ARA に捧げる鎮魂歌

Transcript

1. ARA に捧げる鎮魂歌 @hiratara

2. privacy sandbox third-party cookie の代替のための技術提案群 Google が主体となり、 W3C/WICG で策定 英CMA

   の強い監督下 10 月 に ほとんどの提案の廃止 を決定 ドキュメントが散在しており、情報を集めるのが困難 IAB Tech LAB が 100 ページ超の批判レポート 1 1

3. ARA Attribution Reporting API privacy sandbox の中の一つの提案 cookie を使わない広告の効果測定 サーバーではなく、

   Browser 側で計測する 廃止されることが決定 難解な仕様 と 大きな運用負担 2 2

4. Enrollment & Attestation API 利用のため Google の審査 が必要 D-U-N-S number

   世界標準の企業識別コード https://adtech.exsample/.well-known/privacy- sandbox-attestations.json Chromium の privacy-sandbox-attestations.dat に ドメイン一覧 気軽に始められない 3 3

5. 263 origins が登録されている。 4 4

6. 広告配信の登場人物 Browser Adtech (e.g. adtech.jp) Publisher (e.g. publisher.jp) Advertiser (e.g.

   advertiser.jp) 5 5

7. 広告配信の効果測定 広告を見た人が、どのくらい行動（e.g. 購買）したか Publisher が売る枠の、 Advertiser への価値 広告に否定的な Apple や

   Mozilla も必要性を認識 W3C Attribution proposal 6 6

8. ARA の概要 Publisher サイトで広告 HTML を表示 Adtech が Browser へ

   記録 を依頼 Advertiser サイトでの行動 (beacon) Adtech が Browser へ 照合 を依頼 Browser が結果を Adtech へ 通知 7 7

9. attributionsrc 属性 ARA の呼び出しであることを宣言 Advertiser サイトでは免除 8 8

10. Source Registration 広告配信時に Browser へ 記録 を依頼 Attribution-Reporting-Register-Source 9 9

11. Trigger Registration 行動発生時に Browser へ 照合 を依頼 Attribution-Reporting-Register-Trigger 10 10

12. event-level report Browser が Adtech へ JSON を POST 11

    11

13. プライバシー保護 Advertiser サイトの情報を制限 ノイズ (k-randomized response) 12 12

14. Advertiser サイトの情報を制限 1 回の配信につき、得られる結果は有限（ 2,925 通り） trigger_data : 3bit event_report_windows

    2 日、 7 日、 30 日 の 3 種 max_event_level_reports 3 回まで 制約 内であれば柔軟に変更可能 制約 は厳しく、かつ、難解 13 13

15. ノイズ (k-randomized response) 差分プライバシー ブラウザが確率で Adtech に偽の通知を送る 「いつ、どの行動をした（しない） 」を判別不能にする 14

    14

16. chrome://attribution-internals/ 15 15

17. Aggregatable/Summary report 集計値だけが得られる 暗号化して送付（ Adtech は復号不可） report 個別の結果は不明 豊富な情報量 source

    と trigger 合わせて 128bit の bucket ( キー) 計上可能な値の合計 (contribution budget) 16bit 16 16

18. Source Registration Attribution-Reporting-Register-Source aggregation_keys : 16 進数文字列 (128bit) 17 17

19. Trigger Registration Attribution-Reporting-Register-Trigger aggregatable_trigger_data : 16 進数文字列 (128bit) aggregatable_values :

    加算する値 18 18

20. Aggregatable Report Browser が速やかに Adtech へ通知 shared_info 平文の JSON で

    destination を含む aggregation_service_payloads : 暗号化された集計値 19 19

21. Summary Report Aggregatable Report を復号・集計して得られる Aggregation Service を TEE で動作させる

    20 20

22. Aggregation Service/TEE Aggregation Service Chrome から配布され、TEE 上で adtech が運用 Trusted

    Execution Environment (TEE) OS からも独立した安全な実行環境 Coordinator Chrome が運用し、鍵と実行履歴を管理 障害時にできることが少ない 21 21

23. 22 22

24. ノイズ (Laplace mechanism) 差分プライバシー Aggregation Service が集計結果にランダムな値を追加 個人のデータが結果に与える影響を無力化 集計値が大きいほどノイズの影響は小さくなる 集計期間を長く（1

    時間単位より1 か月単位） 分類を荒く（URL 単位よりdomain 単位） n 倍する （contribution budget ） 乱数を含むので課金に使えない 23 23

25. まとめ Adtech は長年 Cookieless に備えてきました privacy sandbox は事実上終了しました プライバシーに配慮した効果測定のニーズは消えない 24

    24

26. 後日談 １年半をかけて開発し、３か月前にロンチしたばかりのシ ステムですが、 Google から早く ARA を削除したいので クローズするようにと連絡が来ました。 25 25

27. 完 26 26