プライベート ステート トークン

実装ステータス

プライベート ステート トークンとは

   

プライベート ステート トークンを使用することで、ユーザーの信頼度をあるコンテキストから別のコンテキストに伝えることができ、サイトはパッシブ トラッキングを行わずに不正行為を防止し、bot と人間を区別できます。

  • 発行者のウェブサイトは、信頼できることを示すユーザーのウェブブラウザにトークンを発行できます。たとえば、アカウントの継続的な使用、取引の完了、許容可能な reCAPTCHA スコアの取得などです。
  • 利用者のウェブサイトは、利用者が信頼する発行者のトークンをユーザーが持っているかどうかを確認し、必要に応じてトークンを利用することで、ユーザーが偽物でないことを確認できます。

プライベート ステート トークンは暗号化されているため、個人を特定したり、信頼できるインスタンスと信頼できないインスタンスを接続してユーザー ID を検出したりすることはできません。

プライベート ステート トークンが必要な理由

ウェブでは、ユーザーが本人であることを示すトラスト シグナルを確立して伝達する手段が必要です。これは、人間を装ったボットや、実在の人物やサービスを騙す悪意のある第三者ではないことを示すためです。不正行為の防止は、広告主、広告プロバイダ、CDN にとって特に重要です。

残念ながら、信頼性を測定して伝播する既存のメカニズムの多くは、サイトとのインタラクションが実際の人間のものかどうかを判断するために、フィンガープリントにも使用できる手法を利用しています。信頼性を伝えるメカニズムは、プライバシーを保護し、個々のユーザーのトラッキングなしでサイト間で信頼性を伝播できるようにする必要があります。

プライベート ステート トークン API を使用すると、ウェブサイトは信頼できるユーザーに暗号トークンを発行できます。このトークンは後で他の場所で使用できます。トークンはユーザーのブラウザによって安全に保存され、他のコンテキストで利用してユーザーの正真性を確認できます。これにより、ユーザーを特定することなく、またサイト間で ID をリンクさせることなく、1 つのウェブサイト(ソーシャル メディア サイトやメールサービスなど)のユーザーの信頼性を別のウェブサイト(パブリッシャーやオンライン ストアなど)に転送できます。

Private State Tokens の仕組み

この例では、パブリッシャーのウェブサイトが、広告を表示する前にユーザーがボットではなく人間であることを確認しようとしています。

  1. ユーザーがウェブサイト(発行者)にアクセスし、購入、メール アカウントの使用、reCAPTCHA の完了など、サイトがユーザーを人間であると判断するアクションを実行します。
  2. 発行者サイトは、Private State Token JavaScript API を使用して、ユーザーのブラウザのトラスト トークンのリクエストをトリガーします。
  3. 発行者のサイトがトークンデータで応答します。
  4. ユーザーのブラウザが信頼トークンのデータを安全に保存します。
  5. ユーザーが、ユーザーが人間かどうかを確認したい別のウェブサイト(ニュース パブリッシャーなど)にアクセスした場合(広告を表示する場合など)。
  6. サイトは Private State Token API を使用して、サイトが信頼する発行者のトラスト トークンがユーザーのブラウザに保存されているかどうかを確認します。
  7. ユーザーが以前にアクセスした発行者のプライベート ステート トークンが見つかりました。
  8. パブリッシャー サイトが発行者に信頼トークンの利用をリクエストします。
  9. 発行会社のサイトが Redemption Record で応答します。
  10. パブリッシャー サイトが広告プラットフォームにリクエストを送信します。このリクエストには、ユーザーが発行者から人間であると信頼されていることを示す Redemption Record が含まれます。
  11. 広告プラットフォームは、広告を表示するために必要なデータを提供します。
  12. パブリッシャーのサイトに広告が表示されます。
  13. 広告のビュー インプレッションがカウントされます。

プライベート ステート トークン用のツールはありますか?

Chrome DevTools の [Network] タブと [Application] タブで検査を有効にできます。詳しくは、DevTools の統合プライベート状態トークンをご覧ください。

ウェブサイトは複数の信頼できる発行元からのトークンをどのように処理しますか?

サイトは、document.hasTrustToken() を使用して、一度に 1 つの発行者の有効なトークンをユーザーのブラウザで確認できます。true が返され、トークンが利用可能な場合、サイトはトークンを利用して、他のトークンの検索を停止できます。

ウェブサイトは、どのトークン発行者をどの順序で確認するかを決定する必要があります。

ユースケース

Private State Tokens(PST)は、さまざまな不正行為対策のユースケースをサポートします。PST は、API があるコンテキストから別のコンテキストに信頼性を伝えるのに役立つ情報をエンコードできるため、追加の信頼シグナルとして機能します。サードパーティ Cookie が廃止されるため、以下のようなユースケースが引き続き必要に応じて機能するようにすることが重要であると認識しています。PST のユースケースでは、発行者と利用者の両方が連携する必要があります。次のようなユースケースがある場合は、PST の使用を検討してください。

  • 不正対策サービス: 不正行為の防止はウェブがサポートすべき正当なユースケースですが、安定したグローバルなユーザー単位の識別子を必要とすべきではありません。サードパーティ コンテキストでは、PST を使用してユーザーを信頼できるセットと信頼できないセットにセグメント化できます。
  • 広告の不正行為の分析: PST は、広告テクノロジー サービスにおける不正なクリック、インプレッション、ボット スキームの分析に役立ちます。
  • ボットの検出: ブラウザがボットかどうかを分析した後、PST を使用して、その情報をエンコードし、あるコンテキストから別のコンテキストに共有できます。
  • 安全な支払い: 情報が限られたサードパーティ コンテキストで特定しにくい脅威(カード詐欺など)を検出するために、PST を信頼を伝える追加のシグナルとして使用できます。
  • e コマースの不正行為防止サービス: e コマースでのやり取り(クリック、購入手続き、購入、商品評価、チャットボット、返品)で bot を検出することは、ページ スクレイピングや人間以外のやり取りを回避するために非常に重要です。これは、e コマース プラットフォームでサードパーティの不正防止プロバイダの自動エージェントを検出するための重要な追加シグナルになります。
  • CDN サービス: PST は、不正なトラフィックの報告と検出を支援するメカニズムを提供します。

このユースケースのリストは、プライベート状態トークンを利用できるすべての不正防止機能を網羅したものではありません。また、このリストは相互に排他的ではなく、PST は複数の不正行為防止ワークフローにメリットをもたらす可能性があります。

ユーザー ジャーニー

発行と利用は、Private State Tokens の重要なコンポーネントです。前述のユースケースは PST がサポートされる主な領域ですが、特定のユーザー ジャーニーにおける次のタイミングは、実際にトークンを発行または利用したいインスタンスと考えることができます。

  • アカウント管理フロー(ログイン、登録、パスワードのリセットなど)でトークンを発行する
  • 多要素認証(MFA)を確認した後にトークンを発行する
  • お支払い履歴の削除などの高リスクのアクション後にトークンを発行する
  • 中程度のリスクのあるアクションの前に、クロスサイト確認用のトークンを交換する
  • リスクの高いアクションの前にクロスサイト確認用のトークンを交換する

ePrivacy 法の遵守

プライベート状態トークンの発行には、ユーザーの端末機器への情報の保存が伴うため、欧州経済領域(EEA)と英国の e プライバシー法が適用されるアクティビティであり、通常はユーザーの同意が必要です。発行者は、ユーザーが明示的にリクエストしたオンライン サービスを提供するために Private State Tokens API の使用が厳密に必要であり、したがって同意要件の対象外であるかどうかを判断する責任があります。詳しくは、プライバシー サンドボックスのプライバシー関連のコンプライアンスに関するよくある質問をご覧ください。

意見交換とフィードバックの提供

関連リソース