ある団体より、2022年5月25日付けで、Spider AFご利用者様のサイトを利用したユーザー情報が不当に収集され、プライバシーが侵害されていたとの趣旨のレポートが発表されました。
同レポートでは、Spider AFの不正広告対策サービスで使用している「キャンバス・フィンガープリンティング技術」がユーザー情報を不当に収集しているとの記載がなされておりますが、事実と異なる内容が複数確認されておりますので、報告させていただきます。
当社としましては、事実確認を引き続き行いつつ、適切に対処して参ります。また、本件に関する当社見解は以下の通りです。
1 当社の事業内容について
当社の事業は、「不正広告(アドフラウド)対策サービス事業」であり、成果報酬型の広告配信について、自動プログラムによって不正にインプレッションを増やしたり、広告クリック数を水増ししたりして広告費を不正に搾取する詐欺的手法を検知するサービスである「Spider AF」を提供しております。
レポートでは、当社の事業内容が「ターゲティング広告配信」であると記載されておりますが、当社はそのような事業(広告主から依頼された広告を配信する事業)は一切行っておりません。
なお、当社に対して問い合わせを行ったが回答が得られなかったとの記載もありますが、そのような問い合わせの事実自体、当社内では確認できませんでした。
2 キャンバス・フィンガープリンティング技術について
「キャンバス・フィンガープリンティング」とは、タグを設置したサイトの利用者(以下「ユーザー」)が使用しているブラウザに、キャンバス機能を使って画像を描画させ、生成されたピクセルデータのハッシュ情報を、フィンガープリント(識別用データ)として取得する技術であり、広告事業者やWeb解析ツールなどで広く一般的に使われているものです。
これにより、ユーザーのブラウザ環境(OSやハードウェア、ブラウザなど)に特有のハッシュ情報=フィンガープリントが入手できるため、その後、「同じブラウザ環境を持つユーザー」を識別できることとなります。
ただし、このフィンガープリントはハッシュ化されており、そこから個々のユーザーを識別したり、ユーザーのブラウザ環境を具体的に特定することはできません。
同技術により得られたハッシュ情報=フィンガープリントは、元になるデータから一定の計算手順により求められた固定長の値に過ぎず、それ自体は何の意味も持たない情報であり、「同じブラウザ環境を持つユーザー」を識別できる機能を有するものに過ぎません。
しかも、例えば、「デバイスの種類(androidやiPhone)」のみ、「デバイスの種類とブラウザの言語」等、様々な精度が設定されるものであり、必ず「ブラウザ環境のすべて」がハッシュ化されるものでもありません。
3 Spider AFでのキャンバス・フィンガープリンティング技術の活用について
Spider AFでのキャンバス・フィンガープリンティング技術の利用目的は、不正広告(アドフラウド)検知のみを目的とし、その精度も「デバイスの種類」に限ったハッシュ情報を入手しているに過ぎません。
例えば、本来モバイルデバイスにしか配信されない広告をPC環境で表示させている等、ユーザーがデバイスを偽装していないかをフィンガープリントを入手することで調査し、他の情報も用いつつ、あるアクセスがアドフラウドである可能性の多寡を判定し、ご利用者様に判定結果を提供させていただいております。
なお、当社が取得するフィンガープリントは、当社内でサイトへのアクセス等がアドフラウドに該当する可能性が高いか否かという判定を行う際にのみ利用されるに留まっており、広告配信目的での利用や、Spider AFのご利用者様やその他の第三者に提供することも想定しておりません。
4 キャンバス・フィンガープリンティング技術に関する当社の個人情報の取扱いについて
レポートでユーザー情報を不当に収集し、プライバシーを侵害したとされたSpider AFのご利用者様においては、日本国内向けに販売するサービスに関する不正広告検知を目的としてSpider AFを一時期ご利用いただいておりました。そして、当該お客様の日本国内向けサービスに関するランディングページにタグを設置(このタグは現在は削除されております。)、その中で「キャンバス・フィンガープリンティング」の技術が用いられ、同ランディングページ閲覧者のフィンガープリント(ただし、「デバイスの種類」に限ったハッシュ情報のみ)が当社サーバーに送信されておりました。
しかしながら、この日本国内取引に対し、個人情報の保護に関する法律等、日本国で適用される法令に違反する点は何ら存在せず、不当に情報を収集し、プライバシーを侵害したとの評価は妥当しないとの認識でおります。
まず、そもそも、当該お客様のSpider AFご利用期間中(2022年3月31日以前)は、個人情報の保護に関する法律において、それ自体では個人を識別し得ないフィンガープリントの(他の個人情報と紐づかない)取得や利用につき、特別な規制は定められておりませんでした。
一方、2022年4月1日以降、改正された同法が施行され、「個人関連情報」(=「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」)に関する規制が明文化されました。フィンガープリントも、この「個人関連情報」に該当する可能性はあるところです。
しかし、その規制内容としても、この「個人関連情報」をSpider AFのご利用者様等の第三者や外国にある第三者等に提供する場合を対象とするに留まります(同法第31条、第28条)。
つまり、上記のとおり、当社はフィンガープリントを当社内で利用するのみ=第三者に開示しておりませんので、当社によるフィンガープリントの取得・利用は、上記本年4月1日以降に明文化された規制についても対象外となります。
以上のとおり報告させていただきますが、本件につきまして、当社に対して十分な事実確認も行うことなく、上記のとおり事実と異なるレポートがなされ、レポートの対象となったご利用者様をはじめとするSpider AFのご利用者様、その他クライアントの皆様、関係各所の皆様には多大なご心配をおかけすることになってしまったことは、誠に残念でなりません。
関連法令を遵守し、ユーザーの皆様のプライバシーにも配慮しつつ、不正広告の対策に向けてサービス提供をしていく所存でございますので、今後も安心してSpider AFをご利用いただけますと幸いです。
以上
<本件に関するお問い合わせ先>
株式会社Spider Labs 広報:小鹿
E-mail:pr@spider-labs.com