8月 2日, 2023
はじめに
今日のデジタル環境において、現代の広告およびアナリティクスモデルは、パーソナライズされた体験を提供し、ビジネス成果を促進するために、多様な種類のデータを活用しています。中でも一般的に使用されているのが、IPアドレス(すべてのウェブリクエストに付随して送信される基本的な情報)、デバイス情報(ウェブ上では範囲が限定されることが多い)、そしてCookieデータです。特にCookieに関しては、Intelligent Tracking Prevention(ITP)などのプライバシー保護機能により、近年その活用が大きく制限されつつあります。Cookieデータは通常、Meta、Google、AppLovinといった広告プラットフォームや分析プロバイダーによってランダムに生成された識別子で構成されています。これらの識別子は、アプリやウェブサイト単体での使用を前提に設計されており、サイトをまたいだトラッキングを抑制しようとする現代のプライバシー規制の目的に沿ったものとなっています。
これらの識別子は、さまざまなウェブフレームワーク上で利用可能であり、データ共有の機会を生み出す可能性があります。言い換えれば、すべての識別子がインストールされたピクセルから参照可能であり、ショッピングカートなどのオブジェクトに「カスタム属性」として付加されることがあります。これらの属性は、標準的なリクエストの一部として複数の第三者に送信されることがあります。
本稿では、特にGoogleおよびFacebook由来の主要な識別子に着目し、それらがEコマースエコシステム内でどのように流通・処理されているのかを検証します。
調査方法
これらのデータの流れを調査するにあたり、Grokを活用して独自のFirefoxプラグインを生成しました(GitHubにて公開中)。このプラグインは、識別子がパートナー間でどのように共有されているかを追跡できるツールであり、データの送信経路を視覚的に表示します。どのエンティティ(事業者)が、どの識別子を受け取っているのかを明確にハイライトする仕組みです。
同様のインサイトは、ブラウザのデベロッパーツール(「ネットワーク」タブなど)や、Charles Proxyのようなサードパーティ製ソフトウェアを使って得ることも可能ですが、今回開発したプラグインはその作業を簡素化し、手動での調査を始めるための出発点として機能します。このプラグインを搭載したFirefoxを使用し、複数のEコマースサイトを訪問して、実際のデータ共有パターンを観察しました。
その結果、ほとんどの識別子はチェックアウト直前のページで送信されていることが分かりました。ただし、他のページでの動きについても引き続き検証する価値があります。
事例
まずは、ツールがどのように機能するのかを把握するために、いくつかの具体的な例を見ていきましょう。
crocs.com
ネットワークタブを確認すると、b.applovin.com に対してFacebook IDが送信されていないことが分かります(属性セクション全体が存在していません)。
thewoobles.com
thewoobles.comでは、識別子が複数のドメイン(AppLovinを含む)に送信されていることが明らかです。
さらに調査を進めたところ、これらの識別子はカート属性として、サードパーティライブラリであるElevarによって追加されていることが判明しました。Elevarは、ブランドのデータ収集を最適化するための分析・トラッキングソリューションを提供する、AppLovinとは無関係の外部サービスです。
より包括的な検証の結果、Elevarの初期化シーケンスをブロックすると、これらの識別子がカート属性に追加されなくなることが確認されました。
これらの例は、ツールの動作を示すと同時に、識別子がいかに標準的な外部サービスとの統合によって広範にEコマースプラットフォーム上で伝播しうるかを浮き彫りにしています。
誤検知
データフローの分析には多くの困難が伴い、慎重に精査しなければ誤解を招く可能性があります。今回の調査でも、いくつかの誤検知(false positive)が見られたため、その代表的な例をいくつかご紹介したいと思います。
trueclassictees.com
識別子がさまざまなパートナーに送信されている様子が確認できます。
特に注目すべきカート属性として、igIdがあります。これはAppLovin(および他の標準的なマーケティングピクセル統合先)に送信されている可能性があります。
一見するとこれはInstagramに関連しているように思えますが、さらなる調査の結果、これは Intelligems という利益最適化ツールによって生成・管理されている識別子であることが判明しました。
この誤検知は、データ分析においてコンテキストがいかに重要であるかを示す好例です。
ウェブサイトキー
AppLovinの connectEventKey のように、一見ランダムに見えるポストバックの値は、一意の識別子のように見える かもしれません。
これらのキーは、一見ランダムな文字列に見えるものの、トラッキングの仕組みではなく、静的なピクセル構成情報として機能しています。この構成用の文字列は、個人ユーザーを識別するものではありません。
結論
アプリ、ブラウザ、そして各種プラットフォームによって導入されたプライバシー保護の枠組みにより、すべての企業が同様の制約のもとで活動する、いわば“公平な競争環境”が整いつつあります。しかし、これらのシステム内でデータがどのように流れているのかを正しく理解するには、技術的な統合構造やその用途に関する深い理解が求められます。AppLovinでは、データ収集と処理において標準的なAPIや仕組みを活用しつつ、許可されていない情報や不要なデータは収集・保存せず、厳格な運用姿勢を貫いています。
私たちの技術スタックは、業界全体の成長を長期的に支えることを目的として設計されています。最先端の機械学習技術を活用し、ユーザーのプライバシーを尊重しながら、持続可能なビジネスの実現を支援する。それがAppLovinの姿勢であり、イノベーションと責任の両立こそが、私たちのミッションの中核を成しています。
※本レポートの作成にはGrok 3を活用しましたが、最終的な内容および結論はすべて筆者自身のものです。
