インターネットユーザーの多くは、ウェブ上の行動をトラッキングするCookieは知っていても、デバイス・フィンガープリンティング（デバイスからの指紋採取）については、あまり理解していません。多くのメディアも、その広がりを軽視しているようです。

デバイス・フィンガープリンティングでは、ウェブサイト上でユーザーを追跡するソフトウェアが用いられます。これにより、ユーザーが使用しているデバイスのメーカー、モデル、OS、ブラウザー、デバイスにインストールされたソフトウェアの情報まで収集できてしまいます。これらの情報は、ユーザーのデバイスに記憶された指紋をインターネット上で識別するために使われます。 

Cookieに関しては、ユーザーが自分で削除することができ、ウェブサイトがCookieを使用する場合はユーザーに通知して許可を得なければなりません。しかし、フィンガープリンティングにはこうした仕組みがないため、Cookieによるトラッキングが少なくなるにつれて、フィンガープリンティングがより一般的になりつつあるのです。

最近 、The New York Timesでこの問題が取り上げられました。この手法を用いているウェブサイトは全体の5%にも満たないと書かれていましたが、この記事は実際の影響力を矮小化しているように思えます。

フィンガープリンティングにおける最大の懸念点は、95%を超える精度でユーザーが特定されることです。指紋を識別すれば、個人を明確に特定できてしまいます。指紋から収集されたユーザー情報と、インターネット利用履歴やブラウザの閲覧履歴を合わせると、ユーザーの好み、行動のほか、生活環境までもが完全に把握できてしまいます。さらに、デバイスとその所有者もすぐに特定されてしまいます。

The New York Timesで紹介されたMozillaによる研究では、人気ウェブサイトのうち3.5%が、指紋を使ってユーザーをトラッキングしていることがわかりました。一見、ごく少数のサイトのみがフィンガープリンティングを利用しているように思えるかもしれません。

しかし、このウェブ・トラフィックの大半は人気ウェブサイトに行っています。そのため、ここで見るべき数字は、実際どれだけの人が、インターネット上で収集された情報により特定されているかです。   

プリンストン大学の研究によると、人気ウェブサイトの上位1,000件のうち60%以上が第三者と情報を共有していることが判明しました。さらに、それらの第三者の多くが、ウェブサイトを訪問した人のプロフィールや指紋データを作成し、広告主やデータ会社に販売しているのです。これにより、96.5%のウェブサイトが、自らはフィンガープリンティングのトラッキングツールは使っていないものの、第三者のデジタルの指紋データにはアクセスしている、ということになります。

厄介なことに、一般ユーザーは、ウェブサイトがフィンガープリンティングを行っているか把握することができません。フィンガープリンティングのスクリプトは、ウェブサイトで動作している他のスクリプトとまったく同じに見えるからです。スクリプトは、ウェブサイトのバックグラウンドで動作し、動画や写真の表示などの一般的な機能のために使用される一方、ユーザーデータの収集など不正な目的にも使用される場合があります。 

企業は収集した情報をどのように利用しているのでしょう。ほとんどはこれらのデータを使って広告を表示したり、ユーザーに応じてオンライン体験をカスタマイズしたりしています。 

しかし、一部の企業ではオンラインデータを使って、消費者であるあなたに不当な影響を与える可能性があります。いくつか例を挙げましょう。 

あなたは、胸の痛みについてインターネットで検索しているとしましょう。あなたが利用したウェブサイトは、その検索履歴を収集し、健康保険会社にデータを販売します。 健康保険会社はあなたに心臓病の可能性があると推測して、保険料を値上げします。

あるいは、あなたが位置情報を共有しているとしましょう。あなたが裕福な地域に住んでいると分かったある企業は、あなたがオンラインで購入した商品に対してより高額な代金を請求します。この人なら、それくらいの金額を払えるだろうと推測したためです。

フィンガープリンティングに関するユーザーへの透明性は、完全に欠如しています。自分の情報が、誰によって、どのような目的で収集されているか、そして、どういった企業が自分の情報を保有しているかもわからないのです。

ユーザーを守るための規制が不足している点も問題です。自分の情報を共有していいのか、あるいは情報を保持している会社のシステムから削除した方がいいのか、判断するのは容易ではありません。

プライバシーの観点で懸念のあるFacebookのようなサイトでも、ユーザーが希望をすれば自分の情報をダウンロードして、プロフィールの変更・消去が可能です。それに対して大多数のウェブサイトでは、ユーザーは自分の情報が収集されることをコントロールすることができません。 

デバイスは、情報とコミュニケーションの入口であると同時に、健康やお金などのセンシティブな情報を管理する手段ともなった現代社会では、企業がトラッキングに対して責任を持つ必要があります。GDPR（EU一般データ保護規則）のような規制は、特にCookieベースのトラッキングにおいて、インターネット上で個人が特定できるような情報を保護するために策定されました。

ところが、フィンガープリンティングはこうした規制の影響を受けることなく自由なトラッキングを行っているのです。この手法は、デバイスはユーザーの行動を表している、というシンプルな仮定に基づいています。

デジタル・フィンガープリンティングの最も怖い点は、一度オンラインプロフィールが作成されてサイバー空間に流出すると、パスワードの変更やブラウザー履歴の削除などの対策を講じてもほとんど効果がないことです。個人情報の漏えいを阻止するためには、何百ものデータブローカーに自分のデータを削除するよう定期的に要求しなければならず、漏洩の防止はもはや不可能にも思えます。

また、トラッキングを制限するポリシーや法律が制定されても、それらを搔い潜る企業も出てくるでしょう。だからこそユーザーは、この「監視経済」から自分を守る必要があるのです。 

それでは、私たちは何をするべきなのでしょう？

ほとんどのウェブサイトがユーザーをトラッキングしていると考えたうえで、それに基づいた対策を取ることをおすすめします。

アンチトラッキングの製品をインストールして、安全を確保することができます。優れた製品がいくつもある中で、アバストはアンチトラック製品のほか、プライバシー保護に特化したアバストセキュアブラウザも提供しています。

アバストのアンチトラックは、ウェブサイトの表示が崩れるスクリプトをブロックするのではなく、偽データを挿入する方法で機能します。スクリプトを動作させたまま、個人情報が収集・利用されるのを防ぐのです。これによって、フィンガープリンティングは無効になります。またアンチトラックは、デバイスやブラウザーの種類を問わず利用できます。

現実世界で、自分の一挙一動を見知らぬ誰かが記録しているとしたら、耐えられませんよね。それは、オンラインでも同じです。トラッキングされないよう、対策しましょう。

この記事は2019年8月22日に公開されたDevice fingerprinting and the surveillance economyの抄訳です。