2018年に可決されたEUのデータ保護法は、FacebookやGoogleといった企業による悪質なデータ窃盗行為を抑制する上で大きな効果を発揮しました。しかし同時に、これらの法律はウェブを、ほぼすべてのサイトが訪問者にブラウザへのCookie保存を要求し続けるような場所へと変貌させてしまいました。中には、訪問者が拒否した場合、1回の訪問につき複数回Cookie保存を要求するサイトもあります。これはプライバシーのために払う代償としてはあまりにも過酷であり、提案されているウェブ標準は、この問題を根本的に解決することを目指しています。
そこで登場するのが「Advanced Data Protection Control」(略称ADPC)です。これは、Facebookとその不正なデータ慣行との10年にわたる戦いで最もよく知られているオーストリアの弁護士、マックス・シュレムス氏が主導するブラウザ技術です。ADPCは、すべてのサイトでCookieの削除をユーザーに求めるのではなく、ブラウザ内でプライバシー設定を行えるようにします。これらの設定は、ユーザーが訪問するすべてのサイトに目に見えない形で伝達されるため、煩わしいポップアップやバナーでユーザーを悩ませるページが不要になります。
シュレム氏の支援団体noybと、EUのサステイナブル・コンピューティング・ラボの研究者たちは、この種のブラウザ技術が仮定上どのように動作するかを説明した完全な技術仕様を公開し、実際に試してみたい人向けにブラウザプラグインも開発しました。現時点ではFirefoxのみに対応していますが、2人はOpera、Brave、Google Chromeの熱心なユーザー向けに「数日以内」にChromium対応版を提供すると約束しています。
簡単に言うと、ADPCはCookieの設定を、ユーザーが訪問したサイトに2つの方法のいずれかで送信します。1つは、サイトをホストするサーバーに直接送信する方法(HTTPヘッダーを使用)で、もう1つはサイト自体に直接送信する方法(JavaScriptコードを使用)です。後者の場合、ユーザーが初めてサイトにアクセスした際に、基本的な設定を行うよう求めるポップアップが表示されます。そして、(願わくば)その際に尋ねられるのは、この1回きりです。
シュレム氏のブログでは、これらの設定は特定のサイトやシナリオに合わせてカスタマイズ・変更できると説明されており、例えばユーザーは特定のニュースメディアとのみデータを共有するよう指定できる。ただし、開発初期段階のこの拡張機能では、サイトがCookieを保存するかどうかと、「パーソナライズ広告プロファイル」を作成するかどうかの2つの設定しか保存できない。パーソナライズ広告プロファイルは、ユーザーが閲覧するコンテンツをカスタマイズするためにも使用される。
結局のところ、ADPCはウェブ閲覧の手間を軽減するための標準規格であり、既存のプライバシーをさらに強化するものではないことを指摘しておく価値がある。多くのサイトがCookieの受け取りを拒否したユーザーに対して行っているのと同じように、サイトはユーザーのADPC設定をこっそりと回避することができる。しかし、EU当局が既にこの種の行為を取り締まることを約束していることを考えると、怪しいデータ追跡業者は、そのような行為に出る前に二度考え直すかもしれない。
