イタリアの競争・消費者監視機関は、Googleが広告プロファイリングのためにさまざまなサービス間でユーザーの行動をリンクするためにどのようにユーザーの同意を得ているかを調査していると発表し、この広告技術大手が「不公正な商慣行」をしている疑いがあると述べた。
ここで問題となるのは、GoogleがGoogle検索、YouTube、Chrome、マップなどのアプリやサービスにおけるユーザーのアクティビティをリンクするために、EU域内のユーザーからどのように同意を得ているかという点です。ユーザーアクティビティをリンクすることで、Googleは主要な収入源である広告ターゲティングのためにユーザーをプロファイリングすることが可能になります。
イタリアAGCMの調査に対し、Googleの広報担当者はTechCrunchに対し「この件の詳細を分析し、当局と協力していきます」と語った。
3月初旬以降、GoogleはEUデジタル市場法(DMA)の対象となっている。これは、イタリアを含む欧州連合(EU)全域に適用される事前競争制度である。同社は、複数の主要プラットフォーム(いわゆる「コアプラットフォームサービス」)を所有・運営する指定インターネット「ゲートキーパー」の一社である。他のゲートキーパーには、Amazon、ByteDance、Meta、Microsoftなどが挙げられる。
EU全域に適用されるこの規制は、イタリアによるGoogleに対する調査にも関連しています。DMA(データ保護規則)は、これらのゲートキーパーに対し、広告目的でユーザーの個人データを処理する場合、あるいは自社のサービス全体から収集したデータを統合する場合、事前に同意を得ることを義務付けているからです。AGCMの調査は後者の分野に焦点を当てているようです。
「グーグルがユーザーに提供サービスのリンクに関する同意を求めることは、誤解を招く攻撃的な商業行為となる可能性がある」とAGCMはプレスリリースで述べた。
「確かに、この報告書には不十分、不完全、そして誤解を招くような情報が伴っているように思われ、同意を与えるべきかどうか、またどの程度与えるべきかという選択に影響を与える可能性がある。」
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
こうしたゲートキーパーに対する執行を主導するのは通常、欧州委員会であるため、規制当局の行動は興味深い。しかし、3月に発表されたDMA(データ主体アクセス制御)に基づくECのGoogleに対する継続的な調査は、ユーザーデータのリンクについて同意を得ているかどうかに焦点を当てていない。ECは、DMA調査はGoogle検索における自己優先とGoogle Playにおけるアンチステアリングに関するものだと述べている。
イタリア当局は、欧州委員会がまだ対応していない懸念事項に対処する機会を捉えているようだ。当局の広報担当者は、不公正な商慣行が確認された場合、最大1,000万ユーロの罰金を科す権限があることを確認した。
EUおよび加盟国間の競争法執行は一般的に、重複した取り組みを避けることを目的としているが、今回のケースでは、イタリアの規制当局がその不足を補っているのかもしれない。
欧州委員会の広報担当者はTechCrunchに対し、GoogleがDMA(データ保護規則)に基づく義務に関連して実施した消費者の選択に関するAGCM(消費者行動規範)の調査を「留意する」と述べ、さらに次のように付け加えた。「この調査はDMAに基づく執行活動を補完するものです。DMAの実施にあたり、ゲートキーパーは消費者保護やデータ保護の規則を含む、その他の関連するEUおよび各国の規則を遵守する必要があります。」
Googleの同意フローを詳しく見る
AGCMはプレスリリースで、Googleがユーザーに同意を求める際に、ユーザーが自由かつ十分な情報に基づいた選択を行うために必要な情報を提供していないことを懸念していると述べた。また、Googleが提供した情報も「不十分かつ不正確」だとAGCMは指摘した。具体的には、アカウントの連携に同意した場合のユーザーへの「実際の影響」について、Googleが透明性を欠いているとAGCMは疑っている。
さらに、規制当局はGoogleが全体像を明らかにしていないと疑念を抱いている。Googleが提供する「個人データの『統合』や『相互利用』が行われる可能性のあるGoogleのサービスの種類と数、そして一部のサービスのみへの同意を調整(つまり制限)する可能性」に関する情報のレベルを懸念している。
DMA は、広告目的でアカウントをリンクするための同意は、別の汎 EU 法である一般データ保護規則 (GDPR) で定められた基準に準拠する必要があると規定しており、同意は「自由に与えられ、具体的で、十分な情報に基づいた、明確なもの」でなければならないと規定しています。
GDPRは、オンラインインターフェースにおける書面による同意の求め方についても条件を定めています。こうした同意の求めは、「他の事項と明確に区別できる方法で、分かりやすくアクセスしやすい形式で、明確で平易な言葉を用いて提示する」ことが求められています。
通常、データ保護当局が GDPR の施行を主導しますが、DMA がデータ保護当局の同意基準を参照して組み込んだ結果、イタリアの競争・消費者監視機関が Google の同意フローを精査する事態に至りました。
AGCMは、Googleがユーザーに提供する情報だけでなく、 Googleがユーザーの同意を求める方法についても懸念を抱いています。これは、同意を求める際にGoogleが用いる「技術と方法」にも問題がある可能性があることを示唆しています。
当局は、Googleの同意フローが「平均的な消費者の選択の自由を左右する可能性がある」と疑っており、ユーザーは「複数のサービス間で個人データを統合・相互利用することに同意することで、本来であれば行わないであろう商業上の決定を迫られる」可能性があると述べている。つまり、Googleはユーザーを操作してアカウントの連携に同意させようとしている可能性があるということだ。
操作的な、いわゆる「ダークパターン」と呼ばれるデザインは、長年にわたり、あらゆる消費者サービスにおけるオンラインの選択フローの厄介な特徴となってきました。しかし、EUにおけるデジタルプラットフォームとサービスに対する規制の強化により、このユーザーを敵視する戦術はついに試練にさらされているようです。
DMA が同意に関する GDPR 基準を参照し、より多くの執行機関が選択フローを精査できるようにしているほか、欧州連合のデジタル サービス法 (DSA) は、ユーザーの自由な選択能力を歪めたり損なったりするために欺瞞やその他の不正な誘導を使用するデザインの使用を完全に禁止しています。
先週、EUは、X(旧Twitter)の青いチェックシステムが違法なダークパターンである疑いがあると発表した際、DSAの欺瞞的デザインに関する規則に違反しているという最初の予備調査結果を確認した。
この報告書は、欧州委員会 およびAGCMからのコメントに基づいて更新されました。また、ゲートキーパーのリストにおける編集上の誤りも修正しました。
