アクセス解析データの取得にも節度を持ちなさいというGoogle様のポリシー変更

マインドテックの冨です。ストーキング癖はありません。

ITProさんの記事で知ったのですが、Chrome拡張のポリシー変更があったのですね。

グーグルがChrome拡張機能のデータポリシー変更、他のWeb解析サービスに打撃か

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042200513/

で、平たく言えば、ユーザーの許諾なしで行動履歴データを取得・利用するなという事でございます。至極まっとうなポリシーであると存じます。

影響を食らう先としてSimilarWebが上がっておりますが、これは競合などの他社のサイトのPVや訪問者数の推定値を提供するサービスだったりします。サイト運用担当者は競合の動向分析に利用したり、業界トレンドを知る意味でも便利なツールとして利用されておりました。

アクセス解析データ取得の仕組み

そもそもWebアクセス解析の仕組みを改めて振り返りますと、大きくWebサーバーのログを分析する手法と、JavaScript等のスクリプトを使ってブラウザーから計測情報をログ収集サーバーに飛ばすというやり方があります。有名なGoogle Analyticsは後者の良い例です。

これらのデータ取得のポリシーに関しては、各国・エリアなどでプライバシー情報の扱いに関する様々な法規制や業界団体による自主規制などがあります。厳しい所ではEUなどがありますが、内容に関してここでは深入りしません。

もっぱら技術的な観点からみますと、JavaScriptベースのデータ取得では取得できる情報に一定の制約があります。またCookieを利用する場合でもファーストパーティー/サードパーティーの違いがありますが、特に前者の場合には閲覧しているサイトのみしかデータ保存が出来ないものです。「ある人が何ページ見た」「ある人が今週、何回サイトを訪問した」などは、ユーザーごとに固有のIDを割り当てるわけですが、ファーストパーティーCookieの場合にはサイトごとに変える必要があります。つまり「サイトAを見ている人がサイトBも見ている」という事は、原則としてデータとして取得できないことを意味しています。ただし、このようなサイトを横断して行動情報を把握するのはデジタルマーケターの悲願でもあり、このために"Cookie Sync"といったIDを統合する技術や、独自の”会員番号”で認証させることによる名寄せなどが行われています。(あるECサイトで見た商品について、別のサイトを訪問した際に、その商品の広告を掲載するのは、このような仕組みを使っています。)

ややダークサイド寄りな計測

Cookieを使った計測に関しては、ユーザー側で計測されたくなければブラウザ側の機能で消去できますし、そもそもCookieの受け入れを拒否することもできます。つまりはユーザー側がコントロールできる範囲です。逆に、計測したいマーケター側のモチベーションとしては、そうはいってもユーザーの行動情報の把握はしたいですし、さらにはドメインをまたがったサイト間の遷移を知りたいわけです。ドメイン間遷移に関しては明示的に「遷移しますよ」という情報をブラウザから送らせる事で、2つのサイトのデータを突き合わせる事が出来ます。そのような手段を取らず、ブラウザ側で何らかのデータを保存できる機能や通信プロトコル上で情報を維持できる機能を、ユーザー特定の情報を保持するために利用する事があります。Flashやブラウザの一時ストレージ、HTTPの一部のヘッダーなどを利用して、Cookieや他の情報が消去されても、いずれかの手段で情報が残っていれば、それを利用してリカバリーを行うというやり方です。(“EverCookie"などの名前で発表されています。)技術的にみれば良く見つけたなあと思う所もあるのですが、利用者の意向を無視するという意味では、あまり褒められたやり方ではないです。

他社サイトデータの分析

これまで見た通りWebサイトのアクセス解析の手法はいくつかありますが、基本的にはサイトのコンテンツに計測のための仕組み(計測タグなど)を入れて計測します。逆に言えば、自分の管理下にあるこれらの仕組みを導入出来ない限り、基本的にはデータ取得は不可能でした。特に他社のサイトには入れようがありません。1つの例外は、閲覧するブラウザにデータを取得する機能を持たせる事です。Internet ExplorerやChrome, Firefoxなどの著名ブラウザにそのような機能を組み込むのは、拡張機能を利用したアプリケーションやツールバーなど形態をとります。例えばUCカードの永久不滅プラスはそのいい例でしょう。提携ECサイトへのポイント付与というメリットを提供する代わりに、ブラウザでの行動情報を取得しているものと思われます。利用規約にはこんな一文があります。

①本ソフトウェアを利用しているインターネットブラウザ上の行動履歴等のうち、下記の情報

(イ)本ソフトウェアを利用しているインターネットブラウザ上でアクセスしたすべてのウェブサイトのURL(ファイル名、リファラー(参照元URL)、検索キーワードを含みます)、アクセス日時(秒)

(ロ)本ソフトウェアを識別するための情報

この場合、「永久不滅プラス」をインストールしているブラウザで閲覧したサイトの情報は、UCカードと提携しているマーケティング会社に送られて利用される事になります。注意すべき点としては、このデータは計測対象サイトを限定していない事です。すなわち統計的に有効となる一定数以上のユーザーからのデータが取得できれば、おおむね大手のサイトであればどんなサイトであっても、UCカードはそれらのアクセス動向を推定出来る事になります。

こんな感じでブラウザに計測機能を紛れ込ませれば、デジタルマーケターにとっては非常に有益なデータが取得出来ます。これが「永久不滅プラス」のように明示的にポリシーを提示しているのであれば良いですが、ユーザーに了解を取らずにこれらの計測をしているケースが散見されます。上記のITProの記事で名指しされたSimilarWebに関してもChromeの拡張機能を利用して、バートナーに作成させたアプリを利用して無断でデータを取得していたのではないでしょうか。今回のGoogleのポリシー変更は、このようなデータ取得を禁止するという意味だと思います。放っておけば「ストア」の運用者としての責任を取らされる法的リスクを鑑みたものではないかと考えています。

知らぬ間にプライバシー情報へのアクセスを許している場合がある

なんだかんだで、この手の話題は以前からのいたちごっこでもありまして、ないがしろにされてきては規制が入るところでもあります。(これらの自分が意図しない計測を行われていないか個人レベルでチェックするのであれば、Wiresharkなどのパケットスニファーと呼ばれるツールを使って、意図していないサイトに通信が発生していないかを確認することができます。ただしネットワークなどに関する知識が必要。)特にPCブラウザーからスマートフォンに利用者が移行するにしたがって、この傾向はひどくなっているんじゃないかと思います。アプリケーションをインストールする際には、それらがどのような権限を持つかをチェックする事ができますが、例えば某Androidで動く、おばけから逃げつつ道ばたのエサを食べまくるゲームでは、なぜか「カメラ」や「保存した写真」へのアクセスを要求しているのを見つけてビックリしました。(ゲームをする上では絶対に不要な機能のはず)

他の例としてはSNSでの占いアプリなどで、自分の友人関係のデータを引き渡すように求めてくるものもあります。気にせずOKをしている人も多いかと思いますが、サービス提供者にそれらのデータを引き渡している事と同義です。ユーザー側の観点で自営するとすれば、ブラウザであれスマートフォンであれ、提供者が怪しいものは利用しない。利用規約をよく読む。アプリの場合は許諾範囲もチェックするといったところではないでしょうか。