Fastly との提携 - FLEDGE の k-匿名性サーバー向け Oblivious HTTP リレー

FLEDGE は、リマーケティングとカスタム オーディエンスのユースケースをサポートするプライバシー サンドボックスの提案です。サードパーティがサイトをまたいでユーザーのブラウジング行動を追跡できないように設計されています。ブラウザは、同じレンダリング URL が十分な数のユーザーに表示されている場合にのみ広告をレンダリングすることで、マイクロターゲティングを防止します。広告をレンダリングするには、過去 7 日間にクリエイティブごとに 50 人のユーザーが参加している必要があります。また、最小しきい値を満たさないレンダリングされた URL のレポートを防止することで、クロスサイト トラッキングからユーザーを保護することもできます。

この保護は 𝑘-匿名性と呼ばれ、Google が運用する一元化されたサーバーでグローバルなカウントを維持することで実現されます。クリエイティブが最小基準を満たすと、ユーザーにレンダリングされるようになります。𝑘-しきい値と、FLEDGE 内での 𝑘-匿名化サービスの設計方法について詳しくは、こちらの説明をご覧ください。

Chrome 内の複数のサイトが FLEDGE 広告を配信するために k-匿名性サーバーにリクエストを送信していることを示す図。
サイトが FLEDGE 広告をリクエストすると、Google の k-匿名性サーバーにより、広告が k-匿名性のしきい値を満たした場合にのみ表示されます。広告リクエストが広告会社に送信されると、IP アドレスが広告会社に表示されます。

𝑘-匿名化サービスは重要なプライバシー保護を提供しますが、IP アドレスやブラウザの User-Agent 文字列など、機密性の高いユーザーデータがこの一元化されたサーバーに漏洩する可能性もあります。そのため、Google は Fastly と提携し、コンテンツ配信、エッジ コンピューティング、セキュリティ、オブザーバビリティ サービスを提供するエッジ クラウド プラットフォームとして、FLEDGE の k-匿名化サーバーの一部として Oblivious HTTP Relay(OHTTP Relay)を運用することで、Chrome のプライバシー対策を強化しています。

データが OHTTP リレーを介してリレーされる場合、Google の k-匿名化サーバーはエンドユーザーの IP アドレスを受信しません。𝑘-匿名化サーバーは、FLEDGE の完全な実装に向けた段階的なステップです。なお、これは、通常のブラウジング アクティビティによってパブリッシャーのオリジンに公開される IP アドレスには影響しません。

OHTTP を実装するため、Google は Fastly と提携してリレー リソースを運用しています。ユーザーの Chrome ブラウザは、HTTP POST メッセージの本文に暗号化されたペイロードを 𝑘-匿名性サーバーのこのリレーに送信します。ブラウザは、Google ドメインの 𝑘-匿名性サーバーから直接取得した鍵を使用してメッセージを暗号化します。リレーは、Google サーバーで実行されるゲートウェイにリクエストを転送します。そのため、リレーはリクエストの内容は認識しませんが、ユーザーの IP アドレスを認識します。逆に、k-匿名化サーバー(とゲートウェイ)はユーザーの ID を認識しませんが、リクエストの内容を確認できます。

Google は、FLEDGE を使用しているすべての Chrome ユーザーに代わって、k-匿名化サーバーを運用する予定です。k-匿名化チェックは、すべてのサードパーティ広告テクノロジーと Google 独自の広告サービスに適用されます。ユーザーは k-匿名性から利益を得る個人であり、ブラウザは k-匿名性を実装して適用できるソフトウェアです。

Chrome 内の複数のサイトが、間に OHTTP リレーを配置して FLEDGE 広告を配信するために、k-匿名性サーバーにリクエストを送信する様子を示した図。
サイトが FLEDGE 広告をリクエストすると、Google の k-匿名性サーバーにより、広告が k-匿名性のしきい値を満たした場合にのみ表示されます。Fastly のリレーは、OHTTP を実装して IP アドレスを隠すことで、ユーザーのプライバシーを保護します。

FLEDGE のプライバシー保護機能は、Google と幅広いエコシステムに同様に適用されます。このサーバーは Chrome から呼び出され、Android のサポートは 2023 年後半に予定されています。

写真撮影: Ian Battaglia(出典: Unsplash