長年にわたり、広告主はサードパーティcookie(ウェブサイトを訪問した際にお客様のブラウザに保管される小さなテキストファイル)に依存して、異なるウェブサイト間でお客様の行動を追跡し、よりパーソナライズされた広告を提供してきました。広告主にとっての課題は、テクノロジーに詳しくない人々であってもcookieに対する意識がますます高まっており、これらを積極的にブロックする手段を講じるようになっていることです。
Utiqは、ヨーロッパで最も強力な通信会社4社(Deutsche Telekom、Orange、Telefónica、Vodafone)によって共同設立された、比較的新しい(2023年設立)広告テクノロジー企業です。4社の力を結集したUtiqは、cookieに代わるものを導入することを目指しています。同社はこれにより、「消費者にプライバシーに関する実質的な管理権と選択肢を提供すると同時に、より関連性の高いデジタルマーケティング体験を促進する」と主張しています。
2025年6月までに、Utiqは26社の提携通信事業者(その多くは「ビッグ4」から接続をリースしている小規模企業)と提携し、ヨーロッパ全体で5,500万件以上のユニークなConsentPassトークン(以下を参照)を獲得したと主張しています(新しいウィンドウ)。Utiqは現在、ドイツ、オーストリア、スペイン、フランス、英国、イタリアでサービスを展開しています。
Utiqはどのように機能するのでしょうか?
cookieを使用してお客様を複数のウェブサイト間で追跡し、プロファイリングを行うことで、よりパーソナライズされた広告を提供する代わりに、UtiqはISPレベルで機能します。その仕組みは以下の通りです。
1. お客様が提携ウェブサイトを訪問する
お客様のIPアドレスが提携ISP(携帯電話キャリアを含む)のものである場合、サイト上に明確な同意バナーが表示され、ネットワーク接続を介した識別への同意を求められます。提携事業者のネットワークを利用していない場合、Utiqは一切有効化されません。
同意するをクリックすると、Utiqはお客様のISPまたは携帯電話キャリアに安全なリクエストを送信します。
2. お客様のISPが「ConsentPass」トークンを生成する
お客様のプロバイダーは、(多くの場合、電話番号やブロードバンドのアカウントIDをシードとして使用して)お客様の接続を照合し、「ConsentPass」と呼ばれる一意でランダムな、匿名化されたトークンを生成します。
- このトークンは、お客様(具体的には、この接続におけるお客様のデバイス)が同意したことを証明します
- 極めて重要な点として、このトークンはお客様の身元を明かすものではなく、オプトインした匿名のユーザーであることのみを示します
3. ConsentPassがUtiqと共有される
ConsentPassトークンから、Utiqはさらに2つの暗号化されたトークンを生成します:
- MartechPass: 広告主やパブリッシャーに送信されます。これにより、相手側はお客様の個人情報を確認することなく、異なるウェブサイト間でお客様を同意済みのユーザーとして認識できます。これはパーソナライズされた広告やコンテンツの提供に使用できますが、お客様の現実世界のユーザー情報に紐付けることはできません。
- AdtechPass: ウェブ全体でお客様の閲覧履歴を追跡することなく、広告のパフォーマンス(例:広告が売上につながったかなど)を測定するために使用されます。
4. ユーザーによるコントロール
Utiqの大きなセールスポイントは、誰に追跡を許可するかをお客様自身がコントロールできる点にあります。ウェブサイトを初めて訪問した際に同意が求められるだけでなく、いつでも専用ポータルであるUtiq ConsentHub(新しいウィンドウ)にアクセスして、どの企業にお客様のトークンが送信されたかを確認できます。
そこから簡単に同意を撤回できます。同意が撤回されると、トークンは無効化され、提携している広告主やウェブサイトはそれらの使用を停止しなければなりません。
Utiqがお客様のプライバシーに与える影響
明確な同意が必要であること、そしていつでも同意を撤回できることから、Utiqは、広告主のニーズとインターネットユーザーのプライバシーに関するニーズのバランスを取る「プライバシー・バイ・デザイン」のソリューションとして、自社を積極的にアピールしています。
また、GDPR(新しいウィンドウ)への準拠を主張し、米国の巨大広告テクノロジー企業に代わる欧州の選択肢として自らを位置づけています。しかし、プライバシー擁護派は懐疑的です。
Utiqはcookieよりも悪質である可能性があります
カタルーニャ法科大学の研究者による査読済み論文(新しいウィンドウ)では、ConsentPassトークンは、インターネットユーザーを長期にわたって継続的に特定することを目的としたサードパーティcookieと機能的に類似していると結論付けられています。
特に、研究者らは、Utiqは完全に一意のパラメータに基づいており、ブラウザのcookieのように削除(クリア)することができないため、実際には通常のcookieよりもプライバシーを侵害する可能性があると指摘しています。
また、調査対象となったUtiqを使用している10,000のウェブサイトの100%が、フィンガープリント(新しいウィンドウ)を含む、より侵入的な追跡方法を並行して使用しているという調査結果も、非常に懸念されます。研究者らは、Utiqはウェブサイトで使用される追跡技術のラインナップに追加されているだけで、代替するものではないため、サードパーティcookieに対する真のプライバシー向上を意味するものではないと結論付けています。
お客様の電話番号が使用されます
お客様の電話番号がConsentPassトークンの暗号化「シード」として使用されるという事実が大きく取り沙汰されています。しかし、電話番号自体がウェブサイト、広告ネットワーク、またはデータブローカーに公開されることはありません。
Utiqのハッシュアルゴリズムが侵害されたり、通信事業者がお客様の電話番号とConsentPassの対応表を漏洩したりした場合、お客様のトークンを保持しているすべての広告主が、お客様のオンラインアクティビティを実際の電話番号に紐付けられるようになるという潜在的なリスクが存在します。
この脅威に対抗するため、UtiqはUtiqと通信事業者のみが把握している一方向のハッシュ技術において、暗号ソルト(新しいウィンドウ)を使用しています。理論上、これにより両者の共謀がなければプロセスを逆行させて電話番号を特定することは不可能になります。しかし、Utiqと通信事業者の双方に対して法的権限を持つ国家主体であれば、単純な裁判所命令によって両者に「共謀」を強制することができます。
ダークパターン
多くの人々にとってより大きな懸念となるのは、(cookieの同意要求でよく見られるように)深く考えずに同意ダイアログを安易にクリックして通過してしまう人が多いことでしょう。この問題は、ConsentHubポータルが存在するものの、定期的に確認する人はおろか、その存在すら知る人がほとんどいないという事実によってさらに深刻化しています。
VPNは役に立ちますか? Utiqを無効化する方法
はい。Utiqの同意ダイアログは、お客様のIPアドレスがUtiqの提携プロバイダーのものである場合にのみ有効化されます。仮想プライベートネットワーク(VPN)は、お客様の実際のIPアドレスを隠すため、ウェブサイトにはお客様の実際のIPアドレスではなく、VPNサーバーのIPアドレスのみが表示されます。
そのため、たとえお客様が提携プロバイダーの顧客であっても、同意ダイアログは表示されません。また、同意したと見なされることは絶対にないため、VPNを使用している限り、Utiqが有効化されることはありません。
Utiqについて懸念する必要はあるでしょうか?
Utiqは、cookieに代わるプライバシー保護の改善策として自らをアピールしています。明確な同意の必要性、専用のオプトアウトポータル、個人データの直接共有の回避など、狭い技術的な意味においては成功していると言えます。しかし、これは一般のインターネットユーザーを保護したいという真の願いから生まれたものではなく、あくまで広告主の利益のために開発された技術です。
現実には、Utiqはこれまでのcookieよりもインターネットのインフラ深くに構築された追跡システムであり、どの広告主よりもすでにお客様に関する多くのデータを保持している企業によって運営されています。このデータは、電話番号を介してお客様の現実世界のユーザー情報に紐付けられています。実質的な現実として、これはウェブサイトにおいて、従来の追跡方法を代替するものではなく、補完するために使用されています。
幸いなことに、VPNは非常に効果的な対抗策です。実際、サードパーティcookieのブロックやブラウザの拡張機能を使用した広告ドメインへのDNSクエリのブロックといった従来の追跡防止策よりも、はるかに効果的です。
現時点では、Utiqが懸念されるのはヨーロッパの人々に限られます。しかし、その根底にある技術には本来、地理的な制限がないため、ヨーロッパでの成功は、よりグローバルな導入につながる可能性が高いでしょう。
