Cookie(クッキー)使用同意のバナー、EUで違法と判定される
追跡(トラッキング)と、その結果としての追跡に基づくオンライン広告を可能にする「透明性と同意のフレームワーク(TCF:Transparency and Consent Framework)」と呼ばれる仕組みが、欧州のデータ保護法の柱であるGDPR(EU一般データ保護規則)と相容れないと、EUの控訴裁判所は判決において判定した。
この判決で、裁判所はベルギーのデータ保護当局が2022年にTCFの合法性について同じ結論に達した立場を支持したのだ。
今回の判決は、(少なくとも形式上では)プライバシー擁護派、ユーザー、AdGuardのようなプライバシー重視サービスなどにとって大きな勝利のように見えます。この判決はEUにのみ適用されますが、前向きな進展であることは間違いないです。
Google、Amazon、Microsoft、Adobe、Metaなど、追跡のほとんどを担う大手テクノロジー企業への影響は、まだ不明です。TCFを作成したインタラクティブ広告局(IAB:Interactive Advertising Bureau)は罰金を支払い、変更を加える必要があります。欧州の規制当局がこれらの変更を監督します。
この出来事の重要性
現実から離れた法的な専門用語の羅列に聞こえるかもしれませんが、そうではありません。この問題は一般の人々にとっても重要です。なぜなら、インターネットユーザーはみんなはこのシステムと毎日無意識に接しているからです。このシステムは、ユーザーを追跡する許可を(隠れた形で)求めるあの煩わしいCookie(クッキー)使用同意のポップアップを駆動しています。今回の新たな判決は、このモデルがもはや通用しないことを意味しているのです。
クッキー使用同意の通知は消えて別のものに置き換えられるのでしょうか?システムは根本的に変更されるのか、それとも文言のみが修正されるのでしょうか?判決が効力を発揮し始めれば、その答えが明らかになります。その間、AdGuardはAdGuardユーザー向けにクッキー使用同意のバナーとポップアップのブロックを続けます。(※ただし、サイトが機能しなくなる場合は除きます。)通知のブロックが問題を引き起こす場合、クッキー同意プロセス周辺の追跡を最小限に抑えるための代替技術を導入します。
AdGuardはCookie(クッキー)使用同意を求めるポップアップをどのように処理しているのか
AdGuardは、長らく専用の「Cookie 通知フィルタ」を提供しており、さまざまなConsent Management Platforms (CMPs)(ウェブサイトがユーザー同意の収集と管理を支援するツール)から表示されるクッキーダイアログを、当社のフィルターポリシーに従ってブロックしてきました。
このフィルタは、クッキーポップアップと基盤となるCMPリクエストの両方をブロックするように設計されています。ほとんどのケースでは、関連するスクリプトをブロックまたは非表示にするだけで十分です。しかし、より複雑な状況(例えばサイトが同意決定が行われない限りコンテンツを表示しない場合など)では、より高度なテクニックを適用しております:
- Scriptletsを使用してリクエストをバイパスする
- クッキーまたはlocalStorageキーを設定して選択をシミュレートする、または
- ユーザー操作をシミュレートする — 例えば「拒否」ボタン(推奨オプション)または「承諾」ボタン(最終手段としてのみ)をクリックする
選択をシミュレートする手法の場合、特に「許可する」の場合、その結果として読み込まれるアナリティクススクリプトを、adguardの「トラッキング防止フィルタ」を使用してブロックします。
AdGuardのCTO兼共同創設者、Andrey Meshkov(アンドレイ・メシュコフ)は今回の判決とその影響を以下のように見ています:
「私たちの主張はいつも次のとおりでした:クッキーダイアログが表示されたとしても、AdGuardユーザーたちは「トラッキング防止フィルタ」を有効にするなどして、トラッキングから自身を保護する選択を明確にしているのです。したがって、ダイアログを表示させた場合も、トラッキングの発生はさせません。自動的に同意を拒否したり、トラッカーを完全にブロックしたりします。私たちの立場からすると、このアプローチは技術的に適切で準拠したものとして今まで実績を見せています。ただし、CMPプラットフォームが(同意が与えられる前であっても)同意プロセス周りでユーザー行動を追跡している点については、長年懸念を抱いてきました。現在のTCFフレームワークがGDPR基準を満たしていないことが判定されたため、ウェブサイトはCMPのブロックを、ユーザーが同意を拒否している明確なシグナルとして扱い始めるべきだと考えています。今回の判断が、混乱を招く誘導的なポップアップをナビゲートする必要をなくし、ユーザーにとって同意プロセスをより管理しやすくより安全にすることを願っています。」