「全てのCookieを受け入れる」を選択すると一体何を受け入れることになるのか？

2016年に制定されたデータ保護規則・GDPRのもと、EUではウェブサイト側がユーザーのCookieを利用したターゲティングを行うためにはユーザーの同意が必要となりました。2021年時点の日本においてCookieやIPアドレスといったオンライン識別子は個人情報に該当せず、企業による利用にユーザーの同意が必要となることはありませんが、近いうちに同様の法整備がなされるものと考えられています。

ウェブサイト閲覧者に表示される「Cookieへの同意」オプションの「全てのCookieを受け入れる」という選択肢をクリックした時に、一体ユーザーは何に同意しているのかという疑問について、ソフトウェア開発者であり起業家であるコンラッド・アクンガ氏がロイター通信のウェブサイトを例に解説しています。

What Do You Actually Agree To When You Accept All Cookies | Conrad Akunga, Esquire. Code
http://www.conradakunga.com/blog/what-do-you-actually-agree-to-when-you-accept-all-cookies/

ウェブサイトを訪れた時に、画面下部に以下のようなバナーが表示されることがあります。この「Accept All Cookies(全てのCookieを受け入れる)」をクリックすると、ユーザーはウェブサイトの提示した内容に同意することになりますが、多くの人は何に対して同意／非同意しているのかを理解しないまま選択を行うとのと。

そこでアクンガ氏はロイターが提示する内容を精査。なお、アクンガ氏がロイターを選んだのは「特にロイターが問題のある内容を提示しているため」というわけではなく、ほとんどのウェブサイトはロイターと似たような内容を提示しているためとのことです。

ロイターのバナーを詳細表示させてみると、「European Union Individuals(EUにおける個人)」「Right to Withdraw Consent under GDPR(GDPRのもとで同意を取り消す権利)」というタイトルが表示されました。なお、GDPRはEU圏内で有効になるため、日本で同様の画面は表示されません。右側のスクロールバーを動かして画面の下方に移動すると……

まず「Allow All」というボタンが表示されます。その先を読まずにここでボタンをクリックすることもできますが、さらにスクロールしていきます。

「個人情報の販売」について書かれた項目や……

「デバイス上に保存したデータにアクセスすること」という項目。

「パーソナライズされた広告やコンテンツ、広告とコンテンツ測定、オーディエンスのインサイトや製品開発」と書かれた項目。

そのほか、ずらーっと同意／非同意を選択できる項目が細かに並びます。

最後に「Reject All(全て拒否する)」と「Confirm My CHoices(自分の選択を確認する)」のボタンをクリックできるようになっています。細かく内容をチェックせずに「全て拒否する」を選択する人も多いとのこと。

アクンガ氏は上記の内容を要約し、主に同意は下記の内容に関するものだとしています。

・ウェブサイトがユーザーのデータを収集すること
・ウェブサイトがユーザーのデータを利用すること
・ウェブサイトは上記の目的のためにさまざまなパートナーと提携していること
・ウェブサイトがCookieを使ってユーザーのデバイスにデータを保存していること
・いくつかのCookieはウェブサイトにとって必要なものであり(目的はウェブサイトによる)、この「不可欠なCookie」は機能をオフにできないこと
・関連コンテンツの提供のためユーザーの個人情報のいくつかはパートナーに販売されること
・広告をパーソナライズできてもウェブサイトの表示から広告を消すことはできないこと

ウェブサイトが「パートナー」と表現する相手は一体誰なのか？ということは、「List of IAB Vendors」という場所から確認できます。クリックすると……

以下のようにリスト表示されました。スクロールバーの小ささから、パートナーのリストが膨大であることがわかります。

あまりにリストの量が膨大であるため、アクンガ氏はChromeの開発者ツールを使ってリストを抽出することにしました。F12でElementsを表示させると、HTMLの中に「vendors-list-container」という文字があったとのこと。

データを抽出してファイルに貼り付けてみたところ、テキストは5万4399行にも及んだそうです。そしてテキストからパートナーとしてリンクされている企業のURLを抽出すると、その数は全部で647社だったとアクンガ氏は報告。ブログの中では647社すべてのURLが公開されています。

647社はそれぞれ独自のプライバシーポリシーを有し、ロイターの示すCookieへの同意を全て理解するためには、この647社のプライバシーポリシー全てに目を通す必要があるわけです。もちろん、ほとんどの人にとってそのような作業は不可能です。

アクンガ氏は、これらベンダーが複数のウェブサイトにサービスを提供することで、ウェブサイトを超えたユーザーの追跡が可能になり、ブラウザやデバイスを特定できるようになると説明しています。つまり、あるユーザーがウェブサイトにアクセスし、「全てのCookieを受け入れる」とすると、Adobe・Amazon・Google・Huawei・Oracle・ Salesforceといった有名企業を含む何百という企業がそのユーザーのデータを処理し始めるわけです。また、ウェブサイトは「必須のCookie」をオフにすることができないようにしていますが、この必須のCookieの用途や情報がユーザーに知らされないことについても、アクンガ氏は指摘しました。