プライベート ステート トークン

実装ステータス

プライベート ステート トークンとは

   

プライベート ステート トークンを使用することで、ユーザーの信頼度をあるコンテキストから別のコンテキストに伝えることができ、サイトはパッシブ トラッキングを行わずに不正行為を防止し、bot と人間を区別できます。

  • 発行者のウェブサイトは、アカウントの継続的な使用、取引の完了、許容される reCAPTCHA スコアの取得などにより、信頼できると判断されたユーザーのウェブブラウザにトークンを発行できます。
  • 利用者のウェブサイトは、利用者が信頼できる発行元のトークンを持っているかどうかを確認し、必要に応じてトークンを利用することによって、ユーザーが偽物ではないことを確認できます。

非公開状態トークンは暗号化されるため、個人を特定したり、信頼できるインスタンスと信頼できないインスタンスを接続してユーザー ID を検出したりすることはできません。

プライベート ステート トークンが必要な理由

ウェブには、ユーザーが自称する人物であり、人間を装った bot や、実際の人物やサービスを詐欺する悪意のある第三者ではないことを示す信頼シグナルを確立して伝える方法が必要です。広告主、広告プロバイダ、CDN にとって、不正行為の防止は特に重要です。

残念ながら、信頼性を測定して伝播する既存のメカニズム(サイトとのやり取りが実際の人間によるものかどうかを判断するなど)の多くは、フィンガープリントにも使用できる手法を利用しています。信頼を伝えるメカニズムは、プライバシーを保護し、個々のユーザーをトラッキングすることなく、サイト間で信頼を伝播できるようにする必要があります。

Private State Token API を使用すると、ウェブサイトは信頼できるユーザーに暗号トークンを発行できます。このトークンは、後で他の場所で使用できます。トークンはユーザーのブラウザに安全に保存され、他のコンテキストで利用してユーザーの真正性を確認できます。これにより、1 つのウェブサイト(ソーシャル メディア サイトやメール サービスなど)のユーザーの信頼性を、ユーザーを特定することなく、またサイト間で ID をリンクさせることなく、別のウェブサイト(パブリッシャーやオンライン ストアなど)に転送できます。

プライベート ステート トークンの仕組み

この例では、パブリッシャーのウェブサイトが、広告を表示する前に、ユーザーがボットではなく実際の人間かどうかを確認したいと考えています。

  1. ユーザーがウェブサイト(発行元)にアクセスし、購入、メール アカウントの使用、reCAPTCHA の正常な完了など、ユーザーが実際の人間であるとサイトが判断するアクションを実行します。
  2. 発行元サイトは、Private State Token JavaScript API を使用して、ユーザーのブラウザのトラスト トークンのリクエストをトリガーします。
  3. カード発行会社のサイトがトークン データを返します。
  4. ユーザーのブラウザに信頼トークンのデータが安全に保存される。
  5. ユーザーが、広告の表示時など、ユーザーが実際の人間かどうかを確認する別のウェブサイト(ニュース パブリッシャーなど)にアクセスした。
  6. サイトは Private State Token API を使用して、ユーザーのブラウザに、サイトが信頼する発行元のトラスト トークンが保存されているかどうかを確認します。
  7. プライベート ステート トークンは、ユーザーが以前にアクセスした発行元で見つかります。
  8. ニュース メディアのサイトが、信頼トークンを利用するリクエストを発行元に送信します。
  9. カード発行会社のサイトが、利用履歴レコードを返します。
  10. パブリッシャーのサイトが広告プラットフォームにリクエストを送信します。このリクエストには、ユーザーが実際の人間であることを発行元が信頼していることを示す利用履歴が含まれます。
  11. 広告プラットフォームは、広告の表示に必要なデータを提供します。
  12. パブリッシャーのサイトに広告が表示されます。
  13. 広告ビューのインプレッションがカウントされます。

プライベート ステート トークン用のツールはありますか?

Chrome DevTools の [Network] タブと [Application] タブで検査を有効にできます。この DevTools の統合Private State Tokens の詳細を確認する。

ウェブサイトは、複数の信頼できる発行元のトークンをどのように処理しますか?

サイトは、ユーザーのブラウザで有効なトークンがないか document.hasTrustToken() を使用して確認できます。この場合、一度に確認できるカード発行会社は 1 社のみです。true が返され、トークンが利用可能な場合、サイトはトークンを利用するとともに、他のトークンの検索を停止できます。

ウェブサイトは、確認するトークン発行元とその順序を決定する必要があります。

ユースケース

プライベート ステート トークン(PST)は、さまざまな不正行為防止のユースケースをサポートします。本質的に、PST は追加の信頼シグナルとして機能できます。これは、API がコンテキスト間で信頼を伝達するのに役立つ情報をエンコードできるためです。サードパーティ Cookie が廃止されるため、次のようなユースケースが引き続き必要に応じて機能できるようにすることが重要です。PST のユースケースではすべて、発行者と利用者の両方の連携が必要です。次のようなユースケースがある場合は、PST の使用を検討してください。

  • 不正行為防止サービス: 不正行為の防止は、ウェブがサポートすべき正当なユースケースですが、安定したグローバルなユーザーごとの識別子が必要になることはありません。サードパーティのコンテキストでは、PST を使用してユーザーを信頼できるセットと信頼できないセットに分割できます。
  • 広告詐欺の分析: PST は、広告テクノロジー サービスにおける不正なクリック、インプレッション、ボット スキームの分析に役立ちます。
  • bot の検出: ブラウザが bot かどうかを分析した後、PST を使用してその情報をエンコードし、コンテキスト間で共有できます。
  • 安全な支払い: 情報に制限のあるサードパーティのコンテキストで特定が難しい脅威(カード詐欺など)を検出するには、信頼を伝える追加のシグナルとして PST を使用できます。
  • e コマースの不正行為防止サービス: ページのスクレイピングや人間以外の操作を回避するには、e コマースでの操作(クリック、購入手続き、購入、商品の評価、チャット bot、返品)で bot を検出することが非常に重要です。これは、e コマース プラットフォームのサードパーティの不正行為防止プロバイダの自動エージェントを検出するための重要な追加シグナルとなります。
  • CDN サービス: PST は、不正なトラフィックの報告と検出を支援するメカニズムを提供します。

このユースケースのリストは、非公開状態トークンからメリットが得られる不正行為防止機能のすべてを網羅したものではありません。また、このリストは相互に排他的なものではなく、PST は複数の不正行為防止ワークフローにメリットをもたらす可能性があります。

ユーザー ジャーニー

発行と償還は、プライベート ステート トークンの重要なコンポーネントです。上記のユースケースは、PST がサポートされる主な領域ですが、特定のユーザー ジャーニーで、実際にトークンを発行または利用する必要があるのは次のタイミングです。

  • アカウント管理フロー(ログイン、登録、パスワードのリセットなど)でトークンを発行する
  • 多要素認証(MFA)を確認した後にトークンを発行する
  • 支払い履歴の削除などの高リスクな操作後にトークンを発行する
  • リスクが中程度の操作の前に、トークンを利用するクロスサイト確認
  • リスクの高いアクションの前にクロスサイト確認を行うためのトークンを利用する

e プライバシー法の遵守

プライベート ステート トークンの発行には、ユーザーの端末機器への情報の保存が伴うため、欧州経済領域(EEA)と英国の e プライバシー法の対象となるアクティビティであり、通常はユーザーの同意が必要です。発行元は、ユーザーが明示的にリクエストしたオンライン サービスを提供するために Private State Tokens API の使用が厳密に必要であり、同意要件の免除対象となるかどうかを判断する責任があります。詳しくは、プライバシー サンドボックスのプライバシー関連のコンプライアンスに関するよくある質問をご覧ください。

意見交換とフィードバックの提供

補足説明