Cookie(クッキー)を拒否した後も、55%のサイトがブラウザに広告Cookieを設置し続けている。2026年3月にwebXrayが公開したカリフォルニア州プライバシー監査が記録した数字だ。Google、Meta、Microsoftはいずれも、カリフォルニア州法が有効なオプトアウト手段として認める信号を技術的に無視している。同意ダイアログは選択肢を「提示」するUIであって、その選択が実際に執行される仕組みではない。これは個別のバグでも企業の怠慢でもなく、デジタル広告インフラ全体の設計上の問題だ。
Cookie拒否後に125,106件の追跡Cookieが記録された調査の実態
webXrayの監査は、GPC(Global Privacy Control)と呼ばれる法的オプトアウト信号を有効化した状態でWebサイトを訪問し、その後のCookie設置状況を記録するという方法で実施された。GPCはカリフォルニア州のCPRA(Consumer Privacy Rights Act)が法的に有効と認めるオプトアウト手段であり、ブラウザが「このユーザーは追跡を拒否している」とサーバーに通知する仕組みだ。
監査の結果、オプトアウト後も追跡Cookieの設置が記録されたのは、評価対象の242広告テックベンダーのうち194社、全体の80%に上った。Cookieの総数は125,106件。同意管理プラットフォーム(CMP: Consent Management Platform)側を見ても、評価した78%のCMPがユーザーの選択を実際には執行できていなかった。Google認定の評価対象CMPプロバイダーに限定しても、全社が少なくとも一部のケースで広告Cookieのブロックに失敗していた。
監査を主導したTimothy Libertは、元Googleのプライバシーエンジニアで現在はwebXrayの創設者だ。彼はこの問題を単なるバグとして説明していない。同意インフラそのものの構造的な機能不全として捉えており、企業ごとの個別違反ではなく業界インフラの欠陥として問題を定義している。
潜在的な制裁リスクについては58億ドルという試算が示されているが、これはwebXrayが過去の平均制裁額と違反サイト数の推計を組み合わせた独自算定であり、規制当局が確定した数字ではない。過去事例における平均制裁額を138.7万ドルと算定し、今回の違反が確認された4,170サイトに乗じた計算だ。算定の前提には議論の余地があるが、違反規模の大きさを示す指標としては参照に値する。
なぜ「拒否」信号はサーバーに届かないのか
Googleのケースでは、ブラウザがGPC信号を送信した後もサーバーがset-cookieコマンドを返し続ける挙動が確認された。追跡対象サイトの77%でオプトアウトが失敗した。Googleは監査結果に対して「当社製品の仕組みについての根本的な誤解に基づいている」(原文:"fundamental misunderstanding" of how its product works)と反論しているが、どの製品のどの仕様が監査手法と相容れないかについて、具体的な技術的説明は一切提供していない。主張の内容ではなく、その主張を支える根拠の欠如が際立っている。
Microsoftはbing.comドメインにMUID(Machine Unique IDentifier)Cookieを設置し続けており、GPC信号受信後も35%のサイトで1年間の有効期限付きCookieが記録された。Metaの場合はより直接的だ。Libertによれば「Metaのピクセルコードにはオプトアウトシグナルのチェックが一切含まれていない」(原文:"Meta Pixel contains no opt-out check for GPC signals")。コードレベルでnavigator.globalPrivacyControlを参照する実装が存在しないため、信号を「無視」しているのではなく、最初から確認する仕組みが組み込まれていないということだ。
同意インフラそのものが違法判定を受けている
Cookie同意バナーが広くWebに普及したのは、2018年のGDPR施行がきっかけだ。その実装の中核を担う業界標準インフラが、IAB Europe(デジタル広告業界団体)が管理するTCF(Transparency and Consent Framework: 透明性・同意フレームワーク)だ。TCFは800社以上の広告テックベンダーへの同意伝達を担うプロトコルとして機能してきた。
しかしベルギーのDPA(データ保護当局)は2022年、TCFを「有効な同意メカニズムではない」として違法と判定した。判定の核心は、TCFが実際にはユーザーの同意を適切に管理・伝達できていないという点にある。それから4年が経過した現在も、代替手段が存在しないという理由でTCFは業界での運用を続けている。
GDPRが義務付けた「拒否の容易さ」はUIレベルでも骨抜きにされている。ノルウェー消費者評議会の調査では、90%以上のCookieバナーが少なくとも1つのダークパターンを採用していることが確認された。拒否に複数クリックを要求する設計はその代表例で、そうした場合に最大90%のユーザーが最終的に受け入れを選ぶという研究結果がある。同意インフラが法的に機能不全を起こし、UIが心理的に拒否を妨げる。この二重構造が現在の「同意劇場」を成立させている。
規制執行の限界と読者が今できること
規制当局が問題を認識していないわけではない。EUではGDPR違反に対して年間売上高4%または2000万ユーロを上限とする制裁が可能だ。しかし執行の現実は数字ほど厳しくない。EUの主要テック企業監督を担うアイルランドのDPC(Data Protection Commission)は、Meta・Google・TikTokを含む企業をスタッフ195名で監督しており、制裁が確定するまでのタイムラインは平均2年以上を要する。
カリフォルニア州では法的にGPCが有効なオプトアウト手段として認められており、企業に遵守義務がある。今回の監査はその義務が広く無視されているという記録だ。規制当局がリアルタイムで違反を捕捉するインフラを持たない以上、現状では構造的な執行ギャップが残る。少なくとも規制当局が継続的な監視体制を整備し、TCFの代替インフラが業界全体で合意されるまで、同意バナーは法的な形式を備えながら実質的には機能しない状態が続く可能性が高い。
読者が今できる現実的な対策は限られるが、存在はする。Firefox・Brave・DuckDuckGoブラウザはGPC信号の送信をネイティブでサポートしており、対応サイトでは法的なオプトアウト効果を持つ。uBlock OriginなどのブラウザエクステンションはMetaピクセルを含む広告トラッカーを技術的にブロックできる。Cookieバナーで「拒否」を選択することの効果は今回の監査で限定的と示されたが、GPC対応ブラウザの使用はそれとは異なる法的な作用経路を持つ。同意インフラに頼らず、通信レベルでトラッカーを遮断するアプローチが現時点では最も確実だ。
Sources