高木浩光氏による行動トラッキングの歴史と境界線についての備忘録

後ほどご本人による簡潔なまとめ記事ができると思います。 備忘録の備忘録代わりのまとめです。
インターネット プライバシー セキュリティ Android 高木浩光 AppLog
81
Hiromitsu Takagi @HiromitsuTakagi
AppLogの件、本人同意が不完全なままの場合の被害者は、その本人というだけでなく、履歴を取られる他のアプリ達の開発・提供元も被害者となるという視点が重要ではないか。これはアドネットワークがどこまで収集しているかの件と付合する。
Hiromitsu Takagi @HiromitsuTakagi
広告によるトラッキングが嫌ならそのような広告の貼られたサイトに行かないという行動を生むわけで、広告を貼っているサイトはそれを覚悟でやっているわけだ。それが、アドネットワークに参加していなくても閲覧履歴を取られるようになれば、そういうサイトまで敬遠されてしまいかねない。
Hiromitsu Takagi @HiromitsuTakagi
楽天ad4Uが直感的に(脆弱性を突く云々のことに気づかなくても)嫌われた背景には、そうしたことが広告技術業界関係者の認識にあったのではないか。
Hiromitsu Takagi @HiromitsuTakagi
もっと単純に言えば、そうした無分別な履歴抜きが横行すれば、OSやインターネットのプラットフォーム全体の信頼を損ねるという話であるわけだが、アドネットワーク方式の行動ターゲティングがオプトアウトで許されてきたのは、広告を受け入れたサイトがその信頼を自ら捨てて収益にしていると言える。
Hiromitsu Takagi @HiromitsuTakagi
そのようなOSやインターネットのプラットフォーム全体の信頼というものは、まさに、不正指令電磁的記録の罪の保護法益である「電子計算機のプログラムに対する社会一般の信頼」というものと符合する。
Hiromitsu Takagi @HiromitsuTakagi
具体的に言えば、病気に関するサイトなど、履歴を広告会社に取られているとなれば敬遠する人もいるだろう。そうするとそういうサービスが成り立たなくなる。同様に、アプリにおいても、AppLogのような不完全同意による履歴抜きが横行すれば、医療アプリが敬遠されるということになりかねない。
Hiromitsu Takagi @HiromitsuTakagi
アリとナシの境界線について、思い付きレベルでツイート。後でまとめる用。
Hiromitsu Takagi @HiromitsuTakagi
1994年Webが初期普及。95年JavaとJava Appletが登場。96年ごろアプレットで面白いもの(目新しいネットアプリ)を作るのが流行。その一つに、Webブラウザでどこを見ているかを人と共有するというアイデアが出た。(ミログのFriendAppに相当。)
Hiromitsu Takagi @HiromitsuTakagi
2: しかしその実現方法は、単純にアプレットでは実現できず、ブラウザの履歴や現在のURLを取得する方法についての質問がJava House MLに来ていたと記憶(98年ごろまでの傾向)。
Hiromitsu Takagi @HiromitsuTakagi
3: 結局実現するには、アプレットにリンクを載せて、そこ経由で開いたものについて共有するという方法しかなかった。これは本人が望んでそういうアプリを使っているのだからアリ。
Hiromitsu Takagi @HiromitsuTakagi
4: 専用アプレットを使わなくても自然に履歴を共有できるようにしたいという人はいたが、それを妨げたのは、今日で言うWebのsame origin policyであり、当時はその用語はまだなく、JavaとJavaScriptによって1995年から1996年にかけて確立していった。
Hiromitsu Takagi @HiromitsuTakagi
5: 一方、90年代後半、ITを用いたCRMの発想が流行。Amazonが登場する。
Hiromitsu Takagi @HiromitsuTakagi
6: 99年、IntelがPentium IIIでPSN(プロセッサシリアルナンバー)を発表。ボイコット運動に発展。インテルはPSN活用の構想を断念、中止する。同年、一方日本では、iモードが登場、IDは公式サイトに限定。数か月遅れでauがIDを無差別送信。
Hiromitsu Takagi @HiromitsuTakagi
7: 2000年、IDOのX-UP-SUBNOに電話番号が掲載されていることが発覚。IDOの広報は「電話番号をもって個人を特定することはできないので、特に対処はしていなかった」とコメント、非難を浴びる。その後、ランダムっぽいIDに変更され、それで決着ということになってしまった。
Hiromitsu Takagi @HiromitsuTakagi
8: この時点で、インテルPSN問題と同じ根拠で日本でもauボイコット運動を起こすべきだったが、誰もせず。私も2002年に至るまで理解できず。
Hiromitsu Takagi @HiromitsuTakagi
9: 97年ごろ、DoubleClickがDART (namic Advertising Reporting & Targeting) を開始。cookieの3rd-party利用という発明。これに対し、英語圏のネット識者(誰かは未確認)が「おまえ何てことするんだ」と言ったとか。
Hiromitsu Takagi @HiromitsuTakagi
10: 第三者cookieを用いたアドネットワークが複数社現れ普及。2000年、DoubleClick他に対し米国で集団訴訟勃発。FTCが調査したが2001年に打ち切り。EUでもcookieが問題にされ始める。
Hiromitsu Takagi @HiromitsuTakagi
11: 2002年DoubleClick訴訟が和解。和解条件は、ネットで収集した履歴情報をリアルで収集した個人特定情報と紐付けしないこと。する場合は事前に明確に通知して同意を得ること。分かりやすい説明をプライバシーポリシーに掲げること。など。
Hiromitsu Takagi @HiromitsuTakagi
12: この訴訟の過程で、アドネットワークにオプトアウト機能が搭載されるようになっていった。2001年ごろからか。一方、日本ではそういった議論さえ存在せず、日本で同様に導入されたアドネットワークに対して文句を言う人(言える力のある人、団体)は存在しなかった。
Hiromitsu Takagi @HiromitsuTakagi
13: 第三者クッキーを用いたアドネットワークによる履歴収集が、オプトアウトで許される(オプトインでなければならないとまでは言われない)理由は、履歴収集ができるといっても、そのアドネットワークが張り巡らされた、つまりそこの広告が出ているサイトへの訪問の履歴に限られているため。
Hiromitsu Takagi @HiromitsuTakagi
14: そのころP3P規格が策定され、2001年のIE6に搭載される。第三者cookieについては、HTTPレスポンスヘッダにポリシーを記述して、リアルの個人特定情報と結合しないといったポリシーがあれば第三者cookieを自動で受け入れるというもの。他のブラウザには普及せず。
Hiromitsu Takagi @HiromitsuTakagi
15: 一方日本では、誰も真面目にP3Pポリシーを書かなかった。IEで動かないという理由で、意味も分からずP3Pヘッダを書くという始末。嘘のP3Pヘッダに対し、米国ならFTCが調査の対象となるが、日本の行政機関にはそこに手を出す担当部局が存在せず。
Hiromitsu Takagi @HiromitsuTakagi
16: 2000年、HTMLメールによるWebビーコン(Webバグ)が問題視され始める。問題点は2つ。広告業者による追跡と、悪意あるスパム業者に有効なメールアドレスを特定されること。前者は第三者cookieの問題より小さく、あまり取沙汰されず。後者の問題の解決のため、メール…
Hiromitsu Takagi @HiromitsuTakagi
16-2: …メールソフトベンダが、HTMLメール中の画像をデフォルトでは表示しない策を打つ。(2004年ごろ?)
Hiromitsu Takagi @HiromitsuTakagi
17: 2003年、Googleアドセンス登場。プライバシー問題にならず。なぜなら、第三者cookieを用いず第一者cookieにより管理し、広告の貼られたページのコンテンツに合わせて広告をターゲティングするため。JavaScriptを第三者オリジンからインクルードの応用発明。
残りを読む(64)
ログインして広告を非表示にする
ログインして広告を非表示にする