プライバシー サンドボックスの提案は、ウェブ プラットフォーム機能を作成するために必要となる多くのステップの始まりです。
こうしたウェブ プラットフォーム機能はウェブ標準(仕様または仕様とも呼ばれます)になる場合があります。これは、ウェブ テクノロジーの仕組みを正確に説明し、エンジニアがウェブブラウザに技術を実装する方法を定義する技術ドキュメントです。たとえば、Accessible Rich Internet Applications(WAI-ARIA)標準(通称「ARIA」)は、障がいのあるユーザーがウェブをよりアクセスしやすくするための技術的な手法を定義しています。この仕様は、フルタイムのスタッフやメンバー組織、一般ユーザーからのフィードバックを擁する国際的なコミュニティである World Wide Web Consortium(W3C)のために策定されています。
一部のプライバシー サンドボックスの提案と API は、ディスカッション、テスト、大規模な導入を経て仕様となります。ユーザーに対する幅広い実用性と堅牢なプライバシー保護を備えた、耐久性のあるウェブ機能を作成するためには、デベロッパーや業界のリーダー(ウェブ技術に関する知識の有無にかかわらず)からフィードバックを受け取ることが非常に重要です。
Chromium(多くの最新ブラウザのオープンソース プロジェクト)では、ウェブ標準となることを目指してすべての技術を対象とした機能開発プロセスについて投稿しています。ウェブのプライバシーとセキュリティは重要性が高いため、テストを開始する前に大量のディスカッションとフィードバックが行われることを想定し、推奨しています。
提案からウェブ標準へ
開発のあらゆる段階で、エコシステムがプライバシー サンドボックスを形成する重要なフィードバックを提供します。このプロセスはウェブ デベロッパーにはなじみがあるかもしれませんが、これらの目的特化型の API を使用し、このイニシアチブに専門知識が不可欠な他の業界関係者にとっては初めてのことかもしれません。
ディスカッションから始める
ここ数年間、Chrome をはじめとする多くのプライバシー保護対策が提案されています。表示された提案を読み、質問し、改善のためのアイデアを提案し、他の人の意見を確認できます。
関心のあるユースケースに応じて、参加またはモニタリングできる W3C グループがいくつかあります。
- ウェブ広告ビジネスの改善グループ
- プライベート広告技術コミュニティ グループ
- プライバシー コミュニティ グループ
- ウェブ プラットフォーム インキュベーター コミュニティ グループ
- フェデレーション ID コミュニティ グループ
ディスカッションの段階は、非常に複雑になることがあります。
たとえば、Protected Audience(旧称 FLEDGE)は、クロスサイト トラッキングなしでインタレスト ベース広告をサポートする提案です。プライバシー アドボケイトや多くの業界関係者の意見により、Protected Audience API は以前の 2 つの提案(PIGIN と TURTLEDOVE)から進化しました。これまでに 100 名以上が W3C 会議に参加し、300 を超えるオンライン ディスカッション スレッドで現行バージョンの改善に貢献しています。
また、同じソリューション分野で他の企業から 6 以上の提案が寄せられています。引き続き協力することで 今後の方向性を定めたいと考えています
Protected Audience やその他の API のテストは Chrome フラグの下で利用できるため、デベロッパーは早期にアクセスできます。
すべての提案が Protected Audience のような集中的なインキュベーション期間を経るわけではありません。より迅速に移行される提案もありますが、各 API はエコシステム全体から入力を受け取ります。これらは新しいアイデアであり これを正しく行うには多大な労力がかかります
デベロッパーがフィードバックをテストして共有する
これらの技術の改善に関するフィードバックや、API の設計と実装の変更を必要とする問題などについては、デベロッパーの皆様からフィードバックをいただいています。プライバシー サンドボックス テクノロジーの多くは、さまざまなオプションでテストに使用できます。たとえば、Topics API をテストするには、Chrome のフラグを使用してエポック長とその他のパラメータを設定します。
多くの場合、Chrome のエンジニアは、ローカルテストを可能にするためにフラグの背後にある機能を実装していますが、その機能はすべてのブラウザでデフォルトで利用できます。デベロッパーがこの機能を試すには、機能を有効にする必要があります。利用できるかどうかは、Chrome のバージョンによって異なります。開発が進むにつれ、いくつかの問題が発生することがあります。
Chrome オリジン トライアルでは、デベロッパーは限られた Chrome ユーザーを対象に機能を有効にできます。デベロッパーが参加するには、サイトまたはサービスをオプトインするための登録が必要です。これにより、本番環境のトラフィックでこの機能を試し、実際の経験に関するフィードバックを提供する機会が得られます。
プライバシー サンドボックスでは、関連性と測定に関する API の統合オリジン トライアルが実施され、現在は完了しています。
機能が最初にテスト可能になった場合、通常は機能テストまたは技術テストが重視されます。新しいコードでは、コントリビューターがバグを発見して報告し、修正を提供することが求められます。つまり、この期間内に機能の安定性と形状が急速に変化する可能性があります。この機能とともにデバッグとツールのサポートを作成するには、統合とデベロッパー エクスペリエンスに関するフィードバックを受け取ることが重要です。
開発が進み、機能が安定化するにつれて、より広範な有効性テストやユーティリティ テストに焦点が移ります。ユーティリティ テストの目的は、意図されたユースケースに対する機能のパフォーマンスを大規模に把握することです。この段階で、テストの対象となる Chrome ユーザーの人数が増え、より代表的なサンプルが取得されます。このフェーズでは、サイトが自身のトラフィックの大部分で長期テストを実施し、ビジネスニーズに照らして機能を検証できるようにしたいと考えています。
このプロセスが成功するかどうかは、デベロッパーがこれらのテストを実行し、学習した内容を共有できるかどうかにかかっています。また、各フェーズで同時にテストを行い、CMA との取り組みの一環として、プライバシー サンドボックスの進捗状況に関するブログシリーズと四半期ごとのフィードバック レポートで、さまざまな個別のプロジェクト チャネルを通じて結果を定期的に公開しています。
W3C などの公共の場、フィードバック フォーム、直接パートナーシップ チャネルなどでテストを共有する場合は、ぜひご意見をお寄せください。
フィーチャー トグルやオリジン トライアルによるブラウザでのテストは、新しいテクノロジーの仕組みを知る唯一の方法ではありません。一部の企業では、プライバシー サンドボックスのコンセプトに基づくシミュレーションも構築しています。
大規模な導入のためのリリース
API がテストされ、Chrome で一般使用できる準備が整ったら、Google はリリースを発表し、一般公開ドキュメントをエコシステムの拡大に導入できる準備を整えます。
すでに多くの重要なマイルストーンがリリースされており、今後もさらに多くのマイルストーンが追加される予定です。現在、以下のテクノロジーをご利用いただけるようになりました。
- ユーザー エージェントの情報量削減: パッシブに共有されるブラウザデータを制限して、フィンガープリントにつながる機密情報の量を減らします。これらの値の削減は 2022 年 5 月に開始され、2023 年 5 月に完了する予定です。
- CHIPS: デベロッパーは、トップレベル サイトごとに別の Cookie の JAR ファイルを使用して、パーティション化されたストレージに Cookie することをオプトインできます。CHIPS は 2023 年 2 月に安定版で利用可能になりました。
- ファーストパーティ セット: サイト間の関係を宣言し、Storage Access API を使用して、クロスサイト Cookie のアクセスを制限します。ファーストパーティ セットは今週、Chrome 安定版バージョン 113 で段階的にリリースされます。
- フェデレーション認証情報管理(FedCM): ユーザーが明示的に同意しない限り、ユーザーのメールアドレスやその他の個人情報をサードパーティのサービスまたはウェブサイトと共有することなく、フェデレーション ID をサポートします。FedCM は 2022 年 11 月に出荷されました。
2023 年 7 月に、関連性と測定に関する API が大規模な導入に対応しました。つまり、これらの API はデフォルトで Chrome で利用できるようになっています。デベロッパーは、ブラウザ フラグやオリジン トライアルに参加しなくても、これらの技術を使用できるようになりました。
つまり、これらの API は本番環境の 99% のユーザーが大規模に利用できます。
段階的なリリース
一部のテクノロジーは段階的に利用可能となっています。これにより、Google のチームとデベロッパーは、潜在的な問題をモニタリングして対処できます。また、フル可用性があっても、トラフィックの 100% で API が有効になっているわけではありません。
たとえば、Chrome での User-Agent Client Hints(UA-CH)の段階的なリリースは 2021 年に始まりました。ユーザー エージェントの情報量削減は 2022 年 4 月に開始され、2023 年 3 月に完了しました。これにより、デベロッパーはサイトがユーザー エージェント文字列に依存する方法を移行する時間を十分に確保できました。
API の制御
一部の API(関連性 API や測定 API など)には、ユーザー向けの構成オプションがあります。これには、これらの API を有効または無効にする機能が含まれます。
適切な特徴検出を構築することが重要です。機能検出は、ブラウザが特定のコードをサポートしているかどうかを判断し、代替コードを提供できます。これにより、ユーザーが API をオフにした場合や、特定の技術をサポートしていないブラウザを使用していても、サイトが引き続き想定どおりに動作することが保証されます。
権限ポリシーを使用して、ブラウザ機能へのファースト パーティとサードパーティによるアクセスを制御することを検討してください。
フィードバックをお寄せください
引き続き、現在の状況を説明し、今後の情報を可能な限り公開し、皆様の関与を促し、ご意見を伺います。
- フィードバックを提供するさまざまな方法を確認してください。
- 技術的な詳細と実装ガイドラインを確認します。
- Twitter の@ChromiumDev までフィードバックをお寄せください。
- デベロッパー サポート担当者に問題を報告します。