欧州のプライバシー擁護団体noybは、広告ターゲティングのための追跡についてユーザーの同意を適切に求めていないとして、同地域のウェブサイトを標的に、クッキー同意に関する2回目の苦情(合計270件)を出した。
問題は、明確な選択肢が含まれない同意ポップアップや、違法なダークパターンを使用して消費者を騙し、追跡やプロファイリングに「同意」させて、パブリッシャーが消費者の注意を売って利益を得ることです。
この擁護団体の反論メッセージはシンプルです。欺瞞的な Cookie ポップアップを改革するか、正式な強制執行の脅威に直面するかです。
noyb の苦情草案を受け取ったウェブサイトが非準拠の Cookie バナーを修正しない場合、同社は EU のデータ保護当局に正式な苦情を申し立てると述べている。その時点で、違反したパブリッシャーは地域のデータ保護法に基づき、最大 2,000 万ユーロの罰金を科せられるリスクがある (つまり、その後に DPA が違反を確認し、罰金が妥当であると判断した場合)。
不正な Cookie バナーに関する noyb の最新の動きは、OneTrust 同意管理プラットフォームのユーザーに焦点を当てた昨年サイトに送った 560 件の苦情の第一波に続くもので、同社によるとこの措置により大きな変化が生まれ、特定された違反のほぼ半数 (42%) が 30 日以内に是正されたとのことです (noyb は正式な苦情を提出する前に、推奨される変更を行うためにサイトに対し 60 日間の猶予を与えています)。
EU全域でクッキー同意違反が蔓延していることを考えると、これは印象的な成功率と言えるでしょう。しかし、明らかに偽のクッキーバナーが依然として大量に出回っています。そのため、noybはまだキャンペーンを終わらせていません。
同団体の創設者マックス・シュレムス氏は、今回の一連の措置は、昨年特定した5,000のウェブサイトの元のリストに関連する第2段階の措置であると説明した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「約5,000のウェブサイトのリストを入手しました。前回は最初の約500件を確認しました。今回は、OneTrustをCMP(同意管理プラットフォーム)として使用している、関連性のある規模と評価できる残りのウェブサイトです」と彼はTechCrunchに語った。「次は、他のCMPを検討していく予定です。」
IABのTCFが欧州のGDPRに違反していることが判明し、行動ターゲティング広告業界は厳しい改革期限を迎える
noybが開発した「WeComply」キャンペーンは、自動化技術を用いて同意フローを自動解析するツールで、ユーザーへの選択肢の提示方法に関するコンプライアンス上の問題を特定します。例えば、最上位層でオプトアウトが提供されていない、ボタンの色分けが分かりにくい、偽の「正当な利益」オプトインなどです。その後、プラットフォームはnoybの法務担当者によるレビュー後、違反サイトにメールで送信できるドラフトレポートを自動的に作成します。
この賢明なアプローチにより、小さな非営利団体が最大 10,000 件の Cookie 同意苦情を提出することを想定できるようになり、この大規模な行動を通じて、最大規模の地域データ保護当局の一部ですらまだ触れていない (こんにちは、ICO!) 追跡広告セクターによる組織的な規則違反に取り組むことができました。
noyb の、アドテク チェーンのパブリッシャー側における体系的な法律違反に取り組む戦略は、Cookie バナー改革の最初の波をもたらしたが、その行動は体系的な頑固さも浮き彫りにした。同社によると、最初の波で連絡を取った企業の大多数 (82%) が完全には従っていなかったため、EU 内の 20 の異なるデータ保護当局に 456 件の苦情を提出するに至ったという。
そして、それが現在、新たな一連の苦情を申し立てている理由でもある。
「バナーデザインにはいくらか改善が見られるものの、一貫して規則を遵守していない企業を是正させるにはさらなる取り組みが必要になるだろう」と、noybのデータ保護弁護士アラ・クリニツキテ氏は声明で述べた。
出版社のコンプライアンスを促すnoybの直接的な行動に加えて、欧州データ保護委員会はその後、正式な苦情への対応を調整するための特別タスクフォースを発表した。そしてnoybによれば、現在では「ほとんどの」DPAがこれらの苦情の受領を確認しているという。
苦情に関する決定はまだ出ていないものの、Cookieの同意に関する問題については、執行措置が始まっていることは明らかです。だからこそ、昨年私たちは、欧州におけるCookieの同意に関する清算が迫っていると警告したのです。
ここ数か月、クッキーに関する重要な判決もいくつか下されている。例えば、今年 1 月にはフランスの CNIL がクッキーバナーにダークパターンのデザインが組み込まれているとして Google と Facebook に罰金を科したほか、欧州データ保護監督機関がクッキーの同意が紛らわしく欺瞞的であるとして欧州議会を厳しく罰する判決を下した。
フランスも2020年12月、追跡クッキーを自動的に削除したとしてGoogleとAmazonに多額の罰金を科した。
(そして、昨年秋に民間部門に移籍した英国の情報コミッショナーでさえ、追跡の終焉が近づいているとアドテク業界に警告していた。)
EUの一般データ保護規則(GDPR)の施行に伴って、多くの国境を越えた苦情がアイルランドのデータ保護当局(DPA)に寄せられ、GDPRの施行を阻む悪名高いボトルネックが生じている一方、フランスは、クッキーの同意は従来のeプライバシー指令の対象であり、国境を越えた事業者に対する苦情を「主任」データ管理者に渡す必要がないため、この問題に関してテクノロジー大手に対して主導権を握ることができている。
また、eプライバシー指令では、EU加盟国全体での活動に関連して、パブリッシャーに対してクッキーに関する苦情を申し立てることを認めている。そのため、noybの何百ものクッキー同意に関する苦情は、1つか2つの機関の机上でバックアップされるのではなく、複数のデータ保護機関に分散されている。
noybとフランスのCNILによるこうした戦略的行動は、EUデータ保護の機能的(つまり能動的な)分散型執行がどのようなものになり得るかを示唆している。これには、巨大テクノロジー企業への巨額の罰金や、体系的なルール違反に対する強制的な改革命令が含まれる。そして、それが人々やウェブ全体にもたらす効果も期待できる。ダークパターンの減少、面倒なクリックの減少、情報保護の強化、そしてGoogleのような巨大アドテク企業にターゲティングビジネス全体の見直しを迫る改革の推進力となるだろう。
このギャラリーは、noybのキャンペーンがこれまでに成功裏にターゲティングしたCookieバナーの一部です。多くのサイトでは、トップレベルに「すべて拒否」(「すべて承認」ボタンに相当する)という明確な選択肢がありませんでした。キャンペーン後、この一部のパブリッシャーは、ユーザーにトラッキングをオプトアウトする明確な選択肢を提供するようになりました。
ほら、そんなに難しくなかったでしょ?
この擁護団体はまた、いわゆる「スピルオーバー」効果についても強調し、最初の一連の苦情では対象としていなかったいくつかのウェブサイトが、それにもかかわらずクッキーバナーを改善したことに気づいたと述べている。これはおそらく、この問題に対する業界の認識が高まった結果であると考えられる。
「まだ連絡を取っていない多くのウェブサイトは、苦情を申し立て始めるとすぐに設定を改善しました。これは、私たちのアプローチが個々のケースを超えてコンプライアンスを確保していたことを意味します」とクリニツキテ氏は付け加えました。
この観察は、データ保護の積極的な施行が、少なくとも出版社のような顧客対応主体に対しては刺激的な効果をもたらし、機能不全に陥ったアドテック業界の規範のより広範な改革を促す可能性があることを示唆している。
結局のところ、パブリッシャーは評判リスクを考慮しなければならない。十分な数のサイトが有害なデフォルト設定から切り替えれば、人々が「プライバシーの選択」を表明する際に何を言ったかに関係なく、人々のデータを取得しようとする追跡業界の対抗的な動きを大規模に断ち切る勢いが生まれる可能性がある。
データ保護に関する法執行の歴史的欠如が逆効果をもたらしてきたこともまた明白です。つまり、ウェブユーザーの同意なしのトラッキングが横行し、データブローカー、データエンリッチメント業者、トレーダーといった不透明な業界が蔓延しているのです。EUが長年保有してきたデータ保護権限がGDPRによって強化され(そして、さらに重要な点として、noybのような市民社会団体の支援によって執行能力が強化された)、ようやく真のプライバシー改革の芽が見え始めたのは、今になってからです。
同意管理プラットフォーム(CMP)は、アドテク業界が組織的に同意を盗むための戦略的ツールとして長い間利用されてきました。これは、ベルギーのデータ保護機関が最近、IAB Europeの「透明性と同意のフレームワーク」がGDPRに違反していると判断したことからも明らかです。
また、トラッキング業界の組織的な無法行為が長らく罰せられなかったために、どれだけのパブリッシャーが、Cookie バナーに違法なデフォルトを設定するよう促されたり、保護されたと感じたりしたかを考えることも興味深いことです。
多くの人は、オンライン上で見聞きした「同意」のデフォルトを、アドテクが決めた「規範」に合わせて設定しただけなのかもしれない。それがどれほど機能不全で、違法なものか、まったく気づかないまま。
だからこそ、noyb の Cookie キャンペーンは非常に強力である。十分な勢いが生まれれば、業界全体が新たな方向性に転換する可能性がある。つまり、巧妙なダークパターンではなく、サービスの質こそが、消費者の信頼を勝ち取り、情報を提供するために必要な秘訣となるのだ。
一方、noyb は WeComply キャンペーンをさらに拡大し、ウェブから偽の Cookie バナーを排除して、より多くの苦情 (目標の 10,000 件まで) を提出し続ける予定です。これには、Schrems 氏が指摘するように、TrustArc、Cookiebot、Usercentrics、Quantcast など、現在同社のソフトウェアが検出するように設定されていない他の CMP を使用するページにもキャンペーンの範囲を拡大することが含まれます。
もし訪問するウェブサイトごとに「すべて拒否」または「すべて承認」ボタンをクリックしなければならないのが面倒すぎると思うなら、noybが以前、技術的な解決策を提案していました。それは、ユーザーが設定した選択肢を明示する、ブラウザレベルの高度な制御です。EUの立法者がバトンタッチし、こうしたシグナルを明確に法的拘束力のあるものにするだけです。(GDPRは既にブラウザからの自動シグナルによる同意の選択を認めていますが、そのようなメカニズムを明示的に規定できるePrivacyの改革は依然として行き詰まっています。)
これによって、再び広範な業界改革が重要になる。何千もの企業が正反対のことをしろと叫んでいなければ、議員たちは常に消費者に有利な改革を推進することに抵抗がない。
欧州のクッキー同意に関する審議が迫る
プライバシー保護団体は、クッキー同意の悪夢を解決するために、欧州はブラウザレベルの制御を支持する必要があると述べている
