ワイヤード
ウェブ閲覧のユーザーエクスペリエンスはかつてないほど悪化しています。たとえほんの少しの時間しかオンラインで過ごしていなくても、Cookie同意通知から逃れることは不可能です。これは、Cookieを通じてユーザーに関するデータを収集する新しいウェブサイトにアクセスするたびに表示される、邪魔なバナーやブロックです。どの通知も同じ質問を問いかけています。「このウェブサイトに情報を収集させてもいいですか?」
こうしたCookie通知の普及は、欧州の法律によるものです。GDPRとそれに伴うeプライバシー指令の改正により、ウェブ上のほぼすべてのサイトは、欧州のユーザーが「許可」をクリックすることを確実に義務付けられました。
法改正は、ウェブトラッキングを誰もが理解しやすくすることを目的としていました。しかし、GDPR施行から2年が経った今、クッキー同意通知はウェブにとって汚点となっています。研究者たちは、クッキー同意通知がダークパターンを用いてユーザーを騙し、「はい」をクリックさせていることを発見しました。また、規則を遵守していないウェブサイトに対する強制措置が不十分であること、そしてクッキー同意通知の目的に対する認識が一般的に低いことが、深刻な混乱を引き起こしています。
「画面上でとても大きいので、たいていの人はクリックして消そうとします」と、非営利インターネット擁護団体Access Nowのシニア政策アナリスト兼グローバルデータ保護責任者であるエステル・マッセ氏は言う。「先に進みたいのです。実際に何が起こっているのか読んでいないし、自分が何に同意しているのかも分かっていません。ツールとしてはあまり役に立ちません。」
クッキー通知には様々な形やサイズがありますが、その仕組みは基本的に同じです。クッキーは、訪問先のウェブサイトがユーザーに関する情報を収集することへの同意を求めるために設置されます。スマートフォン、ノートパソコン、タブレットでは、クッキーは情報を含むテキスト文字列として存在します。クッキーはウェブブラウザによって保存され、ウェブサイトにアクセスするたびにサーバーと通信します。多くの場合、クッキーは識別子、つまりユーザー固有のコードとして存在します。
ウェブサイトがCookieを通じて収集する情報の種類は、そのウェブサイトのサービス内容によって異なります。例えば、オンライン衣料品店とニュースサイトは収集する情報が異なります。Cookieは、スパムやアクセスされているサーバーを検出する情報など、ウェブサイトの機能に役立つ情報や、パーソナライゼーションやターゲティング広告につながるその他の情報を収集する場合があります。ウェブサイトは、GoogleやFacebookの広告基盤から提供されるオンライン識別子を検出し、閲覧履歴に基づいてユーザーの興味関心を判断し、クリックする可能性の高い広告を表示することができます。
GDPRの導入により、ウェブ全体でCookieに関する同意通知が急増しました。この法律は、約20年前にデジタルプライバシー管理のために制定されたeプライバシー指令における同意の定義を変更し、最終的にウェブサイトはCookie設定に移行しました。この設定では、ユーザーがデバイス上でCookieの収集を許可するかどうか、クリックして確認する必要があります。(欧州裁判所は、事前にチェックを入れた同意ボックスはCookieへの同意を得る手段とはみなされないと判決を下しました。)
2019年10月に発表された調査によると、GDPRの導入後、欧州の主要ウェブサイトの60%以上がCookie同意通知を表示しています。この調査の著者であるドイツのルール大学ボーフムのクリスティン・ウッツ氏とマーティン・デゲリング氏は、調査完了以降、この割合は増加している可能性があり、ウェブサイトがCookie同意通知で提供する情報も改善されていると述べています。
彼らの研究論文は、ウェブサイト上のCookie通知の配置(ユーザーが最も反応しやすいのは画面左下の通知)、提供される選択肢、そして通知の文言について調査しました。「二者択一を求められる場合、カテゴリーや企業ごとにCookieの使用を個別に許可する必要がある仕組みに比べて、より多くのユーザーがトラッキングを受け入れる意思がある」と論文は述べています。「また、ナッジ(促す)という慣習が広く普及していることが、ユーザーの選択に大きな影響を与えていることも示しています。」
クッキー同意通知には、途方に暮れるほど多くの選択肢が表示されることがあります。一部のウェブサイトでは、「すべてのクッキーを受け入れる」オプションが、大きなフォントや目立つ色で強調表示されます。こうした通知は、ユーザーがじっくり考える間もなくすべてを受け入れてしまうように設定されていることが多いのです。「ほとんどの人は、大きいボタンや明るいボタンをクリックするだけです」とデゲリング氏は言います。「多くのウェブサイトは、依然としてダークパターンを使ってすべてのクッキーを受け入れさせようとしています」とウッツ氏は付け加えます。
アイルランドデータ保護委員会が4月初旬に発表した報告書は、40のウェブサイトを対象に、クッキーに関する同意通知の運用状況を調査したもので、その結果は特に肯定的なものではありませんでした。ウェブサイトの4分の1は同意ボックスに事前にチェックを入れており、約半数はGDPRおよびeプライバシー指令で求められる規則を満たしていない可能性があることを認めていました。「ほぼすべてのサイトで、軽微なものから深刻なものまで、コンプライアンス上の問題が依然として存在していると我々は考えています」と委員会は述べています。GDPRと並行して施行されるeプライバシー指令の改訂版(eプライバシー規則)の策定作業は2017年に開始されましたが、広告業界からの激しいロビー活動や政治的交渉に直面し、大幅に停滞しています(「GDPRよりもロビー活動が激しく、複雑です」とマッセ氏は述べています)。
ウェブサイトに表示されるクッキー通知の大部分は、ウェブサイト側が作成したものではありません。同意管理プラットフォーム(CMP)によって作成されています。これらの企業は、既存のウェブサイトに統合可能なシステムを開発しており、サイト制作者にとってクッキーに関する同意プロセス全体を簡素化します。デンマークのオーフス大学、MIT、ユニバーシティ・カレッジ・ロンドンの研究者らによると、QuantCast、OneTrust、TrustArc、Cookiebot、Crownpeakの5社が、英国の上位1万ウェブサイトの58%をカバーしていることがわかりました。(WIREDの発行元であるCondé Nast BritainはOneTrustを使用しています。)
詳しくはこちら:GDPRとは?英国におけるGDPRコンプライアンスの概要ガイド
これらの企業のツールの多くは、インタラクティブ広告協会(IAB Europe)が作成したフレームワークを使用しています。IAB Europeによると、数千の顧客を抱えるCMPを含む650以上の組織がこのフレームワークを使用しています。IABのプライバシー担当法務ディレクター、フィリップ・セデフォフ氏は、このフレームワーク(TCF)は「現在、欧州連合(EU)全域の数十万のウェブサイトで導入されており、EUに拠点を置くパブリッシャーやその他のウェブサイトとの間でやり取りされるプログラマティック広告トラフィックの3分の1以上に利用されている」と推定しています。
フレームワークの最新版では、クッキーに関する通知の表示方法と言語の標準化を目指しています。「TCFが提供する法的に義務付けられた情報開示に関して、サイトやアプリ全体で広範な標準化と一貫性が確保されることで、良好なユーザーエクスペリエンスが保証されます」とセデフォフ氏は述べています。「ユーザーは毎回新しい用語を覚えたり、新しい選択肢を理解したりする必要はありません。TCFのどの参加機関がデータを処理するかに関わらず、データには一貫して適用される、よく理解された一連のルールがあることを確信できます。」
これにより、ウェブサイトは、ユーザーがCookieの同意オプションをクリックする際に、より詳細な情報を提供するようになりました。一般的な設定では、Cookieのカテゴリーをオフ(またはオン)にすることができます。これらのカテゴリーには、必須のCookie、ユーザーの好みの形成を支援するCookie、統計、マーケティング、広告に提供されるCookieなどが含まれます。また、場合によっては「未分類」のカテゴリーに分類されるCookieもあります。
しかし、オーフス大学のデジタル権利研究者であるミダス・ナウエンス氏は、ほとんどの人が何に同意しているのか理解していないため、この細分化は役に立たないと述べています。「GDPRに関して、ほとんどの人が経験するのはポップアップ広告です。これは煩わしく、イライラさせるもので、実際には意味のある制御感を与えてくれません」とナウエンス氏は言います。アイルランドの規制当局もこれに同意しています。報告書には、「多くの管理者は、自社のウェブサイトに配置されているCookieを『必要な』または『厳密に必要な』機能を持つものとして分類していましたが、そのCookieの記載された機能は、eプライバシー規則/eプライバシー指令に定められた2つの同意免除基準のどちらも満たしていないように思われました」と記されています。
ナウエンス氏らは、英国の上位1万ウェブサイトから、クッキーに関する同意通知を収集し、その大半が規則に従っていないことを明らかにした。「88.2%が違法に設定されていたことがわかりました」とナウエンス氏は語る。「このテストの設計は、より定性的な分析が必要な項目ではなく、自動的に処理できる項目のみを対象とするため、かなり寛大な見方でした」。一般的に、ほとんどの同意通知は意味をなさなかったり、「ダークパターン」を用いてすべてのトラッキングを受け入れるようユーザーに促したりしていた。一部の研究では、ユーザーが選択した場合でも、ウェブサイトがそれを無視する可能性があることが分かっている。
しかし、クッキールールを遵守していないウェブサイトへの取り締まりはほぼ行われていません。中央ヨーロッパの機関はクッキーの同意に関するガイダンスを5月初旬を含めて発行していますが、個々のデータ保護当局が行動を起こす必要があります。複数のデータ保護当局がガイダンスを発行していますが、ルール違反者への罰金は未だに実施されていません。(ブラウザベースのDo Not Trackなどの自主規制システムは、ウェブサイトが自主性を尊重していないため、概ね機能していません。)
クッキーを適切に表示していないウェブサイトに対するGDPR違反の罰金は、スペインでのみ発生しています。スペインの格安航空会社の1社が、データ保護機関であるスペインデータ保護庁(AEPD)によって、クッキーに関する十分な制御機能がユーザーに提供されていないと判断され、3万ユーロ(2万6000ポンド)の罰金を科されました。その後の決定で、AEPDはスペインのウェブサイトはきめ細かな制御機能を提供する必要があると述べました。欧州データ保護会議(ECB)の広報担当者は、ダークパターンについていかなる立場も表明していないことを確認し、この問題は認識しており、メンバーは今後の展開を注視していると付け加えました。
この記事のために話を聞いた研究者全員が、GDPRの規制強化が必要だと述べた。ナウエンス氏は、真の変化は各国政府、EU、そして企業からもたらされるべきだと主張する。「私たちは、ウェブサイトが設計段階から、そしてデフォルトでプライバシー保護を採用する方向へ進みたいと考えています。つまり、デフォルトではトラッキングが行われず、トラッカーを設置するタイミングと設置しないタイミングを私たちが決定できるような状況です」とマッセ氏は語る。
結局のところ、人々がコントロールを取り戻すためにできることはほとんどありません。「ユーザーに何ができるでしょうか?これはシステム的な問題なので、できることはほとんどありません」とナウエンス氏は言います。「個人の責任にすべきではないと思います。人々がより多くの情報を得ることで、あるいは各ウェブサイトでより多くの時間を過ごしてクリックすることで、この解決策が見つかるとは思えません。」
ただし、いくつかの選択肢はあります。ブラウザはサードパーティCookieの使用を減らす傾向が強まっており、プライバシー重視のブラウザの中には、デフォルトでトラッキングをブロックするものもあります。また、自作できる選択肢も増えています。Nouwens氏は、主要なCookie同意プロバイダーと連携し、クリック操作の回数を減らすことができるブラウザ拡張機能を開発しました。「一度設定すれば、あとは自動的に入力されます。」
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
WIREDによるコロナウイルス報道
📖 コロナウイルスは臓器を一つずつ破壊していく
🏘️ 介護施設の破綻こそが真のコロナウイルススキャンダル
🔒 英国のロックダウン規制について解説
❓ 英国の雇用維持のための一時帰休制度について解説
💲 ユニバーサルベーシックインカムはコロナウイルス対策に役立つでしょうか?
👉 Twitter、Instagram、Facebook、LinkedInでWIREDをフォローしてください
この記事はWIRED UKで最初に公開されました。
