米グーグルは2016年4月15日、Chromeの拡張機能を提供するChrome Web Storeのユーザーデータポリシーを更新した(Chromium Blog)。
拡張機能の主要機能と関連なく、Chromeがアクセスした全URL情報などの「Web行動履歴」を収集するのを禁じるほか、ユーザーデータの扱いに透明性を求める内容だ。2016年7月15日以降、ポリシーに従わない拡張機能はChrome Web Storeから削除される。
PCブラウザーにおける2016年1~3月のアクセスシェアは、Chromeが世界で61%、日本でも39%で、いずれも首位である(StatCounter調べ)。Chrome拡張機能のポリシー変更により、マルウエアやアドウエアに近い挙動を示す拡張機能が排除されるほか、透明性の乏しい形で拡張機能からWeb行動履歴を収集していたWeb解析サービス企業も大きな影響を受けそうだ。
一方、グーグル自身が手掛けるWeb解析サービス「Google Analytics」のビジネスには有利に働く可能性がある。拡張機能を使わず、CookieベースでWeb閲覧履歴を収集するアドネットワークなどへの影響はない。
データ収集には明示的な同意を求める
新たなユーザーデータポリシーでは、拡張機能の主要機能と関連のない個人データやセンシティブ情報を収集する際には、ユーザーに事実を開示し、安全に管理し、扱いについてユーザーの明示的な同意を取ることを開発者に求める。
このユーザーデータには、個人を特定可能な情報(personally identifiable information)、金融・決済情報、認証情報、Webサイトのコンテンツ、そしてWeb行動履歴が含まれる。
第三者とユーザーデータを共有する場合は、どのような組織と共有するかをプライバシーポリシーに明記する。
Web行動履歴については、ユーザーが実際に利用する機能にとって必要のないデータの収集は禁止される。収集したWeb行動履歴を、ターゲティング広告やその他収益化に使う事も許されない。
Web行動履歴の収益化ビジネスにダメージ
この規定によるビジネスへの影響が大きいと思われるのが、Chromeの拡張機能を通じ、ユーザーの明示的な同意なしにWeb行動履歴を収集していた企業だ。
例えばマウスによるブラウザー操作や画面キャプチャなど、Web行動履歴の収集を主要機能として掲げていないChrome拡張機能を通じ、行動履歴データを収集することはできなくなる。
影響を受けるとみられる企業の1社が、イスラエルを拠点とするWeb/アプリ解析サービスのシミラーウェブである。同社は、ブラウザーの拡張機能を提供する個人や企業からWeb行動履歴を購入し、統計データや生データを販売している(関連記事:「どんなサイトも丸裸に」、SimilarWebの手法はありなのか)。この第三者提供に当たって、提供先を開示した上での明示的な同意は得ていない。
シミラーウェブは本誌の取材に対し、今回のポリシー変更の影響や対応について「我々はグーグルのポリシー変更を認識しており、我々のデータプライバシーとコンプライアンスのプログラムの一環として、Chromeのポリシーには従う」としつつ、「我々は、複数のISP(インターネットサービスプロバイダー)や、数十万種のサイトやアプリなど、多くのソースからデータを収集している。Chrome拡張機能は、我々が多く持つデータソースの一つに過ぎない」と回答した。
