プライバシーコンサルタントのアレクサンダー・ハンフは2026年4月14日、GoogleのChromeブラウザにブラウザフィンガープリンティングへの防御機能がほぼ存在しないと指摘した。現時点でChromeに対して機能するフィンガープリンティング手法は少なくとも30種類存在し、上位10万サイトの10%以上、上位1万サイトの4分の1以上で同手法が使用されていることが2021年の研究で判明している。
Googleは2019年にPrivacy Sandboxイニシアティブを発表したが、2024年12月に「フィンガープリンティングは開示があれば許容される」へと方針を転換し、2025年4月にはフィンガープリンティング対策を一切実装しないままPrivacy Sandboxを廃止した。一方、Braveはfarbling、Firefoxはprivacy.resistFingerprintingをそれぞれ実装している。
Citizen Labが2026年4月9日に公開したレポートは、フィンガープリンティングを含む広告ベースの監視データが政府・法執行機関に販売されている実態を報告している。Googleはコメントの求めに応じなかった。
From: 
Google Chrome lacks browser fingerprinting defenses • The Register
【編集部解説】
「ブラウザフィンガープリンティング」という言葉は耳慣れないかもしれませんが、仕組みはシンプルです。あなたのブラウザが持つ特徴——使用しているOS、画面の解像度、インストールされているフォント、GPUの種類、さらには音声処理の微妙なクセに至るまで——を組み合わせることで、クッキーを一切使わずにあなたを「個人として特定」できる技術です。しかもクッキーと違い、ユーザー側で消去する手段がありません。
今回話題になったのは、プライバシーコンサルタントのアレクサンダー・ハンフが公開した技術的考察です。彼は30種以上のフィンガープリンティング手法と23種のトラッキングメカニズムを列挙し、そのすべてがChromeで現在も機能していると指摘しています。なお、ハンフ自身がブログ内でAIを調査補助に活用したことを認めており、細部に誤りが含まれる可能性も否定していません。ただし列挙されている技術の大部分は学術論文や既存の研究に裏付けられたものであり、主張の骨格は妥当といえます。
Chromeが世界のブラウザシェアの約65%を占める現状において、この問題の影響は広範です。BraveはAPIの出力値にわずかなランダムノイズを加える「farbling」という手法でフィンガープリンティングを攪乱し、Firefoxはprivacy.resistFingerprintingで対抗しています。Chromeにはそれに相当する機能が事実上存在しません。Googleは2019年から6年にわたりPrivacy Sandboxへの取り組みを続けていましたが、2025年4月に廃止。フィンガープリンティング固有の緩和策はひとつも実装されませんでした。
見逃せないのは、Googleがこの廃止の直前、2024年12月に「開示があれば、フィンガープリンティングは許容される」と方針転換していた点です。英国情報コミッショナーオフィス(ICO)はこの方針変更に直ちに懸念を表明しており、欧州ではGDPRとの整合性をめぐる議論が今も続いています。Googleは広告ビジネスを収益基盤とする企業であり、フィンガープリンティングへの積極的な対抗策を採ることは、自社の広告エコシステムを制約することに直結します。この構造的な利益相反こそが、今回の問題の本質です。
フィンガープリンティング自体には正当な用途も存在します。不正利用の検知や、ロボット排除のためのボット対策などがその代表例です。問題は同じ技術が無断のユーザー追跡に広く転用されている点にあります。今回のCitizen Labのレポートが示した現実——広告ベースの監視データが世界各地の政府・法執行機関に販売されている——は、技術の悪用が既に大規模かつ組織的に行われていることを証明しています。
長期的な視点から見ると、この問題の深刻さは今後さらに増す可能性があります。AIエージェントが日常的に活用されるようになった現在、ユーザーのオンライン行動パターンはより豊かで予測可能なデータとなっています。フィンガープリンティングがAIによる行動分析と組み合わされれば、従来の追跡技術をはるかに超えた精度でのプロファイリングが現実のものになりえます。2025年10月にNatureに掲載された研究が「最も多く訪問する4サイトを知るだけで人口の95%を識別可能」と示したことは、行動データの同定能力がいかに高いかを端的に物語っています。
今後、規制の側でどのような動きが生まれるかが注目点です。EUのePrivacy規則の改正やGDPRの適用範囲をめぐる議論においては、フィンガープリンティングへの明示的な規制が求められる声が高まっています。Chromeが世界で最もシェアの大きいブラウザである以上、Googleの姿勢は業界標準として事実上の規範となります。それだけに、プラットフォーマーとしての責任が問われる局面は、今後も繰り返されるでしょう。
【用語解説】
ブラウザフィンガープリンティング
ブラウザが持つ固有の技術的特徴(OS・画面解像度・インストールフォント・GPU情報など)を組み合わせることで、クッキーを一切使わずにユーザーを個人として識別する追跡技術。クッキーと異なりユーザー側で消去できないため、より強力かつ回避困難な追跡手段とされている。
farbling
Braveが独自に実装したフィンガープリンティング対策技術。CanvasやWebGLなどのAPIが返す値にわずかなランダムノイズを加えることで、サイトごとに異なる出力を返し、ユニーク識別子の生成を妨害する仕組みである。
privacy.resistFingerprinting
Firefoxが実装するフィンガープリンティング対策の設定項目。有効化すると、フィンガープリンティングに利用されるAPIの出力を汎用的な値に統一・制限し、ブラウザの個体識別を困難にする。
GDPR(一般データ保護規則)
EUが2018年に施行した個人データ保護に関する包括的な法律。ユーザーの同意なしにデータを収集・処理することを原則として禁じており、フィンガープリンティングによる追跡もその規制対象となりうる。
ePrivacy規則
GDPRを補完する形でEUが検討している通信データ保護に特化した規制。クッキーおよびフィンガープリンティングを含む電子的追跡手法を直接の規制対象とすることが議論されており、現行のePrivacy指令(2002年)の改訂版として策定が進んでいる。
バウンストラッキング(Bounce Tracking)
ユーザーがリンクをクリックした際、目的サイトへ到達する前にトラッカーのドメインを経由させ、その一瞬でクッキーの読み書きを行うことでユーザーを追跡する手法。ファーストパーティクッキーとして記録されるため、サードパーティクッキーのブロックを回避できる。
CNAMEクローキング
DNS設定を利用してサードパーティのトラッカーを、あたかもファーストパーティのサブドメインであるかのように偽装する追跡手法。広告ブロッカーやブラウザのプライバシー保護機能を回避できるため、特に悪質な手口とされている。
【参考リンク】
Google Chrome(外部)
Googleが開発・提供する世界シェア約65%のブラウザ。今回、フィンガープリンティング対策の欠如をプライバシーコンサルタントに指摘された。
Brave(外部)
プライバシー重視の独立系ブラウザ。独自技術「farbling」を標準搭載し、Chromeにはない対策でフィンガープリンティングを攪乱する。
Mozilla Firefox(外部)
オープンソースのブラウザ。privacy.resistFingerprintingを実装し、プライバシー保護においてChromeより積極的な姿勢をとっている。
Google Privacy Sandbox(外部)
Googleが2019年に開始したプライバシー強化イニシアティブの公式サイト。フィンガープリンティング対策を含む複数のAPIを開発したが2025年4月に実質廃止。
Citizen Lab(トロント大学)(外部)
インターネット上の監視・検閲・プライバシー侵害を調査するカナダの研究機関。広告監視システム「Webloc」の実態を暴くレポートを公開した。
ICO(英国情報コミッショナーオフィス)(外部)
英国のデータ保護監督機関。Googleのフィンガープリンティング方針転換を「無責任」と批判し、規制上の懸念を公式に表明した。
That Privacy Guy(アレクサンダー・ハンフのブログ)(外部)
今回の報告書の執筆者、プライバシーコンサルタントのアレクサンダー・ハンフによる個人ブログ。元記事が公開されている。
【参考記事】
The Beast behind the Browser(That Privacy Guy)(外部)
30種以上のフィンガープリンティング手法と23種のトラッキングメカニズムを列挙した、今回報道の一次情報となる技術的考察記事。
Uncovering Webloc: An Analysis of Penlink’s Ad-based Geolocation Surveillance Tech(Citizen Lab)(外部)
広告データ活用の監視システム「Webloc」が数億台のデバイスを追跡可能であり、政府機関が利用していた実態を明らかにしたレポート。
Our response to Google’s policy change on fingerprinting(ICO)(外部)
Googleのフィンガープリンティング許容方針を「無責任」と断じ、GDPRおよびPECR上の遵守義務を果たさない企業への措置を警告した声明。
Citizen Lab: Law Enforcement Used Webloc to Track 500 Million Devices(The Hacker News)(外部)
Webloc が過去に最大5億台のデバイスを追跡可能だったこと、政府・法執行機関への販売実態を整理した報道記事。
Browsing behavior exposes identities on the Web(Scientific Reports / Nature)(外部)
最も多く訪問する4サイトを知るだけで対象者の95%を個人特定できることを示した、行動フィンガープリンティングに関する学術論文。
【関連記事】
Google Chrome 136、23年来のプライバシー脆弱性「ブラウザ履歴スニッフィング」をついに修正へ
2025年4月7日公開。Chromeが23年間放置していたブラウザ履歴スニッフィング脆弱性の修正を報じた記事。プライバシー防御の欠如という点で本記事と問題意識を共有する。
Chromeのシークレットモード、実はプライベートではない?Google従業員も内部批判
2025年8月公開。Chromeシークレットモードでのデータ収集問題を扱った記事。「Googleのプライバシーをめぐる構造的矛盾」というテーマで本記事と共鳴する。
日本企業も無関係ではないGDPRと個人情報保護法:プライバシー侵害の代償は?
2025年5月公開。GDPRとプライバシー規制の実態を解説した記事。本記事のICO・GDPR関連の背景理解を深める上で参考になる。
【編集部後記】
あなたが今この記事を読んでいるそのブラウザも、すでに「見られている」かもしれません。私たちも同じです。
プライバシーとは、守るものではなく、気づいてはじめて選択できるものなのかもしれない——そう感じています。あなたは普段、どのブラウザを使っていますか?そしてその選択に、理由はありますか?
