Cookie同意がいまだにコンプライアンス基準を十分満たしていないことが判明

次の記事

Facebook PageとInstagramが人気投稿の発信国をユーザーに明示へ、フェイク記事対策のため

アイルランドのデータ保護委員会(Data Protection Commission、DPC)により、オンライントラッキング業界がEUのプライバシーに関連する法律を未だに遵守できていないことが明らかになった。これらの法律は、少なくとも理論上は、同意なく行われるデジタル監視から市民を守るためのものだ。

画像クレジット:Tekke / Flickr under a CC BY-ND 2.0 license.

DPCは昨年、40の人気ウェブサイトを対象に広範囲にわたる調査を行った。調査対象分野には、メディアおよび出版、小売、レストランおよびフードオーダーサービス、保険、スポーツおよびレジャー、そして公共セクターが含まれる。昨日この調査に関する報告書が発表されたが、それによると、Cookie(クッキー)およびトラッキングコンプライアンスについて、ほとんどのウェブサイトで、軽微なものから深刻なものまで多数の違反が見られることが明らかになった。

20のウェブサイトは、規制当局により「イエロー」と格付けされた。イエローはコンプライアンスに対し十分な対応とアプローチを取ってはいるが、深刻な問題が1つ以上指摘されたことを示す格付けだ。12のウェブサイトは「レッド」と格付けされた。これは、コンプライアンスに対する対処が極めて不十分、Cookieバナーに関する数多くの悪習、同意を得ずに設定される複数のCookie、不適切なCookieポリシーやプライバシーポリシー、eプライバシー法の目的への理解が不明確であることを意味する。さらに3つのウェブサイトは「イエローとレッドの中間」との評価を受けた。

38社のデータ管理者のうち「ブルー」(懸念はあっても、それが簡単に修正可能であり、概ねコンプライアンスの基準を満たしている)の評価を得たのはたったの2社に過ぎなかった。そして1社は「ブルーとイエローの中間」だった。

EU法は、データ管理者がユーザーをトラッキングする法的根拠としてユーザーからの同意に依存する場合、その同意は具体的で、十分な説明があり、ユーザー自らの意思で選択されるものでなければならないと定めている。昨年の追加判決により、オンライントラッキングに関するガイドラインがさらに詳細に定められ同意を示すチェックボックスに事前にチェックが入っている場合は無効であることなどが明示された。

しかし、DPCは依然として実質上の選択肢のないCookieバナーが存在することを確認した。 Cookie通知はあるものの、ユーザーが深い理解のないまま「了解」をクリックするだけのダミーバナーなどがその例だ(ユーザーからの「了解」というよりむしろ管理者側の「データはいただき」に近い)。

実際、DPCが報告書によると、データ管理者の約3分の2が、Cookieバナーの文言による「暗黙の」同意に依存している(例えば、「このサイトの閲覧を続行することにより、Cookieの使用に同意したものとみなされます」などの文言)。これは必要な法的基準を満すものではない。

報告書には、「一部のウェブサイトは、DPCがかつて発行した現在は効力のない古いガイドラインを利用しているようである。古いガイドラインではそのような通知が示されている場合は、『暗黙の』同意は獲得できるとしていた」とある。さらに、DPCのウェブサイトに掲載されている現行のガイドラインは「暗黙の同意には何も言及していない。そこで焦点が当てられているのは管理者の義務というよりは、むしろCookieに対する同意をユーザーが自らの意思でする必要があるという点についてである」と書かれている。

他に明らかになったのは、1社を除く全てのウェブサイトがランディングページにCookieを設置していることである。法的観点から、「多く」はユーザーによるCookieへの同意を不要にする法的根拠はない。DPCではこのようなウェブサイトには関連規制における同意免除は適用されないと判断しているからだ。

またDPCは、トラッカーの使用に関し「厳密に必要とされる」というコンセプトが広い範囲で悪用されていることを突き止めた。同報告書では「多くの管理者は自らのウェブサイトに設置されたCookieを『必要』あるいは『不可欠』な機能として分類しているが、そのCookieの当該機能はeプライバシー規制/eプライバシー指令に定められた2つの同意免除基準のどちらも満たしていないようである。これらには、ユーザーからチャットボット機能を開始したいというリクエストがある前にチャットボットセッションを設けるのに使用されるCookieが含まれていた。そのウェブサイトのチャットボット機能が全く作動しないものもあった」としている。

報告書には「一部の管理者が『不可欠』の基準を誤解している、あるいは不可欠の定義を、規制5(5)に提示されている定義よりもかなり広範なものとしてとらえているのは明白である」と書かれている。

報告書で強調されたもう1つの問題は、今回調査の対象となったウェブサイトの一部では、サードパーティベンダーが販売するいわゆる「同意管理プラットフォーム」(CMP)が使用されているにもかかわらず、ユーザーが同意の選択を変更または撤回するためのツールが欠落していることである。

これは、今年初めに行われたCPMの独立調査と一致している。そこには、違法行為の蔓延が指摘され、「不正なやり口と暗黙の同意が至る所に見られる…」と記されている。

DPCは「一部のウェブサイトには、不適切に設計された、あるいは意図的に偽装された可能性のあるCookieバナーおよび同意管理ツールも見られた」と報告に記し、インターフェースを「紛らわしく、誤解を招くものにする」ようにQuantcastのCPMを実装した例を詳細に説明している(ラベルのないトグルや、機能を果たさない「すべてを却下」するボタンなど)。

事前にチェックの入った同意を示すチェックボックスやスライダーの使用は珍しくなく、38社のうち10社の管理者が使用していた。DPCによると、そのようにして得られた「同意」は有効ではないという。

「管理者のほとんどのケースで、同意は“ひとまとめ”にされている。つまり、ユーザーは各Cookieが用いられている目的に対し個別に同意ができない」とDPCは記している。「Planet49社に下された判決で明確になったように、これは認められていない。Cookie1つ1つに対する同意は必要ないが、各目的に対する同意は必要である。同意を必要とする1つ以上の目的を持つCookieには、目的毎に同意を得なければならない」

またDPCは、Facebookピクセルといったトラッキングテクノロジーが組み込まれたウェブサイトも発見した。しかし、その運営者は調査に対しこれらを記載せず、かわりにHTTPブラウザCookieのみを記載した。これは、一部の管理者が自らのウェブサイトにトラッカーが組み込まれていることを認識すらしていないことだとDPCは見ており、

「一部の管理者においては、ウェブサイトに搭載されているトラッキング要素について認識しているかどうかすら明らかでない。小規模のウェブサイトで管理や開発を第三者に外注している場合は特に」と述べている。

報告書によると、「不適切な慣行、とりわけ、eプライバシー規制とその目的に対する不十分な理解」の観点からみると、今回の対象を絞った調査で最も問題があることが判明したのはレストランとフードオーダーセクターであった。(得られた情報が多くのセクタ―の中のごく限られたサンプルをベースにしているのは明白ではあるが)

ほぼ全面的に法への遵守がなされていないことが判明したものの、ヨーロッパの大手テクノロジー企業の殆どに対する主要規制機関でもあるDPCは、さらに細かいガイダンスを発行することでこれに対処している。

これには、事前にチェックが入った同意を示すチェックボックスを削除すること、Cookieバナーをユーザーの同意を「誘導」するように設計してはならないこと、また、却下オプションも同様に目立つようにしなければならないこと、また不可欠でないCookieをランディングページに設置してはならない、など具体的な項目が含まれる。ユーザーが同意を取り消す方法を常に用意し、また同意の取り消しを、同意をするのと同じように簡単に行えるようにすべきであることも定めている。

このような内容は以前から明確ではあったが、少なくとも2018年5月にGDPRが適用されて以来、さらに明確になっている。DPCは問題のウェブサイト運営者に体制を整えるためにさらに6ヶ月の猶予期間を与え、その後EUのeプライバシー指令と一般データ保護規則を実際に施行する見込みである。

「管理者がユーザーインターフェースや処理を自主的に変更しない場合、DPCにはプライバシー規制とGDPRの両方より与えられた強制執行力があり、必要に応じて、管理者の法律の遵守を促進するために最も適切な強制措置を吟味する」とDPCは警告している。

この報告書はヨーロッパのオンライントラッキング業界の最新動向をまとめたものである。

英国の個人情報保護監督機関(Information Commission’s Office: ICO )は何ヶ月にもわたり、ブログに厳しい内容を投稿をしている。同監督機関の昨夏の報告書によると、プログラマティック広告業界によるインターネットユーザーの違法なプロファイリングが蔓延していることが判明し、やはりこの業界に改革のため6ヶ月間が与えられた。

ただし、ICOは、アドテック業界の合法なブラックホールにはなんら措置を講じていない。今年初めにプライバシーの専門家の一人が述べたように、「英国での記録史上最大のデータ漏えいを終わらせるための実質的な措置」がなく、批判が集まっている。

英国が違法なアドテック業界の取り締まりに手をこまねいている「悲惨」な現状を、プライバシーの専門家らが批判

英国のデータ保護規制当局は、業界全般に見られる行動ターゲティング広告に関連する法律違反の取り締まりに再度失敗し、これをプライバシーの専門家から非難されている。ただし昨夏には、アドテック業界に違法行為が蔓延しているとの警告があった。

情報コミッショナー事務局(ICO)は、一部のオンラインのプログラマティック広告に含まれるリアルタイムビディング(RTB)システムがユーザーの機密情報を違法な形で処理している疑いがあることを以前にも認めていた。しかし、ICOは、法律への違反が疑われる企業に強制措置を講ずる代わりに、本日穏やかな文言を連ねたブログを投稿した ― その中で、ICOはこの問題は(さらなる)業界主導の「改革」によって修正可能な「組織的問題」だと述べた。

しかし、データ保護の専門家は、そもそもそうした業界の自主規制こそが、今日のアドテック業界に違法行為が蔓延した原因なのだと批判している。

一方アイルランドのDPCは、GDPRに関する苦情を数多く受けてはいるものの、FacebookやGoogleなどのテクノロジー大手のデータマイニングビジネス慣行に対する、複数の国際調査に着手する決断を下していない。これには人々のデータを処理するための法的根拠に関する調査も含む。

この汎EU規制が施行されてからの2年を振り返る審査が2020年5月に行われる。この審査が厳格な最終期限をもたらす可能性がある。

[原文へ]

(翻訳: Dragonfly)