ポストCookie時代ガイド

ポストCookie時代の広告テクノロジーを支えるプライバシー保護コンピューティング：主要技術とユースケース

はじめに：プライバシー保護コンピューティングへの高まる関心

サードパーティCookieの段階的な廃止が進む中、広告業界は新たなターゲティングや効果計測の手法を模索しています。この大きな変化の背景には、ユーザーのプライバシー保護への意識の高まりと、それに伴う各国の規制強化があります。こうした環境下で、個人データを安全に取り扱いながら、ビジネス価値を創出するための技術として、「プライバシー保護コンピューティング」（Privacy-Preserving Computing: PPC）が注目されています。

プライバシー保護コンピューティングとは、データを暗号化したり、個人を特定できないように加工したりした状態で、計算や分析を可能にする技術の総称です。これにより、機密性の高いデータや個人情報を、その内容を明かすことなく処理・分析することが可能となり、プライバシーを保護しつつデータ利活用を進めることができます。ポストCookie時代において、異なる組織間でのデータ連携や、より詳細なプライバシー配慮型分析を行う上で、この技術群が重要な役割を果たすと期待されています。

本稿では、主要なプライバシー保護コンピューティング技術の仕組みとその広告分野での活用可能性について、メディアプランナーの皆様が理解すべきポイントを解説します。

プライバシー保護コンピューティングとは？

プライバシー保護コンピューティングは、データそのものを保護しながら、データに対する計算や分析を実行する技術の集合体です。従来のデータ分析では、データを復号化したり、特定の場所に集約したりする必要があり、その過程や保管場所でのデータ漏洩や不正利用のリスクが伴いました。プライバシー保護コンピューティングは、これらのリスクを低減することを目的としています。

ポストCookie時代の広告において、この技術が重要視されるのは、以下の理由によります。

• 複数組織間のデータ連携: 広告主、メディア、データプロバイダーなどが持つデータを、互いにデータを直接共有することなく安全に連携させ、共同で分析する必要性が高まっています。
• センシティブデータの活用: 特定のターゲティングや分析には、購買履歴、位置情報、健康関連情報といったセンシティブなデータが有用な場合があります。これらのデータをプライバシーに最大限配慮して活用するために、PPC技術が不可欠です。
• 集計データのプライバシー保護: キャンペーンのパフォーマンス集計やトレンド分析など、集計データであっても、意図せず個人が特定されるリスクを低減するためにPPC技術が応用されます。

主要なプライバシー保護コンピューティング技術

プライバシー保護コンピューティングにはいくつかの種類がありますが、広告分野での活用が特に期待されている主要な技術を以下に紹介します。

1. 差分プライバシー (Differential Privacy)

• 概要と仕組み: 差分プライバシーは、統計的な集計データから個人の情報が推測されるのを防ぐための技術です。データにランダムなノイズ（誤差）を加えることで、特定の個人のデータが含まれているかどうかに関わらず、集計結果がほとんど変わらないようにします。これにより、集計データを見ても、特定の誰かがそのデータセットに含まれているかを高い確率で特定することが不可能になります。ノイズの量は、プライバシー保護レベル（ε：イプシロンなどのパラメータで調整）とデータ活用の有用性とのトレードオフになります。
• 広告における活用例:
  • 集計データの分析: ウェブサイトの訪問者数、特定の属性のユーザー数、キャンペーンのクリック率やコンバージョン率などの集計データを公開・分析する際に、個人特定のリスクを低減します。
  • アルゴリズム開発: GoogleのPrivacy SandboxにおけるTopics APIやProtected Audience API（旧FLEDGE）など、ユーザーのブラウザ内で処理されるデータを用いたターゲティングや計測の際に、差分プライバシーが適用される場合があります。例えば、ユーザーの興味関心カテゴリの集計にノイズを加えることで、特定のユーザーの行動履歴を隠蔽します。
• メリット・デメリット:
  • メリット: 個々のデータを集約・公開する際にプライバシーを保護できる。大規模なデータセットにも適用しやすい。
  • デメリット: ノイズを加えるため、データの精度が低下する可能性がある。適切なノイズ量の設定が難しい場合がある。

2. 準同型暗号 (Homomorphic Encryption)

• 概要と仕組み: 準同型暗号は、データを暗号化したまま計算や分析ができる暗号技術です。データを復号化することなく、暗号化された状態のデータに対して加算や乗算といった計算を実行し、その計算結果を復号化すると、元の平文データに対して同じ計算を行った結果が得られます。すべての計算（加算と乗算）が可能な「完全準同型暗号」と、一部の計算のみが可能な「部分準同型暗号」があります。
• 広告における活用例:
  • 暗号化されたデータの分析: 広告主やメディアが持つユーザーデータを暗号化し、第三者のクラウド環境などで安全に分析できます。例えば、暗号化されたユーザーのデモグラフィック情報や購買データを用いて、ターゲット層の規模を計算したり、広告のリーチを推定したりすることが可能です。
  • プライベートマッチング: 広告主のCRMデータ（メールアドレスなど）とメディアのユーザーデータ（同じくメールアドレスなど）を、それぞれ暗号化した状態で安全にマッチングし、共通のユーザーセグメントを特定する際に利用される可能性があります。
• メリット・デメリット:
  • メリット: データの内容を一切開示することなく計算ができるため、高いプライバシー保護レベルを実現できます。
  • デメリット: 計算処理が非常に複雑で、一般的な計算に比べて処理速度が大幅に遅くなる傾向があります。実用化には高性能な計算リソースが必要となることが多いです。

3. セキュア多者計算 (Secure Multiparty Computation: MPC)

• 概要と仕組み: セキュア多者計算（MPC）は、複数の参加者がそれぞれ秘密のデータを持っており、それらの秘密を互いに明かすことなく、協力して一つの関数（計算）を実行し、その結果を共有する技術です。各参加者は、自分の秘密を他の参加者に直接伝えることなく、暗号技術やプロトコルを用いて計算に必要な情報を交換します。最終的に、参加者全員が計算結果を知ることができますが、他の参加者の秘密データが何であったかを知ることはできません。
• 広告における活用例:
  • 複数企業間のデータマッチング・分析: 広告主のファーストパーティデータとメディアのファーストパーティデータ、あるいはデータプロバイダーのデータを、各社が外部に開示することなく安全に連携させ、共通のユーザーを特定したり、統合的な分析を行ったりする場合に特に有効です。Clean Roomソリューションの基盤技術として広く利用されています。
  • 共同でのリーチ計測・効果分析: 複数メディアやチャネルにわたる広告キャンペーンについて、各メディアが持つ接触データを外部に開示せず、共同で重複リーチや統合的なコンバージョン効果を計測する際に活用できます。
• メリット・デメリット:
  • メリット: 複数組織がデータを共有せず、共同で複雑な計算を実行できるため、プライバシーとデータ連携を両立させやすい。Clean Roomのような用途に最適です。
  • デメリット: 参加者の数が増えると計算が複雑になり、処理に時間がかかる場合があります。参加者全員がプロトコルに従って計算を実行する必要があります。

これらの技術が広告分野で解決する課題

これらのプライバシー保護コンピューティング技術は、ポストCookie時代における広告の様々な課題解決に貢献します。

• 断絶されたカスタマージャーニーの追跡: Cookieに頼らず、複数のタッチポイント（Webサイト、アプリ、オフライン）にわたるユーザー行動を、異なるデータソース（ファーストパーティデータ、CDP、小売データなど）間で安全に連携・分析することで、より正確なカスタマージャーニーを把握し、コンバージョン経路を特定します。
• プライバシー配慮型ターゲティング: センシティブな属性データや行動データを、個人が特定されない形で分析し、精度の高いユーザーセグメントを作成します。差分プライバシーによる集計データの利用や、準同型暗号・MPCを用いた安全なデータマッチングにより実現されます。
• クロスプラットフォーム/クロスチャネル効果計測: 異なるメディアやデバイスでの広告接触と、コンバージョンや店舗来店などのオフライン行動との関連性を、参加者（メディア、広告主、小売業者など）が互いの生データを共有することなく共同で分析し、キャンペーン全体のROIを正確に評価します。Clean Roomが代表的なソリューションです。
• データガバナンスと法規制遵守: プライバシー保護コンピューティング技術を用いることで、GDPR、CCPA、改正個人情報保護法などのデータ保護規制を遵守しやすくなります。個人を特定できる情報を外部に共有したり、計算過程で露呈させたりするリスクを最小限に抑えることができます。

広告プラットフォームやアドテクベンダーの対応状況

主要な広告プラットフォームやアドテクベンダーは、ポストCookie時代に向けてプライバシー保護コンピューティング技術の導入や活用を推進しています。

• Google: Privacy Sandboxの多くのAPI（例: Topics API, Protected Audience API）において、差分プライバシーの概念が活用されています。ユーザーのブラウザ内で収集されるローカルな情報にノイズを加えることで、集計データからの個人特定を防ぐ設計がなされています。また、自社の広告プロダクトにおける計測手法（例: コンバージョンモデリング）においても、こうしたプライバシー保護の考え方が組み込まれています。
• 主要DSP/SSP: 多くのアドテクベンダーは、自社のプラットフォームにプライバシー保護コンピューティング技術を取り入れたソリューションを提供し始めています。例えば、クリーンルーム機能を提供したり、安全なデータマッチング機能（IDマッチングなど）にMPC技術を応用したりしています。また、差分プライバシーを適用した集計データ分析機能などを実装している場合もあります。
• Clean Roomプロバイダー: Snowflake, Google Cloud, AWS, InfoSumなど、様々な企業がClean Roomソリューションを提供しており、その基盤技術としてMPCや準同型暗号、あるいは独自の安全なデータ連携プロトコルを活用しています。広告主やメディアはこれらのサービスを利用することで、自社のファーストパーティデータを安全に連携・分析できます。

広告分野におけるプライバシー保護コンピューティングのユースケース

具体的なユースケースをいくつかご紹介します。

• ユースケース1：広告主とメディアによる共同でのキャンペーン効果分析
  • 目的: 広告主の購買データとメディアの広告接触データを安全に連携させ、広告接触が購買に与えた影響を分析する。
  • 活用技術: セキュア多者計算 (MPC) を活用したClean Room。
  • 仕組み: 広告主とメディアは、それぞれのデータを匿名化・加工した上でClean Roomに入力します。Clean Room内では、MPC技術などにより、互いの生データを見ることなく、共通のユーザーを特定し、広告接触ユーザーの購買率などを計算します。分析結果のみが両者に共有されます。
• ユースケース2：小売業者とブランド企業による顧客インサイト分析
  • 目的: 小売業者が持つPOSデータとブランド企業が持つWebサイト行動データを連携させ、特定の商品の購入者のオンラインでの行動特性を分析する。
  • 活用技術: セキュア多者計算 (MPC) や、暗号化・ハッシュ化技術を組み合わせた安全なデータ連携基盤（広義のClean Room含む）。
  • 仕組み: 各社が持つ顧客識別子（ハッシュ化されたメールアドレスなど）やトランザクションデータを、プライバシーに配慮した形で連携させ、購買顧客のWebサイトでの行動パターンなどを分析します。これにより、より効果的なデジタル広告戦略や品揃え戦略を策定できます。
• ユースケース3：Webサイト/アプリ全体の集計データ分析におけるプライバシー強化
  • 目的: ウェブサイトやアプリ全体のトラフィック、ユーザー属性、コンテンツ閲覧傾向などの集計データを分析・公開する際に、個人特定リスクを最小化する。
  • 活用技術: 差分プライバシー。
  • 仕組み: データ集計時に意図的にノイズを加えることで、統計的な傾向は維持しつつ、特定のユーザーの行動が結果に大きく影響しないようにします。これにより、アナリティクスツールなどで表示される集計データから、個々のユーザーの詳細な行動が推測されるのを防ぎます。

導入・活用における検討事項と課題

プライバシー保護コンピューティング技術は有望ですが、導入・活用にはいくつかの検討事項や課題があります。

• 技術的な複雑さ: 各技術の仕組みは高度であり、専門的な知識が必要です。適切な技術選定や実装、運用には、専門家やベンダーのサポートが不可欠となる場合があります。
• 計算コストとパフォーマンス: 特に準同型暗号やMPCは、従来の計算に比べて処理に時間がかかり、必要な計算リソースも増大する傾向があります。分析対象のデータ量や必要な計算の種類に応じて、現実的なパフォーマンスが得られるか評価が必要です。
• 分析精度とプライバシー保護レベルのバランス: 差分プライバシーのように、プライバシー保護を高めるとデータの精度が低下するトレードオフが存在します。ビジネス上の有用性を損なわない範囲で、どの程度のプライバシー保護レベルを許容するかの設計が重要です。
• 標準化と相互運用性: 様々なベンダーが独自のプライバシー保護技術やプロトコルを提供しており、業界全体の標準化は途上です。異なるベンダー間でのデータ連携や技術連携を考慮する場合、相互運用性が課題となることがあります。
• 法規制の解釈: プライバシー保護コンピューティングによって処理されたデータが、個人情報保護法における「個人情報」に該当するかどうかなど、技術的な側面と法的な解釈の整合性を確認する必要があります。弁護士や専門家との連携が推奨されます。

今後の展望

プライバシー保護コンピューティング技術は、研究開発が急速に進んでおり、より高速で効率的なアルゴリズムが登場しています。また、クラウドサービスプロバイダーやアドテクベンダーによる技術の実装・提供も拡大しており、以前に比べて導入のハードルは下がりつつあります。

今後、ポストCookie時代が本格化するにつれて、ファーストパーティデータを安全に連携・分析するためのClean Roomソリューションが普及し、その基盤としてMPCや準同型暗号がさらに活用されると考えられます。また、差分プライバシーは、大規模な集計データやブラウザ内のデータ処理において、より広く標準的に利用されるようになるでしょう。

これらの技術は、単独で利用されるだけでなく、他の代替技術（例: コンテキストターゲティング、ユニバーサルIDのプライバシー配慮型利用、広告効果モデリング）と組み合わせて活用されることで、ポストCookie時代における広告キャンペーンのターゲティング、計測、最適化を多角的に支えていくと予測されます。

まとめ：メディアプランナーへの示唆

ポストCookie時代の広告運用において、プライバシー保護コンピューティングは、単なる学術的な技術ではなく、クライアントのデータ利活用ニーズとユーザープライバシー保護の要請を両立させるための実務的なツールとなりつつあります。

メディアプランナーとしては、これらの技術の基本的な仕組みと、広告分野でどのような課題を解決し、どのようなユースケースがあるのかを理解しておくことが重要です。これにより、

• クライアントに対して、プライバシーに配慮した先進的なデータ分析・連携の手法を提案できる。
• 新しいアドテクソリューションやプラットフォームを評価する際に、そのプライバシー保護性能を適切に判断できる。
• 効果計測やターゲティングの精度に関するクライアントの懸念に対し、技術的な根拠に基づいた説明ができる。

といった能力が高まり、ポストCookie時代の変化に対応した、より付加価値の高い提案が可能になります。すべての技術詳細を把握する必要はありませんが、主要な技術（差分プライバシー、準同型暗号、MPC）がそれぞれどのような目的で、どのような種類のデータ連携や分析に有効なのかを理解しておくことは、今後のメディアプランニングにおいて不可欠となるでしょう。

これらの技術は進化の途上であり、広告業界での活用方法もまだ発展途上です。常に最新の動向を注視し、新しい知識を取り入れていく姿勢が、ポストCookie時代を乗り切る鍵となります。