プライバシーに関するニュース

クッキーバナーは違法か?

グーグルとアマゾンの追跡型広告がEUで炎上している。画期的な判決として、ブリュッセル控訴裁判所は、IABヨーロッパの透明性と同意フレームワークに基づいて構築されたクッキー同意バナーを無効とした。

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

2025年5月14日、ブリュッセル控訴裁判所は、2022年2月2日のベルギーデータ保護局(DPA)の決定を支持した。この判決によると、IAB EuropeのTransparency & Consent Framework (TCF)-基本的に広告のリアルタイム入札のためのクッキー・バナーの背後にあるシステム-はGDPRに違反しており、したがってEU全域で違法である。しかし、この判決は、あなたや、あなたの目の前にいつも飛び込んでくる迷惑なクッキーバナーにとって、どのような意味を持つのでしょうか?これについて掘り下げてみよう!

ターゲティングとクッキーバナーのセントラルモジュールは違法

GDPRの同意をオンラインで収集するために広告会社が使用している技術基準は違法である。その影響は、メディアだけでなく、グーグル、アマゾン、マイクロソフト、Xなどの業界大手にとっても、甚大なものになる可能性がある。

ベルギーDPAの決定

ベルギーのデータ保護当局APDは、クッキーバナーの中央メカニズムが欧州一般データ保護規則(GDPR)に違反するとの判決を下し、ブリュッセル控訴裁判所もこれを認めた。この決定は、いわゆるワンストップ手続きで下された。これはEU全体に適用されることを意味する。この手続きは、アイルランド自由人権評議会およびその他の欧州市民権団体による申し立てに起因しており、欧州の広告業界にとって大きな打撃となる可能性がある。

この決定についての詳細はこちらをご覧ください。

データ産業への厳しい打撃

この判決に基づくと、TCFベースのクッキー・バナーは、 複数のレベルでGDPRに違反するため**、ヨーロッパ全域で違法となります** :

  • 無効な同意の収集(GDPR第5条(1)(a)、第6条)
  • 透明性の欠如(GDPR第12~14条)
  • 個人データの不十分なセキュリティ(GDPR第5条(1)(f)、第25条、第32条)

クッキーのトラッキングを「正当な利益」として正当化する広告主もGDPRに違反している。裁判所は、リアルタイム入札(RTB)や同様の形態のオンライントラッキングの法的根拠としての「正当な利益」の使用を、その深刻なプライバシーリスクのために明確に否定した。つまり、広告トラッキングのために正当な利益トグルを 提供するクッキー・バナーは違法である

アイルランド自由人権協会の執行ディレクターであるジョニー・ライアン博士は、次のように述べている:

「今日の判決は、グーグル、アマゾン、X、マイクロソフトが使用している同意システムが、何億人ものヨーロッパ人を欺いていることを示しています。ハイテク産業は、見せかけの同意ポップアップの陰で、膨大なデータ漏洩を隠そうとしてきた。テック企業はGDPRを人々の盾ではなく、日常的な迷惑行為に変えた。“

クッキーの同意とターゲット広告はどのように機能しますか?

クッキーの同意

インターネット上のターゲット広告は次のように機能します(簡略化した説明):ターゲット広告のためにクッキーのトラッキングを使用しているウェブサイトへのすべての訪問は、広告のプロバイダ間のオークションをトリガーします。ユーザーのプロフィールやその他の要素に基づいて、どの広告がユーザーに表示されるかがミリ秒単位で決定されます(=リアルタイム入札)。

リアルタイム入札

このリアルタイム入札(RTB)が機能するために、広告会社は現在ウェブサイトを閲覧している人について多くのことを知りたがっている:年齢、性別、興味、訪問したウェブサイト、居住地、購買力などだ。このデータは、ユーザーがクリックする可能性の高い、最適な広告を表示するために使用されます。

私たちTutaがターゲティング広告の全面禁止を求める理由と、広告ベースのビジネスモデルは死滅しなければならないと考える理由は、こちらをお読みください。

Turn ON Privacy in one click.

同意なしのトラッキング?

しかし、GDPRの下では、このようなトラッキングはユーザーが同意した場合にのみ許可される。広告協会IABヨーロッパによるTransparent and Consent Framework(TCF)は、この同意を求めていると思われる:ユーザーが “クッキーを受け入れる “をクリックするか、データの利用がプロバイダーの合法的な利益であることに異議を唱えない場合、TCFはいわゆるTCストリングを生成する。この識別子は、個々のプロファイル作成の基礎となる。そして、そのプロフィールは、表示される広告と照合するために使用される。その際、TC文字列はOpenRTBシステム内の何百ものパートナーに転送される。

広告業界全体が(ターゲティング広告について語る場合)TCストリングに基づいており、オンライン広告のエコシステムにおいて最も重要な標準となっている。

この決定は広告業界にどのような影響を与えるのか?

画期的な判決として、ベルギーのAPDは2022年、TCストリングを何百ものパートナーと共有することは一般データ保護規則に違反すると決定した。監督当局によると、広告主がインターネット上のターゲット広告の同意を集めるために使用しているシステムは、合法性と公平性の原則に準拠していないという。

ベルギーAPDは今回の裁定で、TCFの仕組みを開発・運営している広告協会IABヨーロッパに対し、25万ユーロの制裁金を科した。さらに、IABはすでに収集された個人データを削除しなければならないが、これは広告業界にとっては金鉱のような価値がある。その額は?これは、2024年にグーグルに課された同様の裁定を見れば推定できる。グーグルでは、インコグニート・モードで不正に収集された50億ドル相当のユーザーデータを削除するよう、技術大手に対して強制した。しかし、それ以上に重大なのは、ベルギーAPDが広告業界に対して、透明性と同意のフレームワークをまったく使用しないことを条件に課していることだ。

何千ものウェブサイト運営者、ほとんどすべてのオンラインメディア、そしてグーグル、マイクロソフト、アマゾン、Xなどの大手広告会社が、広告目的の個人データ処理に対するユーザーの同意と思われるものを伝えるために、この仕組みを利用している。

ベルギーAPDの訴訟部会長であるHielke Hijmans氏は言う:

「しかし、ほとんどの人は、パーソナライズされた広告を表示するために、自分のプロフィールが1日に何度も販売されていることを知らない。これはTCFに関するものであり、リアルタイム入札システム全体に関するものではないが、今日の我々の決定は、インターネットユーザーの個人情報保護に大きな影響を与えるだろう。TCFシステムの秩序を回復し、ユーザーが自分のデータをコントロールできるようにしなければならない。

たとえ今回の決定がインターネット上の広告システム全体に直接影響を及ぼすものでなかったとしても、ウェブ・ユーザーの個人データ保護に大きな影響を与えることになるだろう、とHijmans氏は言う。

なぜこの決定は重要なのか?

ベルギーのデータ保護当局は、広告プロファイルが個人データであるだけでなく、ターゲット広告に使用されるTC文字列も個人データとみなさなければならないと主張している。この文字列はIPアドレスと組み合わせることができるため、あらゆるユーザーを特定することができる。

判決はこのことを明確にした:

「TC文字列は個人データである。 CJEUがまさにこの訴訟で確認したように、IABヨーロッパがこれにアクセスできるかどうかにかかわらず、これは適用される」。

結果として、IABヨーロッパは、TC文字列を生成するために使用されるTCFプロトコルでGDPRに違反している。さらに、データトラッキング(クッキー)に対するユーザーの同意は、そもそもそのような同意を求めるに足るウェブサイト所有者の正当な利益がないため、無効である。

当局は、トラッキングに基づくリアルタイム入札広告には高いリスクが伴うため、利用者の正当な利益が広告会社の正当な利益を上回ると主張している。

さらに、同意を与える際にユーザーに提供された情報は、特にトラッキングベースの広告の複雑さを考慮すると、ユーザーがデータの処理の性質と範囲を理解するにはあまりにも一般的で曖昧であった。

クッキーバナーは違法か?

トラッキングに関する法的な詳細についてのこの議論から生じる主な疑問は、次のようなものです:クッキーバナーは違法かGoogle AnalyticsがEUで違法かどうかという質問と同様に、答えはYesとNoです。

例えば、広告トラッキングを正当な利益として正当化したり、どのようなデータがなぜ収集されるのかが曖昧すぎるためです。しかし、** 一般的にクッキーバナーの使用はEUでは違法ではありません**。

しかし、これはクッキーの将来にとって何を意味するのでしょうか?

クッキー・バナーはオンラインでは本当に迷惑なものになっており、時には広告そのものと同じくらい迷惑でさえあります。クッキー・バナーについて最も人々を悩ませるのは、「すべてを受け入れる」ことが通常非常に簡単である一方で、「すべてを拒否する」オプションがしばしば与えられないことです。しかし、「Accept All」ボタンのみを表示するというパブリッシャーのこの手順は、現在ドイツでも非難を浴びている

いずれにせよ、ブリュッセルの現在の裁定に従って、パブリッシャーはクッキーバナーの使用を適応させる必要がある 。パブリッシャーは次のことをしなければなりません:

  • トラッキングクッキーのための真のオプトイン同意を使用する(事前にチェックされたボックスは使用しない)
  • どのようなデータが収集されるのか、なぜ収集されるのかについて、明確で簡潔な情報を提供すること。
  • 広告トラッキングの根拠として「正当な利益」に依存しないこと。

最初の結果は?グーグルの新しい「すべて拒否」ボタン

欧州当局が顧客の権利をより厳格に適用する最初の兆候は、グーグルが ついに クッキーのバナーに「すべて拒否」ボタンを追加したことである。

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. 古いグーグル・クッキー・バナーはヨーロッパでは違法か?グーグルは今頃になって「すべて拒否」ボタンを追加した。

プライバシーファンには朗報

データ保護を重視するインターネットユーザーにとって、ベルギーのDPAとブリュッセル控訴裁判所が、現在使用されている形でのクッキーバナーの違法性を宣言したことは、非常に良いニュースである。

第一に、アドテク企業はTCFメカニズムを通じて収集したユーザーデータを削除しなければならなくなるからだ。

第二に、そしてより重要なことだが、ベルギーのデータ保護当局の決定により、パーソナライズされた広告のシステム全体が覆される可能性がある。

これにより、ターゲティング広告はついに終焉を迎えることになるかもしれない。

画面にTutaのロゴが入った携帯電話のイラスト。携帯電話の横には、暗号化によるTutaの高度なセキュリティーを象徴するチェックマークの入った盾が大きく描かれている。