プライバシー バジェット

サイトに公開される個々のユーザーのデータの量を制限し、隠れたトラッキングを防ぎます。

実装ステータス

このドキュメントでは、隠れたトラッキングを防ぐための新しい提案であるプライバシー バジェットの概要を説明します。

この提案が必要な理由

ブラウザでの Cookie の処理方法が変化し続ける中、一部のユーザー トラッキング作業は、Cookie の制御を覆す、検出が難しい手法に移行しています。こうした手法はフィンガープリントと呼ばれ、さまざまな手法によって、ユーザーに表示されない一意のブラウザを特定します。

プライバシー バジェットの提案では、サイトに公開できる個々のユーザーデータの量に上限を提案しているため、全体として個人を追跡および識別するには不十分です。そのためには、ユーザーがサードパーティと共有する量を定量化する必要があります。これは以下によって決定されます。

  • k-匿名性: 匿名化されたデータが所有しているプロパティ。k は同一の情報を持つ他のユーザーの数です。
  • エントロピー: 適用すると、データの潜在的な制限に固有の不確実性レベルが存在することを意味する情報理論
  • 差分プライバシー: 集計データのセットから個々のデータを特定できないようにするためのシステム。

各ユーザーに関して公開される情報量に対する最大許容度は、プライバシー バジェットです。サイトで使用できるフィンガープリント サーフェスが少なく、公開される情報の粒度が低いほど、1 人のユーザーが識別される可能性は低くなります。

フィンガープリント データを測定する

プライバシー バジェットの提案が成功するかどうかは、各指紋サーフェスから明らかになる情報をブラウザが推定するかどうかにかかっています。ブラウザでは、サイトに公開されている情報の合計量も測定する必要があります。これらの測定値は、単一のサービスに報告する必要があります。

このデータを測定する方法はいくつかあり、Chrome では現在、ソリューションを積極的に検討しています。

サイトに公開される情報の総数を減らす

ウェブ全体で情報全体を測定したら、公開されている API サーフェスを分析して、必要な情報と共有する必要がない情報を優先します。

プライバシー バジェットを考慮して、パッシブ フィンガープリントによって明らかになったデータはサイトで使用されているとみなされます。ユーザー エージェントの削減IP 保護による提案など、受動的なフィンガープリント サーフェスを削減することが重要です。

プライバシー バジェットの適用方法は?

平均的なサイトが妥当な量のデータにアクセスすると、ブラウザによって予算が有意義に適用される可能性があります。プライバシー バジェットの提案では、設定されたデータしきい値を超えて、さまざまな方法で予算を適用できることが提案されています。次に例を示します。

  • 予算に違反する API 呼び出しはエラーを引き起こす可能性がある。
  • 可能であれば、API 呼び出しを、ノイズのある結果または 1 ユーザーに関連付けられていない一般的な結果を返すプライバシー保護呼び出しに置き換えることができます。
  • ストレージ リクエストとネットワーク リクエストが拒否されるため、サイトから新しい情報が漏洩することはありません。

予算の例外

3D ゲームやビデオ会議などのアプリは、妥当なプライバシー バジェット内では実行できない場合があります。ユーザーに対して権限プロンプトを表示するなど、いくつかの方法でこれらのアプリケーションを実行できます。これらの例外がどのように処理されるかについては、検討の余地があります。

プライバシー バジェットはいつ利用できるようになりますか?

調整可能な最も早い日付は、プライバシー バジェットを適用できる最も早い日付を表します。この状況は 2024 年より前には起こりません。

現時点では、プライバシー バジェットは提案であり、どのブラウザにも実装されていません。

交流とフィードバックの共有

プライバシー バジェットの提案は現在検討中で、将来変更される可能性があります。