ハクソク

世界を動かす技術を、日本語で。

インターネットの最大の厄介事:クッキー法はウェブサイトではなくブラウザを対象とすべきだ

215日前原文(nednex.com)

概要

  • Cookieバナー による煩わしさと形骸化した同意取得問題
  • 本来の目的である プライバシー保護 の形骸化
  • サイトごとではなく ブラウザ側 で同意管理を行う提案
  • ユーザー・サイト運営者・規制当局すべてに 大きなメリット
  • インターネット体験の 抜本的な改善 を目指す主張

Cookieバナーの現状と問題点

  • 新しいウェブサイトを訪れるたびに表示される Cookieバナー の煩わしさ
  • 「Accept All」などの選択肢を 無意識にクリック する日常化
  • GDPRやCCPAなどの プライバシー法 による義務化が背景
  • 本来の目的は ユーザーデータのコントロール のはずが、実態は形骸化
  • 問題の本質は「 どこで同意を管理するか」という点

サイトごと同意取得の非効率性

  • 毎回同じ質問を 全ウェブサイト で繰り返される現状
  • 同意疲れ」による形だけのクリック、実質的な選択権の喪失
  • 大企業は 専用チームや高価なCMP で対応可能
  • 小規模事業者や個人開発者には 大きな負担とリスク
  • 選択肢の錯覚」しか生まれない現状

ブラウザ側での同意管理という提案

  • ブラウザ初期設定時に 一度だけプライバシー設定 を選択
    • Essential Only(必要最低限のみ)
    • Performance & Analytics(匿名データによる利便性向上)
    • Personalized Experience(パーソナライズド広告等の許可)
    • Custom(詳細なカスタマイズ)
  • 一度設定すれば以降は自動適用、ユーザーの手間削減
  • ブラウザが ユーザーの代理で同意管理、法的にも義務化
  • 不明瞭なCookieは自動ブロック、ユーザーの明確なコントロール
  • 少数の主要ブラウザだけを監督すれば 規制執行も容易

「Do Not Track」失敗からの学び

  • DNTは サイト側の自主性頼み で失敗
  • 数百万のサイトを監督するのは現実的でない
  • ブラウザ側で強制適用 すれば実効性を担保可能

ブラウザ同意管理モデルのメリット

  • ユーザー:実質的なコントロールと快適なウェブ体験
    • 1回の設定で 煩わしさゼロ
    • 設定変更も ブラウザ内で簡単
  • ウェブサイト運営者:負担の大幅軽減
    • CMPや複雑なスクリプト不要
    • 法令遵守が 自動化
    • 中小規模サイトでも 公平な運営
  • 規制当局:監督コストの削減
    • 主要ブラウザのみを 監視・指導
    • ユーザーの意思が 確実に反映

現行システムの非効率性と限界

  • 各サイトで 異なるCMPや設定 が乱立
  • 法規制の違い・技術的な複雑さで 混乱と重複作業
  • ユーザーのYES/NO」という単純な問題に 過剰な仕組み
  • ブラウザ側の一元管理で 全体最適化

結論:本来あるべき同意の姿

  • ブラウザに 同意管理を集約 することで
    • ユーザー :明確でシンプルな選択権
    • 開発者・事業者 :無駄な負担の解消
    • 規制当局 :効率的な監督体制
  • 複雑で非効率な現状 からの脱却
  • インターネット利用体験の改善プライバシー保護の両立
  • 同意管理はウェブサイトではなく、ブラウザで

Hackerたちの意見

年齢確認についても同じことが言えるね。DNTヘッダーがあったけど、ちょっと単純すぎて実装されなかったんだよね。大事なのは、ここで人々が理解すべきことは、煩わしさは技術的な解決策や規制の欠如によるものじゃないってこと。業界が同意率を最大化するために、わざとこうしてるんだよ。ブラウザの解決策が一番技術的にもユーザーフレンドリーだと思うけど、広告技術やデータ収集業界は同意を得られない。彼らがウェブの大部分を支配してるから、そんなことは絶対にやらないよ。

ブラウザには実装されてるけど、サイト側が無視してるんだよね。Chromeのヘルプにはこう書いてあるよ:「ウェブを閲覧する際、コンピュータやAndroidデバイスで、ウェブサイトに対してブラウジングデータを収集したり追跡しないようリクエストを送ることができます。デフォルトではオフになってるけど、あなたのデータがどうなるかは、ウェブサイトがそのリクエストにどう反応するかによるんだ。多くのウェブサイトは、セキュリティを向上させたり、コンテンツやサービス、広告、推奨を提供するために、ブラウジングデータを収集して使い続けるよ。Googleを含むほとんどのウェブサイトやウェブサービスは、Do Not Trackリクエストを受け取っても行動を変えないんだ。Chromeは、どのウェブサイトやウェブサービスがDo Not Trackリクエストを尊重しているか、どう解釈しているかの詳細を提供していないよ。」ブラウザ側でできることは、ブラウザを終了する際にすべてのクッキーをクリアするモードくらいかな。

そろそろブラウザは公的なものになった方がいいと思う。民間の所有には全くメリットがないし、今こそそのことを受け入れる時だよ。

面白い事実だけど、DNTをちゃんと扱えば、同意画面を表示する必要がないんだよ…だって、同意が必要なことをしてないからね。

その通り。年齢確認やプライバシーの同意はブラウザに任せるべきだよ。問題は、ブラウザでは物事がちょっと上手く機能しすぎるってこと(https://en.wikipedia.org/wiki/P3P を覚えてる?)。だから、大手企業はブラウザベースのメカニズムを完全に無視するインセンティブがあって、法律家がバカな方向に進むのを見たときには何も言わないし、何もしないんだよね(罰金のリスクは、実際のブラウザ/OSベースのコントロールの導入を妨げるための合理的な代償だと思ってるんだ)。

それか、こういうデータ収集を禁止しちゃえばいいんじゃない?500以上のパートナーサイトとデータを共有するように求められたときに、誰がわざわざ「同意する」ってクリックする理由があるの?

予想通り、あのバナーはまだ残ってるよ。実際に禁止するのはかなり難しいからね。せいぜい、小さいチームが巨大なバックログを抱えてる状態だよ。

それに関して言えば、企業はデータをランダムなスパム企業に売ることを「パートナーと共有する」なんて言うのを禁止すべきだよ。パートナーってのは、ある程度対等か、少なくとも信頼関係にあることを暗示するからね。私たちのデータを売ってる企業は、これらの会社を信頼してないし、名前すら知らないかもしれない。データが売られるなら、その表現を法律で義務付けるべきだよ。スパマーにデータが漏れる可能性が少しでもあるなら、それを反映した表現にすべきだ。「あなたのデータを買いたいという任意の第三者に売ることに同意しますか?あなたのデータが将来スパムやアイデンティティ盗難に使われる可能性に同意しますか?はい/いいえ」

一部のウェブサイト、特にニュースサイトは、すべてのクッキーを受け入れるか、会員費を払わない限り、アクセスを完全に制限することが法的にできるんだよね。もし私の「データ」が、ログを残さないVPNアドレスで、プライバシーが強化されたブラウザをVMでアイソレートされたVLAN上で動かして、暗号化されたDNSを使っているなら、なんでサンドボックスされたタブでクッキーを受け入れるのを笑ってクリックしないの?(そのクッキーはそのタブのためだけに存在して、タブが閉じられると消える)。あなたが言ってるのは、ほとんどのユーザーがデフォルトでこのレベルのプライバシーを持ってないってこと?なんで?

この法律は私にデータのコントロールを与えるはずだったのに。私がデータをコントロールできるなら、なんでウェブサイトのオーナーに支払うために使えないの?

広告や監視についても同じことが言えるよね。誰も広告を見たくないけど、強力なロビー団体は広告をやめると消費が減って経済に悪影響が出るって主張するし、政治家もGDPを下げたくないからね。誰も監視されたくないけど、強力なロビー団体は人を追跡することで安全が向上すると言うし、政治家も犯罪やテロに対して甘くなりたくないんだ。

それともこの種のデータ収集を禁止すればいい それは禁止されてるよ。私が明示的に許可しない限り(でも、君が言うように、なんで誰かがそうするのかは理解できないけど、「人間は奇妙な生き物だ」って言うしね)。

もちろん、理由はかなりシンプルだよね。誰かが広告監視資金で運営されているコンテンツにアクセスするためにそれを喜んで受け入れるってこと!

そういう意味で、こういう方法で情報を集めてないなら、ウェブサイトはクッキーバナーを提供する義務はないってことを思い出させてくれるね。クッキーバナーを使ってるウェブサイトは、機能的なウェブサイトを運営するために必要以上のことをして、ユーザーを追跡しようとしてるってことだよ。

もちろん、企業はただ - 変なアイデアだけど - あなたの追跡をやめればいいんだよね。そうすれば、あのバカみたいな同意ボックスも必要なくなるし。

法律にすることの問題は、追跡が見る人によって違うから、サイトの運営者は慎重に行動するように強く促されて、念のためにボックスを設置することになるんだよね。

でも残念ながら、そうはならないよ。結局、クッキーを使う代わりにブラウザの指紋を取る方向にシフトするだけで、追跡は続くんだよね…。

もう一つ変なアイデアだけど、こういう追跡を違法にしちゃえばいいんじゃない?誰が自分から追跡されることに同意すると思う?

企業がそれぞれ1万ドルくれればいいのに。そしたら働かなくても済むのに。でも企業は基本的に自分たちの利益になることをするからね。追跡に関しては、他にどうするって期待する人がいるのか分からないよ。

じゃあEUにお手本を示してもらうようお願いしてみてよ。公式のEU委員会のウェブサイトにはクッキーバナーがあるし(https://commission.europa.eu/index_fr)。つまり、EU委員会は自分たちのウェブサイトにトラッカーを含めてるってことだよね。それならやめるべきだし、そうじゃなければ、法律に該当する形でトラッキングなしでウェブサイトを作るのはほぼ不可能だって認めるべきだと思う。だから、彼らにはやるべきことがあるね。

これについては、Global Privacy Control (GPC)で解決が始まってると思うし、FirefoxではDo Not Trackの代わりに実装されてるんだよね。あとは、法律が追いついて、従うことを法的に義務付けるかどうかを見るだけだよ。

これに+1だね。Firefoxはしばらく前からこれを推進してるけど、私の理解では本当に法的な側面が重要だよね。

EUではDNTはすでに法的な効力を持ってるのに、名前を少し変えたDNTを送ることで何の問題が解決されるのか全然分からないよ。アメリカのいくつかの州で実装された変なプライバシー法があって、「ブラウザがデフォルトで信号を送った場合、それは法的な信号じゃないから無視していい」って言ってるけど、これが真剣に注目されることがあればGPCも無効化されるだろうね。法律は明らかにトラッカーに有利になるように書かれてるし。

これがブラウザの範疇に入るべきだとは思わないな。クッキーバナーは、追跡クッキーのオプトインと最も関連があるからクッキーバナーって呼ばれてるけど、技術的な必要性を超える第三者の関与には、どんな形でもオプトインが必要なんだ。ブラウザには、サイトにいる第三者が技術的に必要かどうかを判断する方法がないから、ユーザーがそれを教えなきゃいけない。つまり、サイト提供者の問題にもなるわけ。でも、今回はもっと厄介で、責任がサイト運営者と第三者の間で混ざっちゃってるんだよね。

ウェブサイトにDNTヘッダーを尊重させるよう法律で義務付ければいいんだ。はい、これで終わり。これはシンプルな問題で、シンプルに解決すべきだよ。

そうだね、クッキー自体に「第三者」と「厳密に必要な」タグを付けるのが法的に求められることになるから、もしそれが不正確だったら誰かが異議を唱えることができる(GDPRが理論的に今でも施行できるのと同じように)。それからブラウザは、ユーザーが望むようにタグを扱うことができるようになるかも。これって、HTTPやHTTPSのアイコンみたいにURLバーにステータスアイテムとして表示されて、サイトごとにトラッキングを有効化したり無効化したりできるようになるかもしれない(グローバルポリシーを望まない場合)。小規模なウェブサイトの運営者も、自分のサイトが提供するクッキーに適切なタグが付いているか確認するために賢くなければならないね。結局は、広告ネットワークや分析会社が追加するクッキーの挙動を文書化することにかかってくる。

ここでの問題は法律じゃなくて、追跡をやめたくないウェブサイトの悪意ある遵守なんだ。「法律用語のメニューで5分過ごす」なんてのは、「すべて受け入れる」の代わりにはならない。「すべて拒否する」が本来の選択肢だよ!これが裁判所を通じて強制され始めてるから、どんどん「すべて拒否する」オプションがすぐに見えるようになってきてる。そうあるべきだよ。もちろん、DNTヘッダーを尊重して、ユーザーを追跡せずにクッキーバナーを完全に回避するのがベストだね。

なんで人々は、Adblockみたいなブラウザプラグインにスクリプトのコレクションを組み込んで、できるだけ自動的にすべての追跡情報を拒否するようにしないんだろう?

いや、問題は100%法律だよ。悪意のあるコンプライアンスを許すように書かれているから。法律は良い結果を得るためにうまく書かれるべきなんだ。もし法律が悪意のあるコンプライアンスを許すなら、それは悪く書かれた法律だよ。サイトは誰でも予測できるように、利益を最大化しようとしてるだけだから。だから、もっと良い法律を書いて。

デフォルトでのトラッキングは受け入れられない解決策だから、Do-Not-Trackヘッダーを尊重することは必須で、法律で強制されるべきだし、グローバル収益の一定割合の罰金が必要だと思う。

問題はまさに法律なんだよね。あまりにも無能に書かれていて、ウェブサイトが受け入れを騙そうとする抜け穴を残してしまった。法律にはブラウザの設定で一つのトグルにすべきって書いておくべきだった。政府がインターネットに介入するなら、せめてその内容に関してはちゃんとしてほしい。毎日何人もの人がこのダイアログに対処して、年間何千回もこれを経験するのに、無駄な法律を書いてる場合じゃないよ。

グローバルプライバシーコントロール(GPC)は、アメリカで実際に施行されているヘッダーで、すでにいくつかの企業が罰金を受けてるよ。カリフォルニアは他の州と提携して施行を広げてる。GPCよりも良いものがあればいいけど、その間にEUはこれを適切な同意のシグナルとして考慮すべきだと思う。バナーが必要なくなるかもしれないし。

個々のウェブサイトのオーナーよりも広告提供者をもっと責めるべきだと思う。私の経験では、広告提供者は広告を出すのが非常に難しくなるようにしてる。広告対応のクッキー同意マネージャーを使わないと、彼らの広告を出すのが難しいんだ。自分でシンプルなクッキー同意フォームを書こうとしたけど、TCFが信じられないほど複雑だと気づいて諦めた。ほとんどの広告対応のクッキー同意バナーは広告会社自身が提供してるから、悪い選択肢にハマっちゃうんだよね。商業用のクッキー同意マネージャーにお金を払おうとしたけど、私の広告提供者には対応してなかった。もっと時間があれば解決できたかもしれないけど、残念ながら私は趣味のプロジェクトをやってるだけで、これに何週間もかける余裕はないんだ。広告からの収入がホスティング代を払ってるし、似たような状況のウェブサイトがたくさんあると思う。もっと人々のプライバシーを尊重し、あまり煩わしくなくて、私のようなウェブサイトが広告を出して生き残れるようなシンプルな選択肢があればいいな。ウェブサイトではなくブラウザをターゲットにするのがその選択肢になり得たかもしれないね。

アイロニーなのは、このサイトが「すべて拒否」オプションを提供してないってことだね。

もちろん、Do-Not-Trackヘッダーを尊重して、ユーザーを追跡せずにクッキーバナーを完全に避けるのが一番いいよね。クッキーバナーをなくす最良の方法は、追跡を完全に禁止することだと思う。自由に選べるなら、実際に追跡されたい人はどれくらいいるんだろう?

ここでの問題は、どこでも同じ問題だね。世界中で、インターネットやテクノロジーの悪行を働く企業を実際に罰する効果的な手段がまだないんだ。法律や政府が本当に意味のある結果をもたらさない限り、技術的なことは何も意味がないよ。罰金、企業の分割、場合によっては懲役刑とかね。

ここでの問題は法律じゃなくて、トラッキングを手放したくないウェブサイトの悪意のある遵守なんだよね。もしそうなら、EUのサイトがまずトラッキングを外すのはなぜ?それに、法律に悪意のある遵守をしない他の解決策ではなく、クッキーバナーを使うのはどうして?クッキーを使って、訪問者にそのことを知らせる他の方法があったら、EU政府がGDPRを説明する公式な場でそれを示すべきじゃない? https://europa.eu/youreurope/business/dealing-with-customers... 同じアプローチを実装するのに、https://european-union.europa.eu/index_en のように間違えることはあるの?なんでそれが法律に対する悪意のある遵守と見なされるの?

あなたのブラウザがあなたの個人的なプライバシーの執行者になり、法律があなたの代わりに行動することを求めることになる。あなたの一度の選択に基づいて、訪れるすべてのサイトからのクッキーを許可するか拒否する責任を持つことになる。もしウェブサイトが不明瞭または未宣言の目的でクッキーを使おうとしたら?ブラウザはエンドユーザーがインストールするものだから、政府がそれに介入するのは意味がないよ。このアイデアは、サイトが今はない追加のメタデータをクッキーについて追加することを求めるように聞こえるけど、それでもサイトのオーナーに何かをさせることになるよね。あと、プライベートモードやhttps://addons.mozilla.org/en-US/firefox/addon/multi-account...はすでにあるもので、政府の干渉なしでも機能してる。

ただ、最も人気のあるブラウザの提供者が広告代理店でもあるっていうのは、確かに矛盾してるよね?

政府をそこに入れるのは意味がないよ。何を根拠に? ウェブサイトのコードを規制するのとブラウザのコードを規制するのに何の違いがあるの?

カリフォルニアでは、ブラウザにオプトアウト設定を持たせる法律が2027年から施行されるよ[1]。今のところ、カリフォルニア、コネチカット、コロラドでは、ウェブサイトはブラウザの設定や拡張機能を通じてオプトアウトを尊重する必要があるんだ[2]。ニュージャージーでも同じだよ[3]。 [1] https://legiscan.com/CA/text/AB566/2025. [2] https://portal.ct.gov/ag/press-releases/2025-press-releases/.... [3] https://www.njconsumeraffairs.gov/ocp/Pages/NJ-Data-Privacy-....

私の意見だけど、実際の問題はセキュリティとアイデンティティ管理をトラッキングやマーケティングと混ぜちゃってることだと思う。クッキーをどこでもオフにしない理由は、たくさんのサイトがログイントークンをクッキーに入れてるから。ランダムなノンスであることを願うけど、それでもセキュリティのためにクッキーを使ってる。みんなそれに慣れすぎてて、すごい盲点になってるよね。Fido/webauthnに移行すべきだと思う。ほとんどの人がポケットにすごいセキュアエンクレーブを持ってるんだから。

ユーザーの設定を自動で行って、サイトのポップアップを隠すブラウザ拡張機能やアドオンってあるの?