プライバシー技術企業webXrayが実施した最近の独立監査により、Google、Microsoft、Metaを含む大手テクノロジー企業が、データ共有のオプトアウトを明示的に選択したユーザーを積極的に追跡していることが明らかになりました。
この調査結果は、カリフォルニア州消費者プライバシー法(CCPA)への広範かつ産業規模での非準拠を示唆しており、これらの企業およびウェブサイト発行者が数十億ドルの法的責任にさらされる可能性があります。
調査により、評価対象ウェブサイトの55%が、ユーザーがプライバシー保護を有効にした後も広告クッキーを設定し続けていることが判明しました。
さらに、Googleが認定したクッキー選択バナーは、ユーザーのオプトアウト要求後に同社がトラッカーを設定することを防止することに一貫して失敗しました。
カリフォルニア州プライバシー監査報告書によると、194のオンライン広告サービスが、規制当局が承認したグローバルスタンダードのオプトアウト信号を無視しています。
オプトアウト失敗の技術的メカニズム
元Googleクッキーポリシー責任者のティモシー・リベルト博士が主導する監査では、これらのテクノロジー大手の広告ネットワーク全体における特定の技術的欠陥を強調しています。
| テクノロジー企業 | オプトアウト失敗率 | オプトアウト後に設定された広告クッキーの数 | 違反当たりの推定平均罰金 | 総潜在集計責任 | これまでに支払われた過去のプライバシー罰金 |
|---|---|---|---|---|---|
| 86% – 87% | 11,021 | $1,387,617 | $5.8 Billion (監査対象の4,170サイト全体の推定) | $2.318 Billion | |
| Microsoft | 50% | 7,550 | $1,387,617 | $5.8 Billion (監査対象の4,170サイト全体の推定) | $390 Million |
| Meta | 69% | 1,293 | $1,387,617 | $5.8 Billion (監査対象の4,170サイト全体の推定) | $9.304 Billion |
グローバルプライバシーコントロール(GPC)信号を尊重する代わりに、これらのプラットフォームは長期的なトラッキングクッキーを継続的に展開しています。
- Googleのトラッキングメカニズム: ブラウザが「sec-gpc: 1」オプトアウト信号をGoogleのサーバーに送信するとき、同社はリクエストを尊重する際に87%の失敗率を経験します。トラッカーをブロックするのではなく、Googleのネットワークは「IDE」広告クッキーを設定するコマンドで応答し、これはGoogleの広告ネットワーク全体でユーザーを2年間追跡します。
- Microsoftの広告ネットワーク: Microsoftは50%のオプトアウト失敗率を示しています。Googleと同様に、MicrosoftがGPC信号を受け取ると、そのサーバーはBingドメインに「MUID」(Microsoft User Identifier)クッキーをデプロイし、ユーザーをウェブ全体で1年間追跡します。
- Metaのピクセル脆弱性: Metaのトラッキングピクセルは69%の失敗率を経験しています。フォレンジック分析により、Metaが発行者にインストールするよう指示するJavaScriptコードは「navigator.globalPrivacyControl」信号をチェックするメカニズムがないことが示されています。その結果、ピクセルは無条件にロードされ、消費者の好みに関わらずトラッキングイベントを実行します。
提案された技術的ソリューションとCMPの欠陥
webXray報告書は、改善には最小限の技術的努力が必要であることを強調しています。GoogleとMicrosoftの場合、GPC信号を受け取る広告サーバーは単に「451法的理由により利用不可」ステータスコードを返して、クッキーが設定されないようにすることができます。
Metaの場合、GPC信号をチェックするための条件付きコードを2行追加するだけで、ユーザーがオプトアウトした場合にピクセルの実行を防ぐことができます。
監査はまた、同意管理プラットフォーム(CMP)における重大な欠陥を露出させました。評価された11のCMPベンダー全体で、研究者らはオプトアウト後の広告クッキーの完全なブロックで100%の失敗率を発見しました。
これは、消費者を保護するために設計されたプライバシーツールが事実上、サードパーティトラッキングがユーザーの同意をバイパスすることを可能にしているという懸念される現実を強調しています。
消費者のプライバシーの選択を尊重しないことは、カリフォルニア州法の下で深刻な経済的結果をもたらします。
カリフォルニア州司法長官は、GPCを個人情報の共有を停止する有効な消費者要求として明示的に支持しました。以前の執行措置は、州が非準拠に罰金を課す意思があることを示しています。
例えば、Sephoraは2022年にGPC信号を無視したため120万ドルの罰金を科されましたが、Disneyは2025年に記録的な275万ドルの和解金を支払いました。
公開された執行措置を分析することにより、webXrayは違反当たり平均140万ドル近くの罰金を計算しました。
監査で特定されたオプトアウト信号にもかかわらず広告クッキーを設定するカリフォルニア州で人気のある数千のウェブサイトで乗算すると、潜在的な集計責任暴露は驚くべき58億ドルに達します。
CCPA下での違反当たり2,500ドルから7,500ドルの法定罰金の範囲内で、これらのコンプライアンスギャップに対処されない場合、発行者および広告技術ベンダーの財務リスクは依然として実質的です。
翻訳元: https://gbhackers.com/google-microsoft-meta-accused-of-tracking-users/
