出典:Alamy Stock Photoを通じてdesigner491
オンラインユーザーのプライバシーを尊重するための規制的試みのさらなる失敗と思われるケースで、インターネットユーザーがカリフォルニア州のオンライントラッカーのオプトアウトを要求した場合、州法で要求されているにもかかわらず、トップテック企業の3社が少なくとも50%の時間その要求に応じていないことが、独立した監査によって判明しました。
Google、Meta、およびMicrosoftは、プライバシー法律家WebXrayの監査によれば、実際にはユーザーのオプトアウト信号に従うことで、州のプライバシー要件に違反している可能性があります。同監査は、3月にカリフォルニアのウェブトラフィックを調査したプライバシー企業WebXrayによって実施されました。この監査
2020年、カリフォルニア州はカリフォルニア消費者プライバシー法(CCPA)を制定しました。この法律は、インターネットブラウザとモバイルオペレーティングシステムがユーザーに個人情報の販売または共有のオプトアウトを許可することを要求しています。法律の一部として、カリフォルニア州はグローバルプライバシーコントロール(GPC)ブラウザ設定またはプラグインの使用を、消費者がこの権利を大規模に行使するためのメカニズムとして推奨しており、監査によれば、企業はこれを遵守しなければなりません。
WebXray監査は、「194のオンライン広告サービスが法的に定義された、グローバルに標準化された、規制当局によって承認されたオプトアウト信号を無視している」ことを明らかにしました。さらに、WebXrayによれば「より懸念すべきことに」、Googleによって認定されたクッキー選択バナーは、ユーザーがGPC信号でオプトアウトした後、Googleがクッキーを設定することを防ぐことができていないことを監査は発見しました。
結果を集めるため、WebXrayはカリフォルニアの住宅用IPアドレスからスキャンされた7,634の人気Webサイトを、GPCが有効な状態と無効な状態の2つの条件下で分析しました。「私たちの調査結果は、大手テクノロジー企業がグローバルに定義されたオプトアウト信号を単に無視していることを明らかにしており、カリフォルニア要件への業界規模での非遵守の幽霊を提示しています」と報告書に記載されています。
Google、Meta、およびMicrosoftは、水曜日にDark Readingから調査結果についてのコメント要求に即座に応答しませんでした。しかし、公開報告書でなされたコメントの中で、GoogleとMetaの両社は彼らのプライバシーコントロールが誤って表現されていると主張し、一方Microsoftは消費者プライバシーが同社にとって最優先事項であると述べました。
Googleが最も高い失敗率を記録
この監査は、ユーザープライバシーの監督業務に従事する人々がCCPAのコンプライアンスに不足していることが発見された最初のケースではありません。WebXray監査の調査結果は、カリフォルニア大学アーバイン校による2025年の調査結果に続くものであり、その調査ではデータブローカーの半分がオンラインでトラッキングのオプトアウト要求を無視していることが判明しています。
WebXrayによる監査は、3つの大手テクノロジー企業(Google、Meta、およびMicrosoft)がカリフォルニアの数千のサイトでのオプトアウト要求を尊重する点で、どのように機能しているかに特に焦点を当てています。
この3社のうち、Googleが最も悪い違反者であり、調査結果によれば、オプトアウトの「失敗率」は86%であり、規制上のコンプライアンスの全体的な欠如により、これまでのところ23億2000万ドルのプライバシー罰金を支払っています。この監査はカリフォルニアでの特定の失敗のメカニズムを掘り下げており、研究者たちは「ネットワークトラフィックで簡単に見つけることができる」と述べています。
「GPCを使用するブラウザがGoogleのサーバーに接続すると、オプトアウト信号を’sec-gpc: 1’というコードを送信することでエンコードします」と報告書に記載されています。「これはGoogleがクッキーを返すべきではないことを意味します。」
しかし、Googleのサーバーがオプトアウトでネットワーク要求に応答する際、明示的に’set-cookie’コマンドを使用してIDEという名前の広告クッキーを作成するコマンドで応答しており、調査結果によると、「このコンプライアンス違反は目に見える場所に隠れており、簡単に発見できます。」
MetaおよびMicrosoftも信号を無視
Metaはオプトアウト失敗率69%で、Googleに次ぐ強い競争者としてランクインしており、主にパブリッシャーにインストールするよう指示しているトラッキングコードが「グローバル標準オプトアウト信号のチェックを含まない」ことが原因です。FacebookとInstagramを所有する同社は、これまでのところ合計93億ドルの規制合意をしており、プライバシー罰金を支払っています。WebXrayによるとこれは合計です。
「Metaはこのコードをオンラインで公開しており、誰でもアクセスできるにもかかわらず、なぜグローバルプライバシーコントロール信号のチェックを省略しているのかを尋ねた人はこれまでいません」とWebXrayは述べています。
Microsoftは一方、オプトアウト信号をおよそ半分の時間尊重しており、これまでのところプライバシー関連の罰金として合計3億9000万ドルを支払っています。この監査は、その広告ネットワークがMetaと同様の方法でGPCオプトアウト信号を尊重できていないことを発見しました。Microsoftのトラッキングピクセルが実際にはクッキーを返さないように設定されている場合でも、Microsoft User Identifier(MUID)クッキー(広告トラッカー)をbing.comドメインに設定しており、報告書によると、このことが問題になっています。
セキュリティチームがプライバシーを強化する方法
WebXrayの監査はそれ自体に法的拘束力を持たず、したがってその調査結果はCCPAの法的違反として受け取られるべきではないと同社は報告書で強調しています。しかし、既にCCPA違反で罰金を支払った企業の前例があります。特に、カリフォルニア州司法長官がSephora(2022年に120万ドル)とDisney(2025年に275万ドル)に対して課した罰金があります。
企業がユーザーのウェブサイト訪問時にCCPAおよびその他のプライバシー規制に準拠していることを確認するために、セキュリティプロフェッショナルは、GPC および他の同意フレームワークを含むオプトアウト信号処理を継続的にテストする必要があります。また、サードパーティーのデータフローと広告技術の依存関係を監査し、プライバシーコントロールを実際の実行時の動作と整合させ、プライバシー遠隔測定をセキュリティ遠隔測定と同様にログ、検証、およびアラートの観点から扱う必要があります。WebXrayによると、これらが必要です。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 セキュリティボスはAIに全力で取り組んでいます:その理由 。RedditのCISO Frederick LeeとOmdiaアナリストDave Gruberが、SOC内のAIと機械学習、成功した実装がこれまでのところどのようなものであるか、およびAIセキュリティ製品の将来がどうなるかについて議論します。今すぐ聴いてください!
翻訳元: https://www.darkreading.com/cyber-risk/audit-big-tech-ignores-data-collection-requests
