アドプライバシーQ&A

Privacy Sandbox Measurement API群の技術連携：Attribution Reporting, Aggregation, Shared Storageの役割と実装

Privacy Sandbox Measurement API群の技術連携：Attribution Reporting, Aggregation, Shared Storageの役割と実装

Privacy Sandboxイニシアチブの進展に伴い、広告計測やデータ活用に関する技術的な手法は大きく変化しています。特に、ユーザー識別子に依存しないプライバシー保護を前提とした計測フレームワークとして、複数のAPIが提案され、実装が進められています。これらのAPI、例えばAttribution Reporting API、Private Aggregation API、そしてShared Storage APIは、それぞれ異なる役割を持ちながらも、相互に連携することで従来の計測課題を解決しようとしています。

本記事では、Privacy Sandboxにおける主要なMeasurement API群に焦点を当て、それぞれの技術仕様、役割、そしてそれらがどのように連携して機能するのかを技術的な側面から詳細に解説します。また、これらのAPIを実務で活用する際に考慮すべき実装上の注意点や、関連する法規制への対応についても考察します。

Privacy Sandbox Measurement API群の概要と目的

Privacy Sandboxは、ウェブ上でのクロスサイトトラッキングを制限しつつ、デジタル広告やコンテンツ測定といったユースケースをプライバシー保護的に実現するためのGoogle Chromeを中心とした取り組みです。Measurement API群は、この取り組みの中で「計測」と「レポート」の機能を担う中核的な要素です。

従来の計測手法は、サードパーティCookieのようなクロスサイトでユーザーを識別可能な技術に大きく依存していました。しかし、プライバシー規制の強化やブラウザによるサードパーティCookieのサポート廃止といった動きにより、これらの手法は持続可能性を失いつつあります。Measurement API群は、個々のユーザーを特定することなく、集計された形やノイズが付加された形で計測データを提供することで、この課題を解決することを目指しています。

主要なMeasurement API群には、以下のものが含まれます。

• Attribution Reporting API (ARA): 広告のクリックや表示（ソースイベント）が、後続のコンバージョン（トリガーイベント）にどの程度貢献したかを計測するためのAPIです。クロスサイトコンバージョン計測の代替となります。
• Private Aggregation API: ブラウザ内で生成されたプライベートなデータ（例えば、Protected Audience APIのオークション結果やShared Storage内のデータ）を集計し、集計サービスを通じて集計レポート（サマリーレポート）を作成するためのAPIです。差分プライバシーの概念を取り入れています。
• Shared Storage API: セキュアな環境（ワークレット）内でクロスサイトの非識別データにアクセスし、集計やレポーティング、コンテンツ選択などに利用するためのAPIです。Cookieのようにキー/バリュー形式でデータを保存できますが、直接的な読み出しには制限があります。

これらのAPIは単独で機能するだけでなく、互いに連携することでより複雑な計測やデータ活用シナリオを可能にします。

各APIの役割と技術仕様詳細

Attribution Reporting API (ARA)

ARAは、広告アトリビューション、すなわちユーザーが特定の広告（表示またはクリック）に接触した後で発生したコンバージョンを計測するフレームワークです。

• 仕組み:
  • 広告が表示またはクリックされた際に、attributionsrc属性付きの要素やregisterAttributionSource() JavaScript関数を用いて、ソースイベントを登録します。これには、ソースID（広告キャンペーンIDなど）やコンバージョン側に渡すためのメタデータ（集計キーの一部となる情報など）が含まれます。
  • ユーザーがコンバージョン（例：商品購入、会員登録）を完了した際に、attributionsrc属性付き要素やregisterAttributionTrigger() JavaScript関数を用いて、トリガーイベントを登録します。これには、トリガーID（コンバージョンタイプなど）やレポートに含めるべき値（コンバージョン金額など）が含まれます。
  • ブラウザは、登録されたソースイベントとトリガーイベントを内部でマッチングします。マッチングルールは、ソース登録時に設定されたアトリビューションロジック（例：ラストクリック、特定のウィンドウ期間）に基づきます。
• レポートタイプ:
  • イベントレベルレポート: 特定のソースイベント（広告クリック/表示）とトリガーイベント（コンバージョン）が紐付けられたことを、限られた情報量（例：クリックIDとコンバージョンタイプ）でレポートします。プライバシー保護のため、ノイズが付加されたり、特定の条件下でのみ送信されたりします。
  • 集計可能レポート: より詳細なコンバージョン値などを計測するために使用されます。ブラウザ内で設定された集計キーとコンバージョン値のペアが生成され、暗号化されて集計サービス（Aggregation Service）に送信されます。集計サービスは、複数のユーザーからの集計可能レポートを復号・集計し、差分プライバシーを適用したサマリーレポートを作成します。
• プライバシー機能: ブラウザ内でのソース・トリガーマッチング、レポート送信の遅延とランダム化、データに付加されるノイズ、レポートの情報量制限などにより、個人の追跡を防ぎます。

Private Aggregation API

Private Aggregation APIは、ブラウザ内のプライベートなデータソースから集計レポートを作成するための汎用的なAPIです。このAPI自体はデータを収集するのではなく、集計サービスへのデータ送信を仲介します。

• 仕組み:
  • runAdAuction()（Protected Audience API）やShared Storageワークレットといった、プライバシー保護された実行環境内で呼び出されます。
  • 呼び出し元は、集計したいデータの「集計キー」（レポートのディメンションに相当）と「集計値」（レポートのメトリクスに相当）を指定します。
  • ブラウザは、指定された集計キーと集計値を含む集計可能レポートを生成し、暗号化して集計サービスに送信します。
  • 集計サービスは、多数のユーザーから送られてきた暗号化されたレポートを復号し、同じ集計キーを持つレポートの集計値合計を計算します。最後に差分プライバシーノイズを加えてサマリーレポートとして出力します。
• ユースケース: Protected Audience APIにおける広告オークションの勝率レポート、オークション参加者の属性レポート、Shared Storageに保存されたデータ（例：フリークエンシーカウント）の集計などが挙げられます。
• プライバシー機能: 集計レポートの暗号化、集計サービスによる集計処理、差分プライバシーノイズの付加により、個人のデータが特定されることを防ぎます。集計サービスは、信頼実行環境（TEE）内で動作することが想定されています。

Shared Storage API

Shared Storage APIは、クロスサイトでセキュアにデータを保存・アクセスするためのAPIです。サードパーティCookieのようにキー/バリュー形式でデータを保存できますが、そのデータに直接アクセスできるのは、ブラウザが提供する限定的な実行環境である「ワークレット」内からのみです。

• 仕組み:
  • データを保存する際は、SharedStorage.set()などの標準的なJavaScript関数を使用します。これは任意のJavaScript環境から可能です。
  • 保存されたデータを読み出したり、それに基づいて何らかの処理を行ったりする場合は、専用のワークレットスクリプト内で実行する必要があります。ワークレットはネットワークアクセスなどが制限された隔離環境です。
  • ワークレット内では、SharedStorage.get()で保存されたデータを読み出したり、そのデータを使ってPrivate Aggregation APIを呼び出したり、Fenced Frameに表示するコンテンツを選択したりすることができます。
• ユースケース: フリークエンシーキャップの適用（クロスサイトでの広告表示回数カウント）、K値（広告接触からコンバージョンに至るまでの日数など）の集計、カスタムオーディエンスの選定、A/Bテストへのユーザー割り当てなどが考えられます。
• プライバシー機能: ワークレットの外からは保存されたデータに直接アクセスできないようにすることで、データの不正な読み出しやユーザー追跡への利用を防ぎます。データの集計や利用は、プライバシー保護的なAPI（Private Aggregation APIなど）を通じてのみ行われます。

Measurement API群の連携とデータフロー

これらのAPIは、単一の計測または活用シナリオにおいて、役割分担しながら連携します。最も一般的な連携パターンは以下の通りです。

1. アトリビューションデータの集計:

   • Attribution Reporting APIが、ソースイベントとトリガーイベントのマッチング結果から「集計可能レポート」を生成します。
   • 生成された集計可能レポートは、ブラウザによって暗号化され、指定された集計サービスに送信されます。
   • 集計サービスは、複数のユーザーからのレポートを集約し、Private Aggregation APIの集計処理ロジック（集計キーによるグループ化、値の合計など）に基づいて処理を行います。
   • 最終的に、差分プライバシーノイズが付加されたサマリーレポートが集計サービスから出力され、レポート収集サーバーが取得します。
   • このシナリオでは、ARAが「コンバージョンが発生した」というイベントを捕捉し、その詳細（集計キーと値）をPrivate Aggregation API/集計サービスに渡す役割を担います。

2. Shared Storageデータの集計/活用:

   • ウェブサイトがShared Storageに特定のデータを保存します（例：ユーザーの最後に見た商品ID、特定のイベント発生フラグ）。
   • 別のウェブサイトや同じサイトの異なるコンテキスト（例：広告表示時）で、Shared Storageワークレットを実行します。
   • ワークレット内でShared Storageからデータを読み出します。
   • 読み出したデータに基づき、以下のいずれかの処理を行います。
     • Private Aggregation APIとの連携: データ（例：保存されたフリークエンシーカウント）を集計キー/値としてPrivate Aggregation APIを呼び出し、集計レポートを作成します。これはShared Storageに保存されたデータの分布や合計をプライバシー保護的に把握するのに役立ちます。
     • コンテンツ選択: 読み出したデータに基づいて、表示するコンテンツ（例：広告クリエイティブ、商品の推奨）を選択します。この選択結果は、Fenced Frameを通じて表示されることがあります。
   • このシナリオでは、Shared Storageがクロスサイトでのデータ共有基盤となり、ワークレットが集計や活用ロジックを実行する環境を提供し、Private Aggregation APIが集計処理を担います。

3. Protected Audience APIとの連携:

   • Protected Audience APIのオークションプロセス中に、買い手や売り手のワークレット内からShared Storageにアクセスして、オークション関連データ（例：フリークエンシーキャップ情報、予算情報）を参照できます。
   • オークション結果（例：広告の落札）に関するレポート（ビディングレポート、オークション結果レポート）の中で、Private Aggregation APIを使用してオークション関連データを集計レポートとして送信できます。
   • このシナリオでは、Protected Audience APIが広告オークションを実行し、Shared Storageが補足データを提供し、Private Aggregation APIがオークション結果の集計レポート作成を支援します。

これらの連携により、従来のサードパーティCookieでは容易だった複雑な計測やデータ活用が、プライバシーを保護しながらも限定的に、かつ集計された形やノイズを含む形で実現されます。

実装上の注意点と考慮事項

Privacy Sandbox Measurement API群の実装は、従来のトラッキングコードの設置とは異なる多くの技術的な考慮事項を伴います。

• 非同期性と遅延: レポート送信は即時ではなく、ブラウザによって遅延され、かつランダムなタイミングで行われます。これはレポートのリアルタイム性や鮮度に影響を与えます。
• レポートの制限とノイズ: イベントレベルレポートの情報量は制限されており、集計可能レポートには差分プライバシーノイズが付加されます。これにより、データ分析の精度や粒度が従来の手法と比較して低下する可能性があります。レポートの解釈には統計的な考慮が必要です。
• 集計サービス: Private Aggregation APIを利用する場合、集計サービスの設定、運用、およびコストが発生します。集計サービスは、レポートの復号と集計を行うために必要であり、現在はGoogleが提供するサービスなどが利用可能です。
• ワークレットの制限: Shared Storageワークレット内は実行環境が制限されています。ネットワークアクセスができない、DOMにアクセスできないなど、通常のJavaScript実行環境とは異なる制約があります。ロジックの実装にはこれらの制限を考慮する必要があります。
• デバッグ: ブラウザのDevToolsにはPrivacy Sandbox関連のデバッグ機能（Applicationタブ内のStorage＞Shared Storageや、NetworkタブでのReport送信確認など）が提供されていますが、非同期性やブラウザ内部処理の複雑さから、従来のデバッグと比較して難易度が高い場合があります。
• 同意管理との連携: これらのAPIはユーザー識別子に依存しませんが、法的な観点から、APIの利用（特にデータの収集・利用とみなされる行為）にはユーザー同意が必要となる場合があります。特に、広告計測やデータ活用目的でのAPI利用は、多くのプライバシー規制下で同意の取得が推奨または必須とされます。CMPとの連携により、APIの呼び出し自体をユーザーの同意状態に基づいて制御する必要があります。
• 移行戦略: 既存の計測システムやレポート基盤との連携をどのように行うか、従来のデータとの比較分析をどう実施するかといった移行戦略を慎密に計画する必要があります。段階的な導入や、ファーストパーティデータとの組み合わせによる補完も考慮に入れる必要があります。

法規制との関連性

Privacy Sandbox API群は、サードパーティCookieに代わるプライバシー保護技術として設計されています。これにより、GDPRやCCPA/CPRAといったデータプライバシー規制における「ユーザー追跡」や「個人情報処理」に関するリスクを低減することが期待されます。

しかし、これらのAPIを利用すれば無条件にすべての法規制要件を満たすわけではありません。例えば、Attribution Reporting APIのイベントレベルレポートのように、限定的ではあっても特定のイベント情報がユーザーのブラウザから送信される場合、これが法域によっては個人データまたはそれに類する情報とみなされる可能性があります。また、集計レポートであっても、特定の粒度や組み合わせによっては、法的な観点から個人データとみなされるリスクがないか、専門家による評価が必要です。

最も重要な点は、これらのAPIの利用自体にユーザーの同意が必要となる可能性が高いことです。特に、広告目的での計測やデータ活用は、GDPRにおける同意の取得要件に該当するケースが多くあります。したがって、CMPを通じてユーザーから適切な同意を取得し、その同意に基づいてAPIの利用を制御する仕組みを構築することが不可欠です。

法規制の解釈や技術的な実装への適用は常に変化するため、最新の規制動向とAPI仕様を継続的に監視し、必要に応じて法務専門家と連携することが推奨されます。

将来展望

Privacy SandboxイニシアチブおよびMeasurement API群は依然として進化の途上にあります。APIの仕様はW3Cの標準化プロセスを経て変更される可能性があり、ブラウザの実装もアップデートが続けられています。

今後、新たなMeasurement APIが提案されたり、既存APIに機能が追加されたりすることも考えられます。例えば、オフラインコンバージョンの計測をサポートする技術や、より詳細な分析を可能にするプライバシー保護技術などが議論されています。

エコシステム全体としても、広告テクノロジーベンダーや広告主、パブリッシャーがこれらの新しいAPIへの対応を進めることで、Measurement API群を活用した広告計測やデータ活用のベストプラクティスが確立されていくと予想されます。技術者としては、これらの変化に迅速に対応し、新しいフレームワーク下での最適なソリューション構築を目指すことが求められます。

まとめ

Privacy Sandbox Measurement API群（Attribution Reporting API, Private Aggregation API, Shared Storage API）は、サードパーティCookie廃止後の広告計測とデータ活用のための重要な技術基盤です。これらのAPIは、それぞれ異なる役割を持ちながらも相互に連携し、プライバシーを保護しつつ必要な計測機能を提供することを目指しています。

Attribution Reporting APIはコンバージョンアトリビューションを、Private Aggregation APIはプライベートなデータの集計を、Shared Storage APIはクロスサイトでのセキュアなデータ保存・活用を担います。これらのAPIを組み合わせることで、従来の個別ユーザー追跡に依存しない、新しい計測ワークフローが構築されます。

実装においては、APIの非同期性、レポートの制限とノイズ、集計サービスの利用、ワークレットの制約といった技術的な考慮が必要です。また、法規制遵守のためには、ユーザー同意の取得と管理、およびAPI利用の法的評価が不可欠です。

Privacy Sandboxは進化し続ける領域であり、技術者としては最新の仕様やエコシステムの動向を常に把握し、新しい計測フレームワークに効果的に対応していくことが求められます。本記事が、Privacy Sandbox Measurement API群の理解と、その技術的な実装および法規制対応の一助となれば幸いです。