Malwarebytesはこのほど、「Cookie consent choices are just being ignored by some websites|Malwarebytes」において、多くのWebサイトが訪問者のサードパーティーCookieを拒否する設定を無視してデータを収集していると伝えた。これはアムステルダム大学の研究者が発表した論文「(PDF) Automated Large-Scale Analysis of Cookie Notice Compliance」により判明したもので、調査対象のWebサイトのうちおおよそ90%が1つ以上のプライバシー規制に違反しているという。

  • Cookie consent choices are just being ignored by some websites|Malwarebytes

    Cookie consent choices are just being ignored by some websites|Malwarebytes

サードパーティーCookieとデータ収集

Webサイトの多くは訪問者の行動分析に基づいた広告を表示するために「サードパーティーCookie」と呼ばれる情報をWebブラウザに保持する。このCookieは訪問したWebサイト以外のドメイン(広告関連企業や分析企業など)が保持を要求するためサードパーティーCookieと呼ばれる。

サードパーティーCookieを使用するとユーザーの訪問したWebサイトの追跡が可能となるため、プライバシーの侵害にあたるとして問題視されており、欧米を中心に日本においても法律で規制されている(参考:「総務省|自分に関する情報が第三者に送信される場合、 自身で確認できるようになります。」)。そのため、Webサイトは規制に適合する必要があり、サードパーティーCookieの収集内容や使用目的を開示し、ユーザーによる設定を可能にする必要がある。

プライバシー規制違反

アムステルダム大学の研究者が100,000のWebサイトを分析できるAI(Artificial Intelligence)ツールを作成し、サードパーティーCookieの扱いに関する調査を実施した結果、次のような違反を検出したという。

  • Cookieを拒否する選択肢を提供しないWebサイト:56.7%
  • Cookieに関する表示をしないWebサイト:32.0%
  • Cookieを拒否しても収集するWebサイト:65.4%。このようなWebサイトの多くは選択する前から収集を開始する
  • Cookieの選択画面を閉じると同意したと勝手に解釈するWebサイト:77.5%
  • 規制違反の種類と件数 - 引用:アムステルダム大学

    規制違反の種類と件数 引用:アムステルダム大学

また、多くのWebサイトがダークパターン(ユーザーの認識を故意に歪める表示手法)を使用して拒否を困難にしていることも判明した。なお、これら行為は一部の国において処罰の対象とされており、罰金を科される可能性がある。

研究者たちの分析によると、小規模なWebサイトは技術力や知識不足が原因で規制に準拠できないという。しかしながら、それ以外のWebサイトは故意に規制を無視している可能性があり、そのようなWebサイトの管理者は警告に耳を貸さないとされる。そのため、規制だけではプライバシーを保護できない状況となっている。

そこで、近年はこのような状況を改善すべく、いくつかのブラウザにおいてサードパーティーCookieを廃止、または廃止する方向で開発が進められている。Google Chromeでは近い将来プライバシー保護と広告配信を両立した新しい仕組みに移行すること予定されている(参考:「Google ChromeがサードパーティCookie廃止開始、最初の1%に該当するか調べる方法 | TECH+(テックプラス)」)。