クッキーのポップアップにうんざりしていませんか?オンラインでの作業の邪魔になる、イライラさせられる「データ選択」通知のせいで、ヨーロッパではウェブが「使い物にならない」という苦情は、確かによく聞きます。
見つけにくいのは、「すべて拒否」ボタンです。このボタンは、不気味な広告など、あまり好まれないコンテンツを表示する不要なCookieをオプトアウトするためのものです。しかし、法律ではオプトアウトの選択肢が明確に提示されるべきだと定められています。つまり、EUの「規制官僚主義」が問題だと訴える人たちは、的外れな標的を狙っていることになります。
クッキーの同意に関する EU 法は明確です。Web ユーザーには、承認するか拒否するかというシンプルで自由な選択肢が提供されるべきです。
問題は、ほとんどのウェブサイトが法令を遵守していないことです。彼らは、非常にシンプルなオプトイン(すべてのデータを渡す)と、非常に分かりにくく、イライラさせられる、面倒なオプトアウト(場合によっては拒否オプションが全くない)という、歪んだ選択肢を提供することで、法律を軽視しています。
誤解しないでください。これは意図的に法律を無視しているのです。サイト側は、可能な限り冷笑的で非対称的な「選択肢」を提供することで、ユーザーを疲弊させ、データを入手し続けようとしているのです。
しかし、EU 法では Cookie の同意はこのように機能するものではないため、これを行っているサイトは、規則に違反したことで一般データ保護規則 (GDPR) や ePrivacy 指令のもとで多額の罰金を科せられる可能性があります。
たとえば、昨年末にフランスで Google と Amazon が同意なしに追跡クッキーを削除したことで科された巨額の罰金 2 件をご覧ください。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
フランス、同意なしに追跡クッキーを削除したとしてGoogleに1億2000万ドル、Amazonに4200万ドルの罰金
これらの罰金は確かに注目を集めるものだったが、EU がクッキーの同意に関して強制力を持つのは今のところあまり見られない。
これは、データ保護機関がサイトのコンプライアンス遵守に対して、これまでほとんどが緩やかなアプローチをとってきたためです。しかし、施行がはるかに厳しくなる兆候があります。例えば、データ保護機関は適切なCookieコンプライアンスのあり方に関する詳細なガイダンスを公開しており、間違える言い訳は一切ありません。
一部の機関は、企業がCookie同意フローに必要な変更を加える時間を与えるため、コンプライアンス猶予期間を設けていました。しかし、EUの旗艦データ保護制度(GDPR)の施行から丸3年が経過しました。ですから、今なおひどく皮肉なCookieバナーを表示する正当な言い訳はありません。これは、サイトが法律違反で運試しをしていることを意味するだけです。
クッキー同意の強制執行が間もなく強化されると予想されるもう一つの理由があります。欧州のプライバシー保護団体noybが本日、違反行為の山を一掃するための大規模キャンペーンを開始しました。今年中に違反者に対し最大1万件の苦情を申し立てる計画です。そしてこの活動の一環として、違反者が遵守するための無料ガイダンスを提供しています。
本日、同社はEU全域(33カ国が対象)にある大小さまざまなサイトに対してすでに提出されている560件の苦情の第一弾を発表した。noybによると、苦情はGoogleやTwitterなどの大手企業から「相当数の訪問者を抱える」ローカルページまで、幅広い企業を対象としているという。
「コンサルタントやデザイナーの業界全体が、架空の同意率を確保するために、狂ったクリック迷路を作り出しています。人々を苛立たせて『OK』をクリックさせるのは、GDPRの原則に明らかに違反しています。法律では、企業はユーザーが選択を表明できるように支援し、公平なシステムを設計しなければなりません。企業は、実際にクッキーを受け入れたいと思うユーザーは全体の3%に過ぎないことを公然と認めていますが、90%以上のユーザーは『同意』ボタンをクリックするように仕向けられるのです」と、noybの議長であり、長年EUのプライバシー保護活動に携わってきたマックス・シュレムズ氏は声明で述べています。
「企業は、単純な「はい」か「いいえ」の選択肢ではなく、あらゆる手を使ってユーザーを操ろうとしています。私たちは15件以上のよくある悪用例を特定しました。最も一般的な問題は、最初のページに「拒否」ボタンがないことです」と彼は付け加えました。「私たちはヨーロッパで人気のあるページに焦点を当てています。このプロジェクトには1万件もの苦情が寄せられると見積もっています。私たちは寄付金で運営されているため、法律事務所とは異なり、企業に無料で簡単な解決方法を提供しています。ほとんどの苦情が迅速に解決され、バナーがよりプライバシーに配慮したものになる日が近いことを願っています。」
noyb は、その活動を拡大するために、クッキーの同意フローを自動的に解析してコンプライアンス上の問題 (記録されている多数の違反行為のほんの一例を挙げると、最上位層でオプトアウトが提供されていない、ボタンの色がわかりにくい、偽の「正当な利益」オプトインなど) を特定し、非営利団体の法務担当者による確認後に違反者に電子メールで送信できるドラフトレポートを自動的に作成するツールを開発しました。
これは、組織的に冷笑的な Cookie 操作に対処するための革新的でスケーラブルなアプローチであり、実際に変化をもたらし、ひどい Cookie ポップアップのゴミの山を一掃する可能性があります。
noyb は、違反者に対してまず警告を与え、違反行為を改善するために 1 か月の猶予を与えてから、関係する DPA に正式な苦情を申し立てます (この場合は、高額な罰金が科せられる可能性があります)。
最初の一連の苦情は、この地域で使用されている最も人気のあるテンプレートツールの1つであるOneTrust同意管理プラットフォーム(CMP)に集中しています。ヨーロッパのプライバシー研究者は以前、このプラットフォームが、チェックボックスの事前チェックなど、非準拠の選択肢を設定するための十分なオプションを顧客ベースに提供していることを(皮肉にも)示していました…まさに、ビスケットを取るようなものです。
クッキー同意ツールがEUのプライバシールールを弱体化させるために使用されていると研究が示唆
noyb の広報担当者は、OneTrust のツールが人気があるため、OneTrust から取り組みを開始したが、今後は他の CMP にも取り組みを拡大していく予定であると述べた。
noyb の Cookie 同意に関する最初の一連の苦情は、展開されているダークパターンの腐敗の深さを明らかにしています。500 ページ以上のページのうち 81% が最初のページで拒否オプションを提供しておらず (つまり、ユーザーはサブメニューまで探さなければなりません)、73% が「欺瞞的な色とコントラスト」を使用してユーザーを騙し、「同意」オプションをクリックさせようとしています。
noyb による今回の一連の調査では、90% の企業が、法律で義務付けられているように、同意を簡単に撤回できる手段を提供していないことも判明しました。
これはまさに大規模な法執行の失敗を示す好例です。しかし、怪しいクッキー同意はもはや期限切れと言えるでしょう。
クロールしたサイトに基づいて、EU全体でクッキーの不正使用がどれほど蔓延しているかを算出できたかとの質問に対し、noybの広報担当者は、プロセス中に技術的な問題に直面したため、判断は困難だったと回答した。しかし、当初5,000のウェブサイトをクロール対象としていたが、最終的に3,600のサイトに絞り込み、重点的に調査したという。そして、そのうち3,300のサイトがGDPRに違反していると判断できたという。
それでも、技術的な問題があったか違反がなかったかのどちらかで、残り300件となりました。しかし、ここでも大多数(90%)に違反が見つかりました。これほど多くのルール違反が発生している現状では、「偽りの同意」問題を解決するには体系的なアプローチが不可欠です。だからこそ、noybの自動化技術の活用はまさに適切と言えるでしょう。
この非営利団体からはさらなるイノベーションも発表されており、同団体は、欧州の人々が「煩わしいクッキーバナーなしで、バックグラウンドでプライバシーの選択を知らせることができる」自動化システムの開発に取り組んでいると語った。
本稿執筆時点では、それがどのように機能するかについての詳細は提供されていないが(おそらく何らかのブラウザプラグインになると思われる)、同社は「今後数週間以内に」詳細を発表する予定であると述べているので、近いうちに詳細が明らかになることを期待したい。
「すべて拒否」ボタンを自動的に検出して選択できるブラウザプラグイン(たとえ最も一般的なCMPの一部だけであっても)は、「Do Not Track」の夢を再び実現させる可能性を秘めているように思える。少なくとも、Cookieバナーのダークパターンという脅威に対抗し、非準拠のCookieをデジタルの塵芥に葬り去る強力な武器となるだろう。
プライバシー重視の世界では顧客第一の関係を築くことが重要
最新の監視機関の調査でも、クッキーの同意は依然としてコンプライアンス違反の山場
