セキュリティ
Cookie(用語)
欧州一般データ保護規制 / GDPR(用語)

不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる

次の記事

EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入

あなたはCookie(クッキー)のポップアップにうんざりしていないだろうか?欧州では、ウェブサイトの閲覧時に現れる「データの選択」の通知が、オンラインで行おうとしていることを邪魔し、イライラさせられたり、混乱させられたりするため、ウェブが「使いにくい」という苦情が多数のユーザーから寄せられている。

煩わしいから、不気味な広告のような誰も好まないものを動かす必須でないCookieは「すべて拒否」できるボタンがあればいいのに、と思う人もいるだろう。

しかし法規では、ユーザーが明確に「拒否を選択(オプトアウト)する」意思表示がなされるべきだとしている。だからEUの「規制好きな官僚主義」が問題だと訴える人々は、文句をいう対象を間違えている。

Cookieの同意に関するEUの法規は明確だ。ウェブユーザーには「受け入れる」か「拒否する」かというシンプルで自由な選択が提供されるべきというものである。

問題は、単にほとんどのウェブサイトがこれを遵守していないということだ。例えば、それらのウェブサイトは、非常にシンプルな「受け入れる」(すべてのデータを渡す)と、非常に解り難くてイライラする退屈な「拒否する」(場合によっては拒否の選択肢がまったくない)という、歪んだ選択肢を提供しているところもある。これは法規を馬鹿にした行為だ。

勘違いしてはいけない。これは意図的に法律を無視するように作られたのだ。このようなサイトは、あえて非対称な「選択肢」を提供することで、人々を疲弊させ、データを奪い続けようとしているのだ。

しかし、現行のEU規制では、そのようなCookieの同意を求めるやり方は認められていないので、こういうことをしているウェブサイトは、欧州一般データ保護規則(GDPR)やeプライバシー(ePrivacy)指令の下、規則に背いたとして多額の罰金を科せられることになる。

例えば、2020年末にはフランスで、Google(グーグル)とAmazon(アマゾン)が、ユーザーの同意なしに追跡用のCookieを投下したとして、前者に総額1億ユーロ(約134億円)、後者には3500万ユーロ(約47億円)の罰金が科せられた。

罰金は確かに目を見張るほど高額だ。だが、不正なCookie同意に対するEUの取締りは、まだそれほど見られない。

これは欧州各国のデータ保護機関が、ウェブサイトをコンプライアンスに導くために、ほとんどの場合、穏便なアプローチをとってきたためである。しかし、取締りがより厳しくなる兆候もある。その1つは、データ保護機関が、適切なCookieの同意とはどういうものかを詳細に明記した指針を発表したことだ。これで意図的に間違ったことをしても言い訳の余地がなくなる。

一部のデータ保護機関は、企業がCookieの同意フローに必要な変更を加える時間を確保するため、コンプライアンスの猶予期間を設けていた。しかし、今やEUの一般データ保護規則(GDPR)が適用されてから、まる3年が経過している。もはや、いまだにひどく歪んだCookie同意バナーを掲載しているウェブサイトには、正当な理由はない。それはそのサイトが法律を破り、取り締まられない幸運を祈っている状態であることを意味する。

Cookie同意に関する取り締まりがすぐに始まることを予感させる理由は他にもある。欧州のプライバシー保護団体「noyb」は現地時間5月31日、コンプライアンス違反を一掃するための大規模なキャンペーンを開始したと発表。年内に最大1万サイトのコンプライアンスを確認し、違反しているサイトには自動的に苦情を申し立てるソフトウェアを開発したという。このキャンペーンの一環として、noybは違反者が規則を遵守するためのガイダンスも無料で提供している。

まずはその第1弾として、EU全域(33カ国)における大小さまざまなサイトに対し、すでに560件の苦情を申し立てたことが発表された。noybによると、苦情の対象となっているのは、Google(グーグル)やTwitter(ツイッター)などの大手企業から「ある程度の訪問者数を持つ」ローカルなページまで多岐にわたるという。

「コンサルタントからデザイナーに至るまで、業界全体が、仮想の同意率を確保するために、おかしなクリックの迷宮を開発しています。人々をイライラさせて『OK』をクリックさせることは、GDPRの原則に明らかに違反しています。この法律に従い、企業はユーザーの選択を容易にし、システムを公正にデザインしなければなりません。これらの企業は、実際にCookieを受け入れたいと思っているユーザーが全体の3%しかいないことを公に認めています。しかし、90%以上のユーザーは『同意』ボタンをクリックするように誘導することができるのです」と、nybの会長であり、長年にわたりEUのプライバシーキャンペーンに携わってきたMax Schrems(マックス・シュレムス)氏は声明の中で述べている。

「企業は『はい』か『いいえ』という単純な選択肢を与える代わりに、あらゆる手段を用いてユーザーを操作しています。私たちは、15種類以上のよくある悪用を確認しました。最も多く見られる問題は、最初のページに『拒否』ボタンがないことです」と、シュレムス氏は続けている。「私たちは欧州で人気のあるページに焦点を当てています。このプロジェクトで申し立てる苦情は、1万件を容易に超えるだろうと予想しています。私たちの団体は寄付によって運営されているため、法律事務所とは違って、企業に無料で簡単な解決方法を提供しています。ほとんどの苦情が迅速に解決され、バナーがもっともっとプライバシーに配慮したものになることを、私たちは期待しています」。

noybはその活動を拡大するため、Cookieの同意フローを自動的に解析してコンプライアンス上の問題点を特定し(最上層で「拒否」ボタンが提供されていない、ボタンの色がまぎらわしい、偽の「legitimate interest(正当な利益)」によるCookieの受け入れが行われている、など)、違反者にメールで送信できる(noybの法務担当者が確認してから)報告書のドラフトを自動的に作成するツールを開発した。

これは、組織的に行われている悪質なCookie操作に取り組むための、革新的で拡張性のあるアプローチと言える。実際に目立った変化を起こし、おぞましいCookieポップアップを一掃することができるだろう。

noybは、まず違反者に警告を与え、1カ月以内に違反行為を是正させる猶予を与える。それでも改善されなければ、そのサイトが関連するデータ保護機関に正式な苦情を申し立てる(そして違反者には涙が出るほど高額な罰金が課せられるだろう)。

その最初の取り組みでは、この地域で最もよく使用されているテンプレートツールの1つであるOneTrust(ワントラスト)の利用同意管理プラットフォーム(CMP)に焦点を当てている。このツールは、欧州のプライバシー研究者が以前、顧客ベースにプレチェックボックスのような非準拠の選択肢を設定するための豊富なオプションを提供していると指摘していた。困った話だ。

noybの広報担当者は、OneTrustのツールが人気が高いため、今回はそれから始めたと語っているが、将来的には他のCMPにも対象を拡大していくことを認めている。

noybが始めたCookie同意に関する苦情の取り組みは、現在多くのウェブサイトで展開されているダークパターンの腐敗ぶりを露呈させた。noybが確認した500以上のページのうち、81%は最初のページで「拒否する」選択肢を提供しておらず(つまり、ユーザーは拒否オプションを見つけるためにサブメニューを探さなければならない)、73%はユーザーを騙して「同意する」をクリックさせようとする「欺瞞的な色とコントラスト」を使用していたという。

noybの評価では、90%が法律で定められている「容易に同意を撤回できる」方法を提供していないこともわかった。

第1弾の苦情申立て対象となったサイトで見つかったCookie遵守に関する問題(画像クレジット:noyb)

このことは、大規模な法規制の施行がまったく成功していないということの現れだ。しかし、不正なCookie同意の横行も、もはやこれまでといったところだろう。

クロールしたウェブサイトに基づき、EU全域でCookieの不正使用がどの程度蔓延しているかを把握できたかと尋ねられたnoybの広報担当者は、その過程には技術的な問題があるため、判断は難しいと答えたが、しかし最初に収集した5000サイトから3600サイトに絞られたと述べた。そして、そのうち3300サイトがEU一般データ保護規則に違反していると判断できたという。

残りの300サイトについては、技術的な問題があるものと、違反していないものがあったが、やはり大部分(90%)は違反していると判断された。これほど多くの規則違反があるのだから「不正な同意」の問題を改善するには組織的なアプローチが必要だ。つまり、noybによる自動化技術の使用は、非常に理に適っている。

この非営利団体は、他にも革新的な方法を考えている。noybは欧州の人々が「迷惑なCookieバナーを使わずに、バックグラウンドでプライバシーに関する選択を知らせることができる」自動化されたシステムの開発に取り組んでいるという。

この記事を書いている時点では、このシステムがどのように機能するかについての詳細は明らかにされていないが(おそらくブラウザのプラグインのようなものになると思われる)、noybは「今後数週間のうちに」詳細を発表すると語っているので、なるべく早くわかることを期待したい。

「すべてを拒否する」ボタンを自動的に検出して選択することができる(たとえ、最も普及しているCMPのサブセットのみに有効であっても)ブラウザプラグインは「Do not track(追跡するな)」の夢を復活させるかもしれない。少なくとも、Cookieバナーによるダークパターンの弊害に対抗し、不正なCookieをデジタルの塵にするための強力な武器となるだろう。

関連記事
Google AnalyticsはちゃんとCookieがなくなった後に備えている
グーグルが「Cookie廃止後、それに代わる他のユーザー追跡技術を採用するつもりはない」と発言
GitHubがCookie追放を発表、わずらわしいCookieバナーも消える

カテゴリー:パブリック / ダイバーシティ
タグ:CookieヨーロッパGDPREUeプライバシー規則noyb

画像クレジット:Lisa Zins Flickr under a CC BY 2.0 license.

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)