10カ国にわたるウェブトラッキングの新しい測定研究は、プライバシーコンプライアンスに取り組んでいる誰もが現実をチェックする必要があります。
研究者たちは、オーストラリア、ブラジル、カナダ、ドイツ、インド、シンガポール、南アフリカ、韓国、スペイン、カリフォルニアに位置する仮想マシンから、グローバルに人気のある同じウェブサイトのセットをクロールしました。結果は、ヨーロッパのプライバシー法がトラッキングを削減すること、そしてその削減の大部分が規制当局が訴訟を起こす2つの管轄区域で起こることを示しています。
主な数字
ドイツとスペインからの訪問者は、同じグローバルサイトセットの他の場所からの訪問者よりもトラッキングが少なくなっています。525のグローバルに人気のあるサイトの共有リストでは、EU諸国のユーザーは非EU諸国のユーザーよりも平均50.5%少ないトラッカー接続に遭遇しました。ドイツのユーザーは1サイトあたり平均4.2のトラッカー接続で最も低いエクスポージャーを見ました。スペインのユーザーは5.3を見ました。カリフォルニアのユーザーは11.7を見ました。オーストラリアのユーザーは11.2を見ました。
これらのグローバルサイトの36サイトの小規模実験はさらに鋭い結果を生み出しました。ドイツでは、クッキーバナーを単に無視したユーザーは、受け入れをクリックしたユーザーよりも48.5%少ないトラッカー接続を見ました。カリフォルニアでは、同じ行動は21.1%の削減しか生み出しませんでした。これはカリフォルニア消費者プライバシー法のオプトアウト設計に一致しています。
地域的に人気のあるサイトでは、範囲はかなり広がります。最も人気のあるドイツの国コードサイトのうち、わずか44.6%がトラッカー接続を作成しました。オーストラリアでは、96%がしました。
強制が変数である
研究された10の管轄区域のうち7つは、トラッキングクッキーのオプトイン同意を必要とします。3つはユーザーがオプトアウトするまでトラッキングを許可しています。紙の上では、ブラジル、インド、シンガポール、韓国、南アフリカはすべてGDPRに匹敵するオプトイン制度を持っています。データでは、それらのトラッキングレベルはドイツとスペインよりもオプトアウト管轄区域に非常に近くなっています。
著者たちはドイツとスペインのみを高執行管轄区域として分類しています。ドイツのデータ保護当局は1970年代から活動していますし、スペイン当局は最近、同意なしに不可欠でないクッキーを配置したSEATに罰金を科しました。EUを通じて、規制当局は833件の罰金を発行し、合計€3.01億がデータ処理の不十分な法的根拠のために発行されました。
中程度の執行管轄区域には、オーストラリア、カナダ、韓国、カリフォルニアが含まれます。これらの規制当局は個々の高い市場案件を追求しています。カリフォルニア司法長官は最近、オプトアウト信号を尊重しなかったことについて、ディズニーとの275万ドルの和解を行いました。新しいカリフォルニア・プライバシー保護局はPlayOn SportsとFordに対して訴訟を起こしました。
低執行管轄区域には、ブラジル、インド、シンガポール、南アフリカが含まれます。ブラジルのLGPDはGDPRを密接に反映しており、最初の執行措置は公共部門のデータ侵害に焦点を当てています。インドのDPDP法は意味のある執行には新しすぎます。シンガポールと南アフリカは、同意に対する強力な行動なしに10年以上にわたって法律を持っています。
韓国は格差を示しています。その個人情報保護法はGDPRに匹敵するオプトイン同意を必要としています。最も人気のある韓国のサイトの中では、75.9%が少なくとも1つのトラッカーに接続しており、1.8%は何らかのクッキーバナーをデプロイしています。
ブリュッセルの盾
研究のより独創的な貢献は、「ブリュッセルの盾」効果のフレーミングです。広く議論されているブリュッセル効果は、多国籍企業が最も厳しい基準を至る所に適用する方が安いと考えるため、EU規則がグローバルにそれ自体をエクスポートすることを予測しています。データはより限定された何かを示しています。
グローバルに人気のあるサイトのオペレーターがクッキーバナーをどこにデプロイするかを決定するとき、彼らの行動は3つのグループに分かれます。約4分の1はすべての研究対象国にバナーをデプロイしています。ほぼ同じシェアはバナーをどこにもデプロイしていません。残りのサイトはバナーを選択的にデプロイしており、その場合、選択はほぼ常にドイツとスペイン、時々ブラジルまたはカリフォルニアと組み合わせられています。EU専用パターンは、広い余地で支配的な選択的戦略です。
至る所にデプロイする28%は、本物のブリュッセル効果を反映しています。EU訪問者へのコンプライアンスをジオフェンスするより大きなサイトの人口のために、法律は他の場所のユーザーの事を改善することなく、ヨーロッパ人のための盾として機能します。
トラッキングレイヤーの外観
広告はウェブ上のトラッキングの支配的なカテゴリーであり、記録された接続の約3分の2を占めています。アナリティクスとソーシャルトラッカーが残りを構成しています。広告カテゴリーはベンダーの長い尻尾を持っており、ソーシャルカテゴリーは4つの企業に集中しています:Facebook、LinkedIn、X、Reddit。研究のすべての国を通じて、同じ一握りの親会社がランキングの最上位に座っています:Google、Facebook、LinkedIn、Microsoft、Adobe、X。
同意管理層は少数のプラットフォーム周辺に統合されており、OneTrustはクローラーが訪問した多くのサイトに表示されています。セキュリティおよびコンプライアンスチームにとって、これは少数のベンダーの動作が、特定のサイトのバナーが準拠しているかどうか、およびトラッカーが同意がキャプチャされる前に発火するかどうかを大部分決定することを意味します。
1つの調査結果は、独自の物件を監査している誰からも注意を払う価値があります。グローバルに人気のあるリストでは、見える目のクッキーバナーなしのサイトは、1つを持つサイトよりも平均してより多くのトラッカーを運びました。より静かなユーザー体験はより多くのトラッカーの重いものでした。欠落したバナーは、現在のバナーよりも非コンプライアンスのより強い信号です。
念頭に置いておく価値のある注意事項
研究はトラッカー接続を測定しており、これは潜在的なデータ共有のプロキシです。接続はサードパーティのデータ収集のための必要な条件です。それは十分な条件ではありません。一部の受信者はサーバー側でデータを破棄する場合があります。研究はまた、サーバー間チャネルを通じて発生するトラッキング、Disconnectブロックリストの外のフィンガープリント技術、またはクライアント上でネットワークトレースを残さないその他のメカニズムをキャプチャすることはできません。トラッカー分類はDisconnectトラッカー保護リストの精度に依存しています。
この研究の「US」管轄区域は特にカリフォルニア州のCCPAです。結果は弱い、または包括的なプライバシー法がない州では異なります。国固有のサイトリストは国コードトップレベルドメインに依存しており、.comアドレスで地域的に運営されているサイトを過小表現しています。相互作用サブスタディは36サイトをカバーしました。
これから得られるもの
コンプライアンスリーダーにとって、この研究はいくつかの実行可能な結論を支持しています。アクティブな規制当局のないプライバシー法は、法律がまったくないことに近いトラッキング動作を生み出します。ブラジルのLGPDテキストとブラジルのトラッカーエクスポージャーの間のギャップは、データセット内で最も明確な例です。オプトイン法制度は、施行されるとき、より低いトラッカーエクスポージャーを生み出します。そしてGDPRとeプライバシー指令の組み合わせは、同意とバナーを無視することの間に大きなギャップを生み出す研究における唯一の組み合わせです。
アーキテクトにとって、広告とアナリティクスの市場のおおよそ6つの親会社周辺への集中は、プラットフォームレイヤーのプライバシー改善が広く伝播することを意味します。少数の同意管理プラットフォーム周辺の統合は、同様の効果を持っています。OneTrustまたはその競合他社で行われた決定は、ウェブの大部分のベースラインコンプライアンスを決定します。
複数の管轄区域で運営しているすべての人のために、三峰配置パターンは実際に支配的な戦略を反映しています。EU内でGDPR等級のコントロールを適用し、他の場所でより軽いコントロールを適用し、結果の複雑さを受け入れます。研究は、より多くの国が地域的なバリエーションを伴うオプトイン法を採用するにつれて、このアプローチはより難しくなることを示唆しており、カリフォルニアとその姉妹州がグローバルプライバシーコントロールのようなオプトアウト設定信号をより広い使用に押し込みます。
ウェブトラッキングは、広告資金でまかなわれるコンテンツモデルがそれを必要とするため存在します。プライバシー法はその交換の条件を形成することができますし、この研究の証拠は、規制当局がフォローする場所でそうすることを示しています。
翻訳元: https://www.helpnetsecurity.com/2026/04/23/gdpr-enforcement-measurement-study/
