以下は、Braveのブログの記事の飜訳です。

---

Brave2021年4月12日コミュニティ, セキュリティ＆プライバシー

ピーター・スナイダー（Brave社シニアプライバシーリサーチャー)
ブレンダン・アイク（Brave社のCEO兼共同創業者)

誤った方向への一歩

FLoCは、Googleが最近提案したもので、ユーザーのブラウザが、ユーザーの閲覧行動や興味を、ユーザーが交流するすべてのサイトや広告主とデフォルトで共有するというものです。BraveはFLoCに反対しています。また、十分な説明を受けた上での同意なしに、あなたやあなたの関心事に関する情報を共有するように設計された他の機能にも反対しています。Braveユーザーを保護するため、Braveはデスクトップ版とAndroid版のNightlyバージョンでFLoCを削除しました。FLoCのプライバシーに影響を与える側面は、これまでもBraveのリリースでは有効にされていませんでした。FLoCの追加実装の詳細は、今週の安定版リリースですべてのBraveのリリースから削除されます。Braveは、Braveを知ったChromeユーザーを守るために、私たちのウェブサイトでもFLoCを無効にしています。

企業は、ユーザー教育の強化、プライバシーファーストのツール（例：Braveなど）の成功、CCPAやGPDRなどの法整備の進展などのトレンドに後押しされて、ようやくユーザーのプライバシーを（たとえ最小限であっても）尊重することを余儀なくされています。このようなトレンドの中で、Googleが、ユーザーファースト、プライバシーファーストのウェブの設計と構築を支援するための現在の機会を利用するのではなく、Googleが考えるウェブ広告のエコシステムの構造を維持することを明確に優先した、アドテクノロジーに配慮した小規模な一連の変更を提案し、Chromeで即座に出荷していることは残念です。

ウェブが信頼され、繁栄するためには、FLoCやPrivacy Sandboxに象徴されるような複雑かつ保守的な椅子の移動だけではなく、もっと多くのことが必要だと考えています。クリエイターが広告によって報酬を得る方法をより深く変えることは、可能であるだけでなく、必要なことなのです。プライバシーを尊重し、パフォーマンスを維持し、サイトをサポートするBraveの広告システムの成功は、よりラディカルなアプローチが機能することを示しています。Google には、基本的な部分を修正し、広告技術がもたらした弊害を元に戻し、ユーザーに最初に奉仕する Web を構築することに参加していただきたいと思います。

この記事の残りの部分では、なぜFLoCがウェブユーザーやサイトに悪影響を及ぼし、ウェブ全体の方向性を誤らせると考えているのかを説明します。

FLoCはウェブユーザーに悪影響を与える

FLoCの一番の問題点は、プライバシーに配慮しているという名目のもと、ユーザーのプライバシーを著しく侵害していることだ。FLoCがどのようにプライバシーを侵害するかについては、すでに他の人たちが詳しく述べている。ここでは、特に有害で気になるFLoCの3つの側面を紹介する。

FLoCはサイトや第三者にあなたの閲覧履歴を伝える

FLoCは、直接的かつ意図的にプライバシーを侵害します。FLoCは、お客様の閲覧行動に関する情報を、通常であればその情報にアクセスできないサイトや広告主と共有します。このように、FLoCはユーザーの閲覧履歴をサイトに伝えることになります。

追記

さらに悪いことに、Googleは、あなたがアカウントを作成するなどして、あなたのことをすでに知っているサイトに与える被害を無視しています。例えば、あなたはWalgreensに既存のアカウントを持っていて、処方箋を記入しているかもしれません。ウォルグリーン社は、あなたが誰であるか知っています。FLoCは、Walgreensが知らなくても良い情報を、閲覧行動に基づいてWalgreensに伝えます（仮名のあなたやあなたを含む集団ではなく、Walgreensのログインによって特定されたあなたに）。

Chrome が Walgreens（および Twitter、GitHub、Facebook、その他アカウントを持っているサイト）に伝えることで、ユーザーのプライバシーが損なわれることは間違いありません。

さらに悪いことに、FLoCはこれらの情報をこれらのサイトのすべてのサードパーティに公開しています。つまり、上記の例で言えば、FLoCはWalgreensだけにあなたの興味や行動を伝えるのではなく、記事を書いている時点では、以下の各アドテクノロジー企業にもあなたの興味を伝えています。

Monetate
Adobe
Bing
Branch.io
InMomentum
Facebook
これらはいずれも、ウェブ上のユーザーを追跡、記録、プロファイリングするアドテクノロジー企業です。FLoCの提案におけるこの懸念に対するGoogleの回答（プライバシーに悪影響を及ぼすかもしれないが、現在のChromeの動作よりはマシだというもの）は非難されるべきものです。

Googleは、意図的にサイトにより多くのユーザー情報を伝えているにもかかわらず、FLoCがプライバシーを改善していると主張しているわけですが、その理由は大きく分けて2つあり、それぞれが無関係なトピックを混同したものです。まず第一に、Googleは、サードパーティのCookieを送信する場合と比較して、FLoCがプライバシーを保護するとしています。しかし、これは比較する基準としては誤解を招くものです。多くのブラウザはサードパーティのCookieをまったく送信しませんし、Braveもこれまで送信していません。Chromeの新機能が、現状のChrome（市場で最もプライバシーを害している一般的なブラウザ）と比較した場合にのみプライバシーを改善すると言うのは、誤解を招きやすく、自分勝手であり、ユーザーがChromeから離れる理由にもなります。

第二に、GoogleはFLoCがプライバシーを侵害していないと弁護していますが、それはインタレストコホートがk-anonymityプロテクションを用いてユーザーに固有でないように設計されているからです。これは、プライバシーとは何かについての誤った考えを示しています。人に関する多くの事柄は、i）固有ではないが、ii）個人的で重要なものであり、同意なしに共有されるべきではないものです。「男性用」と「女性用」どちらの服を着るのが好きかどうか、公言した宗教に従って生活しているかどうか、ワクチンは詐欺だと思っているかどうか、銃を持っているかどうか、ブローニーファンかどうか、その他たくさんのことがありますが、これらはすべて、ある人とは共有したいが他の人とは共有したくない生活の一面であり、自分の条件と管理下にあるものです。

一般的に、プライバシーとはクロスサイトトラッキングがないことである、という考えは間違っています。プライバシーの有用な概念には、「私の許可なしに、私について知っていることを他の人に話さない」という概念が含まれるべきです。FLoCは、プライバシーとは何かという常識的な理解を冷笑的に排除することで、「プライバシー保護」なるものを実現しているにすぎないのです。

FLoCは、サイトがウェブ上であなたを追跡することを容易にします。

FLoCは、膨大な量のフィンガープリントをブラウザに追加します。この機能の目的は、サイトがユーザーのインタレストグループのコホートを区別できるようにすることです。これは、ブラウザのフィンガープリンティングや、フィンガープリンティングの攻撃対象から統計的に推測されるコホートトラッキングからユーザーを守るためにBraveが行っている活動を台無しにするものです。

FLoCによるフィンガープリンティングのリスク増加に対するGoogleの解決策は、検証不可能であり、機能しそうにありません。Google は、FLoC がユーザーの追跡に使用されるのを防ぐために、「プライバシーバジェット」アプローチを使用することを提案しています。まず、Braveは、フィンガープリンティン認証に基づくトラッキングを防ぐのに「バジェット」アプローチは有効ではないと考える理由を以前に詳しく説明したことがあります。1年以上前に懸念を表明したにもかかわらず、Googleからは何の回答も得られていません。第二に、Googleは、「プライバシーバジェット」アプローチがどのように機能するのかをまだ明示しておらず、このアプローチはまだ「実現可能性テスト」の段階です。

プライバシーへの悪影響を修正する方法を模索しつつプライバシーに悪影響を及ぼす機能を出荷することは、ブラウザのフィンガープリンティングが解決困難な問題となっている「深い穴から逃げようとして穴を掘り続ける」アンチパターン[良さそうにみえながら悪い結果を招くソフトウェア開発のこと・訳註]と全く同じです。

FLoCは、プライバシーとは何か、なぜプライバシーが重要なのかという誤った概念を広めています。

Googleはこれらの懸念を認識していますが、提案の中ではそれらを軽く扱っています。例えば、Googleはいくつかのカテゴリー（性的指向、医療問題、政党など）をFLoCの対象外とし、「センシティブ」なカテゴリーがFLoCで使用されるのを防ぐ他の方法を検討していると述べています。ここでのGoogleのアプローチは根本的に間違っています。

まず、FLoCのコホートがセンシティブであるかどうかを判断するためのGoogleのアプローチのためには、（ほとんどの場合）そもそもそのセンシティブなコホートをGoogleが記録・収集する必要があります。あるコホートが「センシティブ」であるかどうかを、そのセンシティブなコホートに含まれる人の数を記録することで判断するシステムはお笑い草でしかありません。

第二に、より基本的なことですが、「センシティブなカテゴリー」のグローバルリストを作成するという考えは、非論理的で不道徳です。ある行動が「センシティブ」であるかどうかは、人によって千差万別です。ある人のお母さんは、「女性用の服」への興味を自分のアイデンティティのプライベートな部分だとは思わないかもしれませんが、ある人のお父さんはそうかもしれません（そうでないかもしれませんが、はっきり言って、Googleはその選択をする適切な当事者ではありません）。同様に、子供を授かって幸せな気分になっている大人は、「ベビー用品」への関心が特に敏感だとは思わないかもしれませんが、怖がりで神経質な10代の若者はそうかもしれません。もっと広く言えば、ある人にとってはありふれた関心事でも、別の人にとっては繊細でプライベートなもの、あるいは危険なものかもしれません。

重要なのは、Googleが作成した「センシティブなコホート」のリストには、重要な項目が欠けているということではありません。むしろ重要なのは、どのような行動が「プライバシーに敏感」であるかを単一のグローバルな決定に依存する「プライバシー保護システム」は、根本的にプライバシーを保護しないし、なぜプライバシーが重要なのかさえ理解していないということです。

FLoCはサイトとパブリッシャーに害を与える

私たちが懸念しているのは、ユーザーのプライバシーへの悪影響ですが、FLoCは一部のサイトにも悪影響を及ぼします。FLoCのデフォルトの動作では、サイト上のユーザーの行動がリークされ、共有されるため、ユーザーとの信頼関係やプライベートな関係が強いサイトには悪影響があります。

具体的な例を挙げてみましょう。私はポルカ音楽を販売するウェブサイトを運営しており、熱心なポルカファンのコミュニティにサービスを提供しているとします。私のサイトが成功しているのは、他ではあまり扱われていないニッチな市場を見つけたからであり、そのおかげで、例えばAmazonよりも高い価格で販売することができているのです。しかし、FLoCは、Chromeで閲覧しているユーザーを「ポルカ音楽好き」のコホートに貼り付け、私のユーザーが「ポルカ好き」をAmazonを含む他のサイトに発信し始めるかもしれません。そうなると、アマゾンはポルカ・レコードの購入者を引き離してしまい、私は損をすることになります。このような視聴者の盗用は、Braveがブロックしているアドテクノロジーではよくあることです。

似たような例はたくさんありますが、一般的なポイントは、FLoCがあなたのサイトを訪ずれたユーザーに、あなたのサイト（およびあなたのサイトと同様のサイト）への関心を、ウェブ上の無関係なサイトにブロードキャストさせるということです。 他のサイトはこの情報を利用して、価格差別を行ったり、より積極的にユーザーにマーケティングを行ったりすることができます。運用型広告(訳註)は何年も前からこのような行為を行っており、FLoCはこの行為を「ポスト・サードパーティ・クッキー」の時代にも続けるでしょう。

すべてのサイトでFLoCを無効にすることをお勧めします。

FLoCはサイト運営者にとっても有害であることから、私たちはすべてのサイトがFLoCを無効にすることを推奨します。一般的に、ウェブ上でプライバシーを危険にさらすような新しい機能は、オプトイン(訳註)であるべきです。これは、ウェブユーザーをデフォルトで尊重するという常識的な原則です。なぜGoogleはFLoCをオプトインにしないのかと疑問に思うかもしれません。GoogleがFLoCを（サイトにとってもユーザーにとっても）オプトアウトにしているのは、オプトインでプライバシーに悪影響を与えるシステムにしたばあい、広告主に利用してもらうために必要な規模のユーザーに達しない可能性が高いことをGoogleが知っているからではないかと考えています。

この間違ったオプトアウトの設計を考えると、すべてのサイトはFLoCを無効にすべきであり、すでにいくつかのサイトは無効にしています。GoogleがサードパーティのCookieを無効にする前に、サイトがFLoCを有効にすることで利益を得る理由を思いつくのは難しいです。上述したように、デフォルトでFLoCをオンにしておくと、サイトに悪影響を及ぼす具体的な方法があるのです。

おわりに

全体的に見て、FLoCは、Googleの “Privacy Sandbox “提案の他の多くの要素とともに、ウェブが必要としている、プライバシーとユーザーに焦点を当てた、より根本的な変化から一歩後退しています。真のプライバシーを強制し、利益相反を排除するための根本的な変化の代わりに、Googleは、ウェブが進化してきた現在の有害で非効率的なシステム、つまりウェブ、ユーザー、パブリッシャーにとって悲惨なシステムを維持する、タイタニックレベルのデッキチェアシャッフルを提案しています。

ウェブが切実に必要としているのは、抜本的な変化であり、新しい機能を導入するたびに「ユーザーはこれを望むだろうか」ということが最も重要な問いとなります。そうではなくて、FLoCや「Privacy Sandbox」では、「ユーザーが許容できる、あるいは気づかないような方法で、広告テクノロジーのためにこれを機能させるにはどうしたらよいか 」というふうに問題を設定しています。Braveは、より抜本的な変化が、ユーザー、パブリッシャー、そして広告主にとってもより良いWebをもたらすことを証明しています。私たちはGoogleに、ウェブをユーザーファーストにするために活動している他のブラウザ、専門家、活動家の参加を求めます。

出典：https://brave.com/why-brave-disables-floc/

訳註 運用型広告 programmatic advertising ネット広告の発注・出稿方式の一つで、特定の広告枠を固定的に購入して同じ内容を掲載し続けるのではなく、掲載先や掲載内容（クリエイティブ）、入札単価などを変動させながら出稿方法を最適化していく方式。

訳註 オプトイン 企業が個人に行う様々な活動や措置、行為などに対し、対象者から明確に許諾を得ない限り実施しない（あるいは、してはならない）とする原則のことを「オプトイン方式」という。一方、離脱や脱退、拒否、停止、中止などの意思を表明したり申し入れることを「オプトアウト」（opt-out）という。