TechCrunchの親会社であるYahooに対する数年にわたる調査は、メディア施設に表示されるCookieバナーに関連するものも含め、欧州連合の一般データ保護規則(GDPR)の主要な透明性要件の遵守を調査していたが、アイルランドのデータ保護委員会(DPC)が他のEUデータ保護機関に検討のために決定案を提出したと発表したことで、今日一歩前進した。
この事態についての声明の中で、副委員長のグラハム・ドイル氏は次のように述べた。
2022年10月27日、DPC(データ保護委員会)は、Yahoo! EMEA Limitedに対する調査に関する決定案をEU域内の他の関係監督当局に提出しました。この調査では、GDPRの規定に基づきデータ主体に透明性のある情報を提供するという要件に対する同社の遵守状況が調査されました。GDPR第60条に基づく手続きに基づき、関係監督当局は2022年11月24日までに、DPCの決定案に対する「関連性があり、かつ理由のある異議」を提出する必要があります。
DPCは通常の手続きに従い、決定案の内容について詳細を公表していません。いずれにせよ、他の関係するDPAが意見を述べるまでは最終的な結果は出ないため、まだ何も結論が出ていません。
この調査は、ヤフーによる欧州ユーザーのデータの処理に関するもので、GDPRの第5条(1)(a)、第12条、第13条、および第14条の遵守に焦点が当てられている。したがって、DPAは、ヤフーの事業が、個人データ処理が合法、公正、透明であるというGDPRの要件を満たしているかどうか、また、データの処理方法をユーザーに適切に伝えているかどうかを検討することになる。
他のDPAがアイルランドの草案に同意すれば、最終決定はかなり早く、おそらくは2、3か月以内に出される可能性がある。
しかし、異議が申し立てられた場合、このプロセスはGDPRの紛争解決メカニズムを経る必要がある可能性があり、事態はさらに数ヶ月続く可能性があります。(Instagramによる子供のデータ処理に関する決定案は2021年12月に第60条まで審議されましたが、例えば他のDPAがアイルランドの草案に異議を唱えたため、最終決定(そしてこの場合は高額の罰金)は2022年9月までかかりました。)
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
DPCによるヤフーへの調査は2019年8月に開始されました。当時、ヤフーはベライゾン・メディア(旧称Oath)として知られ、米国の通信事業者ベライゾンの傘下でした。ベライゾンは2021年5月にこの部門をプライベートエクイティ大手のアポロ・グローバル・マネジメントに売却しましたが、アポロ・グローバル・マネジメントは(ヤフーへの)レトロなリブランディングを選択しました。そのため、この件で規制上のリスクを負うのは、PE大手の同社です。
2019年にアイリッシュ・インディペンデント紙のインタビューで、DPCのヘレン・ディクソン委員長は、この調査は同社が運営する出版物に関する透明性の問題に焦点を当てており、ヤフーのメディアサイトに関する個人からの複数の苦情に対応して開始されたと述べた。苦情には、クッキーバナーに関するものも含まれており、ディクソン委員長によると、ユーザーに「OK」をクリックする「オプション」以外には「事実上」何の選択肢も提供していないことがあるという。
Yahooは、Yahoo News、Yahoo Finance、Yahoo Sportsなど、Yahooブランドのメディア資産を多数所有しています。Engadget(そしてこのウェブサイト)のようなテクノロジー系メディアサイトに加え、DPCが調査を開始した当時、HuffPoとTumblrも所有していました。Yahooは、訪問者のデバイスに送信されるトラッキングCookieを通じて、これらのサイトを自社のオンライン広告事業に関連付けていました。そのため、広告「パートナー」に関する情報や処理目的を示すCookie同意バナーがポップアップ表示されるのです。
問題は、GDPR では、同意が人々のデータを処理するための有効な法的根拠となるためには、十分な情報に基づいた、具体的な、自由な同意が必要であるということです。そのため、ユーザーが広告トラッキングを拒否するオプションがない Cookie バナーは、必要な自由な選択を提供していないという苦情を招くことになります。
Verizon Media は、DPC が調査を開始した後(2021 年春頃)、Cookie バナーのデザインに注目すべき変更を加えたようですが、同意フローの実装を微調整して拒否ボタンを追加しました。
現在のバージョンの Yahoo Cookie バナー (Yahoo Web サイトに表示されているものを下に表示) には、2 つの「すべて拒否」オプションが含まれています。
あまり好ましくない側面としては、この Cookie バナーは、広告ターゲティングのために人々のデータを処理するための「正当な利益」(つまり、同意に基づかない)の根拠を主張しようとします(そして、それらのトグルをデフォルトで「オン」にします)が、少なくとも LI フィールドの下にある「すべて拒否」を選択することでこれを拒否できます。
現在の Yahoo クッキー バナーの実装 (少なくとも私たちが確認したバージョンでは) では、拒否ボタンがメニューの最上位レベルに表示されず、そこに表示される「すべて承認」オプションの横に表示されません。
つまり、ユーザーは「設定を管理」をクリックしなければ、「すべて拒否」オプションを見ることすらできない(この第 2 レベルのメニューは長く、スクロールする必要がある)ため、この調整されたデザインでは、追跡を許可するのと同じくらい簡単に追跡を拒否する方法が提供されないため、規制当局から新たな異議が唱えられる可能性がある。
それでも、EUデータ保護機関がヤフーの苦情全体についてどのような判断を下すかは未だ不明です。この苦情はクッキーバナーの導入以前に遡るため、調査ではヤフーがこれらの苦情を全て受けた以前のデザインほど綿密に検討されず、現在のデザインが検討される可能性は低いでしょう。(ただし、データ保護機関は最終決定において、ヤフーがバナーのデザインを修正する権利を行使する命令を、いかなる順序であっても考慮に入れる可能性があります。)
一つ明らかなことは、広告トラッキングのための Cookie の同意が EU 規制当局からますます注目されているということです。
今年初め、フランスのCNILは、クッキーバナーのダークパターンに関連して、GoogleとFacebookに多額の罰金を科した(ePrivacy指令に基づくもので、GDPRとは異なり、Yahooの苦情の場合のように国境を越えた苦情を主導するDPAに集約する必要はない)。
数か月後、Google はヨーロッパの Cookie バナーを更新し、トップレベルの「すべて拒否」ボタンを追加しました。
英国のデータ保護監視機関も昨年、広告追跡業界に対し、プロファイリングを行わず、プライバシー保護に配慮した選択肢をユーザーに提供できるよう、広告技術の改革と再編の準備を促す意見を発表した。これは、設計とデフォルトによるウェブユーザーの大量監視からの大きな方向転換を予想していることを示唆している。
欧州のプライバシー保護団体noybは昨年から、多数のウェブサイトに対し、GDPRに準拠していないCookieバナーの修正を促す大規模なGDPR施行キャンペーンを展開しています。このキャンペーンでは、ウェブサイトに直接苦情を申し立てるだけでなく、CookieポップアップをGDPRに準拠させるために必要な変更点の無料分析も提供しています。必要な変更に抵抗するサイトのみが、noybから関連するDPAに苦情を申し立てられます。
同社は今年初め、多数の有名な小売サイトが同社の積極的なキャンペーンに応じてクッキーバナーをどのように適応させたかを示す「ビフォーアフター」の例を多数公開した。トップレベルの「すべて拒否」ボタンの追加は、noybの改革対象の多くが講じた重要なコンプライアンス措置である。
この非営利団体はまた、クッキーバナー改革の拒否者に関する苦情を規制当局に多数提出しており、8月時点で18のデータ保護当局に226件が提出されているが、手続きが長引いているため、執行は未定のままとなっている。
最新のnoyb EU措置で、より多くの欺瞞的なCookieバナーが標的に
新たな一連のnoyb GDPRクッキー同意苦情で、抵抗勢力が標的に
