AppleのiOSプライバシー規制は大手テックに優位性を与えただけ
AppleがiOSのプライバシー規則を強化したことで、小規模なデータブローカーにも影響が及んでいるが、個々のユーザーを追跡することがより困難になる一方で、「ファーストパーティデータの大規模な宝庫にアクセスできるゲートキーパー企業の既存の市場力を強化」している。
AppleがiOSのプライバシー規則を強化したことで、小規模なデータブローカーにも影響が及んでいるが、個々のユーザーを追跡することがより困難になる一方で、「ファーストパーティデータの大規模な宝庫にアクセスできるゲートキーパー企業の既存の市場力を強化」している。
オックスフォード大学の研究によれば、研究者はAppleの新しいポリシーが、約束通り、アプリ間のユーザー追跡を容易にするために使用される識別子である広告主向け識別子(IDFA)の収集を防止していることを発見した。しかし、アプリは依然としてトラッキングを実行しており、手段がグループ指向のデータ収集方法のコホート・トラッキングや確率的なユーザー識別手段である「デバイスフィンガープリンティング」に移行した。
吉田拓史
6月の「ACM Conference on Fairness, Accountability, and Transparency 2022」会議で発表予定の論文では、オックスフォード大学の学者Konrad Kollnig, Max Van Kleek, Reuben Binns, Nigel Shadboltと独立した米国在住の研究者Anastasia Shuba,が、英国のApp StoreからiOS 14導入前と後の1,759種類のiOSアプリの分析後に分かったことを説明している。
2020年9月16日に初公開されたAppleのiOS 14は、iOSアプリ開発者に大きな影響を与えた2つのプライバシーに関する取り組みを導入した。それは、アプリ追跡許可要求をアプリユーザーに提示する方法を定義するAPI「App Tracking Transparency framework」と、データの取り扱い方法を開示するアプリのプライバシーラベルだ。
GoogleとFacebookはiOS 14について苦言を呈し、広告収入の減少について警告した。両社は後に、Safariブラウザに実装されたAppleのプライバシー対策を回避するために結託したと非難された。
Kollnigのチームは、他の広告会社がフィンガープリンティングベースの追跡識別子を共有することで同様の行動をとっていること、Apple自身がユーザーを追跡し、特定のデータ収集をプライバシー規則の対象から除外していることを発見した。
AppleのiOS 14のプライバシー対策により、侵襲的なデータ収集を行っていた情報収集企業は現在、より高い障壁に直面しているが、研究者は、アプリ内のトラッキングライブラリの数は、平均して、ほぼ同じであることを発見している。
「我々は、アプリがサーバサイドのコードを使用してフィンガープリンティング由来の識別子を計算し、確認している現実の証拠を発見した。これによってアプリ開発者はAppleのポリシーに違反している。これはiOS上のトラッキングに対してATTができることの限界を露呈している」
また、研究者らは、「Apple自身がいくつかの形態のトラッキングを行い、ファーストパーティートラッキングやクレジットスコアリングのような侵襲的な行為を新しいルールから除外しており、新しいプライバシーラベルはしばしば不正確であった」と観察しているという。これは、顧客の期待や企業のマーケティング上の主張に違反していると彼らは言っている。
研究者たちは、ATTの導入前と導入後のiOSアプリに含まれるトラッキングライブラリの数を調べたところ、その数はほぼ変わらないことがわかった。アプリに含まれるトラッキングライブラリの数の中央値はどちらも3.0、導入前の平均値は3.7だったのに対し、導入後の平均値は3.6だったそうだ。最も一般的なライブラリは、AppleのSKAdNetworkライブラリ(ATT前のアプリの78.4%、ATT後のアプリの81.8%)とGoogle Firebase Analyticsライブラリ(ATT前のアプリの64.3%、ATT後のアプリの67.0%)、Google Crashlytics(前43.6%、後44.4%)と変化していない
AppleのSKAdNetworkは、アプリに組み込まれると、アプリのユーザーがクリックした広告の情報をAppleに送信する。研究者によると、Appleは理論上、このデータを使って自社の広告システムのためのユーザープロファイルを構築することが可能だという。総じて、Appleのプライバシー対策は、既存アプリ内のトラッキングライブラリの統合には、ほとんど影響を与えなかったようだと研究者は記述している。
ATTの導入後、ユーザーの同意を得る前にアプリが接触するトラッキングドメインの平均数は、4.0から4.7へと少し増加したことがわかった。最もよく見られるドメインは、Google Analyticsのサービスに関連するものでした。例えば、firebaseinstallations.googleapis.comは、ATT導入前は4.1パーセント、導入後は47.4パーセントのアプリから呼び出されている。
「全体として、ユーザーとのインタラクションの前(編注:同意を得る前)にトラッカーとデータを共有することは、ATTの導入後でさえ、依然として一般的だ」
AppleのATTは、IDFA(Identifier for Advertisers)に関して、明確な有益な効果をもたらした。ATTの前にそれを共有していたアプリは26%ほどで、その後そうしているものは見つからなかった。
しかし、Appleのプライバシー保護への取り組みは、そのルールを回避しようとする試みにつながっている。技術者は、サーバー側のコードを介してクロスアプリの追跡に使用することができる相互のユーザー識別子を生成する9つのアプリを発見した。「これらの9つのアプリは、中国のハイテク企業アリババの子会社であるUmengによって実装および生成されたAAIDを使用している」と研究者は説明する。
論文によると、このことは2021年11月17日にAppleに報告され、同社は調査を約束した。研究者が2月1日に追跡調査を行ったところ、一部のアプリは依然としてUmengのエンドポイントから識別子を受信していた。その他のアプリは現在、リクエストとレスポンスの両方でカスタム暗号化を使用して別のUmengエンドポイントに連絡している。
暗号化されたデータのサイズはほぼ同じで、リクエスト/レスポンスのmimetypesも変わっていないことから、研究者は、識別子はまだ使われているが、「暗号化によって公衆から隠されている」と結論付けている。
さらに、Appleのトラッキングの定義は、自社の広告技術を除外し、その他、詐欺検出、詐欺防止、信用調査などの例外を設けているため、トラッキング会社が活動するための隠れ蓑となり、消費者のプライバシーに対する期待を侵害する可能性があると指摘している。
最後に、彼らは、Appleの二重基準が、データへのアクセスという競争上の優位性を与えていると主張している。Appleのデータ制限は、Appleにトラッキングの権限を与える一方で、GoogleやFacebookなどの大規模なライバルが市場支配力を強化するのを助けていると、彼らは主張している。
「Appleによる新たな変更は、より少ないテック企業へのデータ収集の集中と、より多くのプライバシーを引き換えにしたと結論付けている」と彼らは主張している。「プライバシールールの厳格化は、トラッキングコードを支配的なトラッキング企業のサーバに移行させることで、アプリのトラッキングに関する透明性をさらに低くすることを促すかもしれない」
メタは直近の四半期決算でAppleのプライバシー規則によりデジタル広告事業を毀損されたと主張した。この研究で分かる範囲では、メタのトラッキングは損失を受けていない。またこの記事で指摘したように、メタは迂回策を講じ、影響を最小化している。
吉田拓史
TikTokの台頭などによって、傘下のアプリのユーザーアクティビティが減少し、ファーストパーティデータの収穫が減っているのが関係しているのではないか。
吉田拓史
参考文献
- Konrad Kollnig et al. Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels. Submitted on 7 Apr 2022 (v1), last revised 8 Apr 2022 (this version, v2). arXiv:2204.03556 cs.CR
