W3C TAGの草案、「サードパーティ Cookie は必ず Web から削除されるべき」

 (w3ctag.github.io)
4 ポイント 投稿者 GN⁺ 2025-05-03 | 1件のコメント | WhatsAppで共有
  • サードパーティ(第三者、Third Party)Cookie は個人のプライバシーを深刻に侵害する技術と見なされており、Web プラットフォームから削除されるべき
  • プライバシー中心の Web 設計原則に基づき、複数のブラウザーがサードパーティ Cookie のブロックを導入しており、すべてのブラウザーがこれに参加すべき
  • 既存の Cookie ベースのログイン、認証、広告トラッキングなどの有用な機能は、新しい目的指向の技術で置き換えるべき
  • 代替技術は個別に、そして Web エコシステム全体の中での相互作用まで考慮して評価することが不可欠
  • Web 標準はプライバシーを強化しつつ、特定のビジネスモデルに従属しないよう中立性を維持すべき

Third Party Cookies Must Be Removed

  • サードパーティ Cookieは Web ユーザーの情報をサイトをまたいで追跡し、プライバシー侵害の要因として機能する
  • この文書は、サードパーティ Cookie 削除の正当性と代替技術の必要性を説明する W3C Technical Architecture Group (TAG) の合意文書

1. Introduction

  • Web プライバシーは中核的な設計原則であり、さまざまな文書やツールを通じてこれを確保しようとしている
  • 一部のブラウザーはすでにサードパーティ Cookie をブロックしているが、すべてのブラウザーによる一貫した対応が必要
  • 削除は簡単ではなく、既存機能を維持するための技術的な考慮が必要

2. Why remove third party cookies?

  • Cookie はもともとサイト訪問者を認識する用途で設計されたが、その後 追跡、広告、不正防止など多様な用途へと拡張された
  • サードパーティ Cookie は追跡ネットワークの中核技術であり、ユーザーに気づかれないままデータを収集・共有する
  • このような中央集権化は、イノベーションの阻害や説明責任の回避という問題を引き起こしうる
  • プライバシー侵害は、表現の自由、コミュニティの健全性、ユーザーの制御力の低下とも関連している

3. Use cases previously met by third-party cookies

  • ログイン、シングルサインオン、クロスサイトなリソースアクセスの認可、不正検知などは現在サードパーティ Cookie に依存している
  • 広告の測定とターゲティングも同様であり、代替技術がこれらの要件を満たす必要がある
  • 新しい API は組み合わせると追跡可能性を持ちうるため、慎重な設計と監視が必要

4. Leaving the web better than we found it

  • 新しい技術提案はプライバシーを損なわないことを明確に証明しなければならない
  • 特にプロファイリング、ユーザー認識、文脈をまたいだデータ共有に関連する提案は、独立したレビューが推奨される
  • ブラウザーとサイトは、こうした改善を回避または弱体化させる行為をしてはならない
  • Web エコシステムはビジネスモデルに対して中立であるべきであり、特定の収益モデルを構造的に組み込むべきではない
  • 結論として、既存の監視技術を維持するための新たな手段とならないよう、慎重に代替技術を導入する必要がある

関連記事

1件のコメント

 
GN⁺ 2025-05-03
Hacker Newsの意見

  • この記事は非常に奇妙な印象を与え、W3Cの作業プロセスの一部なのか疑問に思う

    • 第2章: サードパーティCookieが悪化したことを指摘している
    • 第3章: サードパーティCookieには正当なユースケースがあり、新しい技術が組み合わされることでユーザー追跡に使われる可能性があると警告している
    • 第4章: 新しいWebプラットフォーム技術がサードパーティCookieの問題を悪化させる可能性があるため、これを早急に解決すべきだと主張している
    • W3Cの文化的文脈をよく知らないので、この文書は後で整理される草案なのではないかと推測している

  • 「代替技術」はすでに策定中であり、これはサードパーティCookieに追加されることになる

    • Googleの調査によれば、サードパーティCookieの削除は収益を減少させ、「プライバシー保護」追跡は収益を増加させる
    • したがって、両方の方法が使われることになる

  • サードパーティCookieの正当なユースケースは、複数のドメインにまたがる単一の論理的サイトでセッションを維持することだ

    • 他にどんな事例があるのか気になっている
    • 個人的には、サードパーティコンテキストではファーストパーティCookieも使われてほしくない
    • Cookieを完全になくし、クライアント証明書を使って状態を追跡する方法を好む

  • サードパーティCookieが削除されれば、トラッカーはWebサイトにスクリプトを埋め込ませてCookieを「ファーストパーティ」にするだろう

    • 追跡手法ではなく、追跡そのものを防ぐ保護措置が必要だ

  • Cookieの問題は単なる見せかけにすぎず、JavaScriptを有効にしていればCookieがなくても追跡は可能だ

    • Web仕様は、JavaScriptが有効でもユーザーを追跡できないようにするために、さらに多くの努力が必要だ
    • BraveやFirefoxのようなブラウザは、この点について何もしていない
    • 真のプライバシーのためには、JavaScriptを無効にしたブラウザを使うべきなのか疑問だ

  • Googleはこの仕様を実装しないだろう

    • 現時点では法的に認められておらず、広告主たちはサードパーティCookieなしでは競争できないと主張している
    • GoogleはPrivacy Sandboxを拡張し、ブロック計画を撤回した

  • 特定目的のソリューションが必要なユースケースとしては、連合アイデンティティ、クロスサイトのリソースアクセス権限付与、不正防止などがある

    • 不正防止にはプライバシーを保証する方法はないと主張している
    • 不正を事業コストとして受け入れるか、プライバシーを放棄するかのどちらかだ

  • GoogleがChromeを支配している限り、この議論は空虚だ

    • 規制当局がGoogleにChromeの売却を求めたとしても、新しい所有者がより良い結果を出すとは期待していない

  • これまでも常にサードパーティCookieをブロックしてきたが、唯一の問題は一部のWebページの埋め込み動画が再生されないことだけだ

  • サードパーティCookieを代替手段なしに削除すれば、攻撃的なフィンガープリンティングが一般化するだろう