップ
フィンガープリントが第三者(広告ネットワーク、アトリビューションプロバイダー、IDベンダー)と共有されている場合、その共有は別途の同意によってカバーされ、プライバシー通知に開示されていますか?
トラッキングの将来におけるフィンガープリンティングの位置づけ
ブラウザベンダーは、フィンガープリンティングライブラリが利用できるエントロピーを削減するために積極的に取り組んでいます。AppleのITP、Firefoxの組み込み保護、およびGoogleのPrivacy Sandbox提案はすべて、基盤となる対象領域を削っています。しかし、これらの介入のいずれも規制上の問題を解消するものではありません — エントロピーが削減されたフィンガープリントであっても、ユーザーの識別に成功する場合は依然として個人データであり、成功率の低下は機能する場合の法的分析を変えません。パブリッシャーにとってより安全な前提は、フィンガープリンティングは今後24ヶ月間、現実的かつ監査上関連のある技術であり続けること、規制当局は同意目的においてそれをクッキーと同等に見なし続けること、そして正しい運用上の答えは、フィンガープリンティングを他のあらゆるトラッキング対象と同様に扱うことです:棚卸しし、目的別に分類し、必要な場合は同意によりゲートし、別の根拠のもとで実施する場合は徹底的に文書化することです。