インターネット広告が利用者をターゲティングをするためには、ユーザー行動を追跡(トラッキング)しないといけません。現在Webでは主にCookie(クッキー)、アプリでは識別子による追跡が実行されています。

ワールドワイドウェブ(WWW)上の追跡はCookieを用いて実行されてきました。Cookieは、Webサイトが特定の情報を保存するために使用するテキストファイルです。各Cookieに「このCookieは、このドメイン名用のもの」という情報が紐付けられています。それによってブラウザはCookieがどのサイト由来のものかを判別できます。「クッキー」という響きからほのぼのとした印象を受けるかも知れませんが、永続的識別子という専門的な呼び名のほうが実態を捉えているでしょう。

Cookieは元々、追跡の手段として生まれたわけではなく、ウェブ閲覧を円滑にするために考案されました。ウェブサイトは本来、同じ人が時間をおいてまたアクセスしても同一人物と認識できないのです。それどころか、一回アクセスしたときに複数回クリックした場合も同じユーザーがクリックしたと判別できません。

この問題を解決するのがCookieだったのです。Cookieはウェブサイトからユーザーのコンピュータに送信され、それぞれに固有の番号が割り振られています。ウェブサイトは、その番号でユーザーを特定する。たとえば、オンラインアショッピングサイトがCookieを用いていれば、あなたは二度目のアクセス時にその都度「私は652134番の顧客です」と名乗っていることになります。ウェブサイトは、その番号を手がかりにあなたのアカウントを参照して購入候補商品リストを保存し、次回のアクセス時に過去の購入内容を保存しておくことができるのです。

しかし、広告業者はほどなく自社以外のサイトのページ上にもCookieをセットできることに気がつきました(ウェブサイトの承諾を得て、ときには代金を払って実行します)。これがサードパーティ(第三者)Cookieです。Double Clickのような企業(2007年にGoogleが買収)がこれを用いて、ユーザーがさまざまなウェブサイトで取る行動を追跡し始めました。そしてその詳細な情報を基に、ひとりひとりのユーザーを狙い撃ちにした広告(ターゲティング広告)がウェブ上で表示されるようになりました。あなたが特定の自動車の車種や特定の観光地、特定の病気の症状についてインターネットで調べると、その後しばらくは、さまざまなウェブサイトにアクセスするたびに、その自動車や観光地、症状に関係した医薬品の広告を見せられるはめになるのに、サードパーティCookieは深く関与しています。

Facebookはこの仕組みを利用して「いいね!」が設置してあるウェブページ全てであなたを追跡しています。GoogleはGoogle Analyticsを導入しているすべてのウェブページであなたを追跡しています。

Cookie Sycのフロー。広告主、SSP、DSPの間で、Cookieのシンクが即時的に実行される。Image Via Ad Ops Insider

モバイルにおける追跡

アプリ広告もまたトラッキングの進歩とともに改善をしてきました。アプリ広告業者は最初、端末固有のUDID(Unique Device Identifier:端末識別子)、Android_Idで追跡を行いました。日本はネイティブアプリからブラウザを挟み、Cookieでトラッキングをしていました。ブラウザを挟まないといけないのでユーザビリティが悪かったです。このため米国の業者はグレーながらUDIDを使い続けていました。最終的にはAppleがApple広告識別子(IDFA)、GoogleもAndroid 広告IDを作りました。これは、グレーな状況を改善するための中間的な識別子であり、特にプライバシーを巡る状況は改善をしたわけでは有りません。

さらにアプリでの行動を追跡をするトラッキング業者が拡大しました。業者は広告主のアプリにSDKを埋めることで、広告接触、インストール以降のイベント、収益性、継続率を補足できるようになりました。

これにより、広告主はアプリインストール広告において、ROAS(広告費用対効果)への深い洞察を持つことが可能になりました。課金イベントがすぐさま発生しやすいゲーミングアプリが、このインストール広告の主な顧客ですが、インストール後に何らかのアプリ内購買が生じればよいので、コマースアプリとも新矮性があります。

アプリの追跡にはかなりダークな部分も存在します。市民団体のPrivacy InternationalはAndroidの21つの人気アプリは、同意なしでFacebookにデータを送信している、と主張しました。アプリは、ユーザーが同意する前に、アプリがインストールされているなどのいわゆる「イベントデータ」をFacebookのサーバーに自動的に送信していると、その市民団体は説明しています。

Privacy Internationalによると、Facebookは、Facebook Business Toolsを通じて、プラットフォーム外のユーザー、非ユーザー、ログアウトしたユーザーを定期的に追跡します。アプリ開発者は、Facebook Software Development Kit(SDK)を介してFacebookとデータを共有します。SDKは、開発者が特定のオペレーティングシステム用のアプリを構築するためのソフトウェア開発ツールです。Privacy Internationalは、インタラクティブなHTTPSプロキシである「mitmproxy」と呼ばれる無料のオープンソースソフトウェアツールを使用して、多くのAndroidアプリがFacebook SDKを介してFacebookに送信するデータを分析。その結果、Facebookサーバーへのイベントデータの自動送信を探知したと主張しているのです。

参考文献

A, Barth. RFC 6265: HTTP State Management Mechanism. IETF.

村井純. 『角川インターネット講座』第1巻「インターネットの基礎 情報革命を支えるインフラストラクチャー」. 2014. 角川学芸出版.

Privacy International. Investigating Apps interactions with Facebook on Android. March, 2019.

Photo by John Schnobrich on Unsplash