毎度「Cookieを許可してください」といわれずに済む新標準「ADPC」が提案される

「Cookie使用への同意を求めるバナー」が画面の大部分に表示され、ウェブサイトが読みづらくなったり、Cookieを使用されないよう設定するために何度もクリックして疲弊したりといった経験をした人も多いはず。多くの国でウェブサイトに対して「Cookie使用への同意をユーザーに求めること」が法律で定められていますが、これがブラウジングのユーザビリティを下げているとして、新たにこのバナーを不要のものにする「Advanced Data Protection Control(高度なデータ保護制御／ADPC)」という標準が提案されています。

New browser signal could make cookie banners obsolete
https://noyb.eu/en/new-browser-signal-could-make-cookie-banners-obsolete

A new HTTP spec proposes elimination of obnoxious “cookie banners” | Ars Technica
https://arstechnica.com/gadgets/2021/06/tired-of-accepting-rejecting-cookies-adpc-wants-to-automate-the-process/

EU一般データ保護規則(GDPR)の施行により、ウェブサイトがユーザーのCookieを利用するためには事前の同意が必要になりました。このため多くのウェブサイトでは、ウェブサイトの下部にバナーを表示させ、ユーザーに同意を求める形になっています。

しかし、このようなバナーはブラウザ画面の多くを占め、特に画面の小さなスマートフォンの場合、可読性を奪います。また、同意に際してユーザーをだます意図を持つデザイン「ダークパターン」が利用されることも問題視されています。

このような背景から新たに提案されているのが、Advanced Data Protection Control(高度なデータ保護制御／ADPC)と呼ばれるもの。ADPCは、事前にブラウザでプライバシー設定を行うことで、ユーザーがウェブサイトを訪れた時に、その設定が通信によって反映される仕組みとなっています。

ADPCは「My Privacy is None of Your Business」という非営利団体と「The Sustainable Computing Lab」という研究機関によって提案されており、具体的な仕組みには「HTTPヘッダーを介する方法」と「JavaScriptを介する方法」の2つがあります。前者はウェブサーバーと、後者はウェブサイトとの通信によって「ユーザーのCookieに対する同意の識別子」のリストが送信されます。

HTTPヘッダーを介する方法でもJavaScriptを介する方法でも、同意は以下のようなJSONファイルの形で送られます。

{
"consentRequests": {
"cookies": "Store and/or access cookies on your device.",
"ads_profiling": "Create a personalised ads profile."
}
}

またHTTPヘッダーを介する方法の場合、ウェブサーバーはHTTP GETへの応答において、同意ファイルに直接リンクします。

HTTP/1.1 200 OK
Link: ; rel="consent-requests"

ウェブブラウザがこのリンクを検出すると、以前ユーザーが構成した設定で応答するか、ポップアップダイアログを介してユーザーに応答を要求します。そしてユーザーが設定を行うと、ブラウザは以下のように将来のHTTP GETリクエストにADPCを含めることになるとのこと。

GET /page.htm HTTP/1.1
Host: website.tld
ADPC: withdraw=*, consent=cookies

上記の方法の場合、Cookie使用の同意を求める表示は、画面下部の巨大なバナーではなく、アプリがカメラの使用を求める時に表示するポップアップと同様の形になります。既存のバナーはダークパターンによって意図的に複雑にされることがありますが、この方法だとシンプルであり、ユーザーの「クリック疲れ」も最小限にできると考えられています。