1 ポイント 投稿者 GN⁺ 2024-03-19 | 1件のコメント | WhatsAppで共有

クッキーバナー法が存在しないことについて

  • ポール・グレアムは、EUがクッキーバナーを義務化したと考えていたが、実際にはクッキーバナーに関する法律は存在しない。
  • EUは、個人の追跡、プロファイリング、データ販売について同意が必要だと主張している。
  • 企業は、追跡を行わないか、追跡を望まないユーザーの Do Not Track ヘッダーを尊重することで、クッキーバナーを回避できる。

クッキー同意の代替手段

  • ブラウザーは、SSLアイコンのように追跡アイコンを提供し、ユーザーがクリックして同意できる情報を提示できる。
  • サイト上部に小さなバナーでクッキー同意を求めたり、ページ下部に小さなボタンを置いて「追跡による支援」への同意を求めたりできる。

企業によるクッキーバナーの利用

  • 企業は、ユーザーが追跡を望んでいなくても、追跡したいと考えている。
  • そのため、ユーザーが同意することを期待して、ページの半分ほどの大きさのクッキーバナーを強制表示し、内容を覆ってサイト利用を妨げている。
  • ユーザーを疲れさせたり混乱させたりして同意させるような Dark UI Patterns を使っている。

クッキーバナーの実態

  • EUはクッキーバナーを義務化していないが、企業がユーザーの生活を不便にしている。
  • 企業は、もはや秘密裏にユーザーを虐げられなくなったため、代わりに苛立たせる方法を選んだ。

プライバシー保護についての意見

  • EU規制が常に良いとは限らないが、データプライバシーは重要であり、筆者は30年前にPGPのために闘い、これからも闘い続ける。

GN⁺の見解

  • クッキーバナーはユーザー体験を損ない、Webサイトのアクセシビリティを低下させる要素として機能しうる。
  • ユーザーのデータプライバシーを保護することは重要だが、そのためのアプローチはユーザーフレンドリーであるべきだ。
  • Web開発者は、ユーザーの同意を得るためのより良い方法を模索すべきであり、それはWeb標準の発展に寄与しうる。
  • クッキーバナーの代わりに、ユーザーのプライバシーを尊重するWebサイト設計を検討すべきである。
  • 技術的に Do Not Track ヘッダーの尊重のようなメカニズムを実装することは、開発者にとって新たな挑戦となりうるが、ユーザーの信頼を得る助けになるだろう。

1件のコメント

 
GN⁺ 2024-03-19
Hacker News のコメント
  • 企業が顧客に気づかれないように隠れ手数料を大量に上乗せし、ユーザーが後でそれを知って不快になる市場を想像すればよい
    法律が「手数料を事前に告知しなければ請求できない」と変わると、手数料の多い企業が手数料はそのままに、メニューの全ページで最も腹立たしい方法で手数料を読ませるようなもの
    そのうえで、問題は過剰な手数料でも、以前は隠していたのに法律のせいで告知するようになったことでもなく、手遅れになる前に知らせろと強制する法律だ、と宣伝する
    Cookie バナーも本質的にはこれと同じで、いまCookie 法を非難している側には、利害関係のためにわざと間違っている人と、自分が擁護している立場を本当に理解できずに間違っている人が混在している

    • 同意。人々はいったいどれほど企業プロパガンダを浴びてきたら、企業の悪い行動や悪意ある遵守まで、すべて立法者の責任だと見るようになるのだろう
      企業と消費者の関係がどんな状態にあるから、こうした悪い行動への第一声が「お前がああさせたんだろ!」になるのかも露呈している
      結局、悪い行為者本人だけを除いて、全員のせいであるかのように扱われている
    • その比喩の弱点は、普通の消費者は隠れ手数料には関心があり、事前に知りたがり、知っていれば別の判断をしたかもしれないという点。一方で普通の消費者はCookieには関心がない
      より近い比喩は、レストランに入ったら全料理のアレルギー情報を書いた紙を渡され、「これらの材料が料理に入ることに同意します」と言わないと席に案内してもらえない状況だ
      レストランがその情報を隠してはいけないし、少数の人はその情報を望むかもしれない、という点には同意するが、全員にこうした不便なステップを強制すべきかは別問題だ。求められればアレルギー情報を提供するという従来の現実的なやり方も、うまく機能していた
      誰もが気にして衝撃を受けるような情報は企業が知らせるべきだが、少数だけが気にすることも多い。なぜ Cookie で止めるのか? Web サイトのサーバーインフラが海外製ならポップアップ、運営会社の炭素排出量が平均より高ければポップアップ、本社のフードコートの食事がコーシャでなければポップアップも義務化できる
      Cookie を深く気にする集団は、バイナリサイズや JavaScript の実行を気にする集団と同じくらいの規模だ。JavaScript の実行にも義務ポップアップを出すべきなのか? Web サイトが 10MB を超えるなら、軽量ページで先に同意を取るべきなのか? どの行為がポップアップ警告に値するのかをどう決めるかが問題だ
    • この例はよくない。そうした問題は通常、市場が解決するからだ
      Cookie バナー問題を市場が解決できず、この法律が悪い理由は、ユーザーが実際にはほとんど気にしておらず、ただ苛立つだけだからだ
      California には、事業所に発がん性の可能性がある化学物質がある場合は告知しなければならないという法律がある。趣旨はよいが、基準値が現実的に検査可能な水準より低いため、ほぼすべての不動産が「ここには化学物質が存在する可能性があります」という標識を掲げている
      警告は役に立たず、ただ煩わしいだけだが、これは市場の力によるもので、言い換えれば法律がそうした行動を誘導したということだ
    • 厳密には正しくないように思う。Cookie そのものが問題なのではない。問題は Cookie の使われ方だ
      セッションに Cookie を使うと知らせるのは、フォークで食事をすると知らせるようなものだ
      問題は、そのフォークで人を刺す人たちがいるために、いまや全員がフォークをどう使うかを事前に説明しなければならない状況になっていることだ。単に刺す行為を禁止すればよいだけなのに
    • その比喩どおりなら、結局、隠れ手数料を取っていない会社まで念のためバナーを出すようになる
      しかも私は EU 市民でもなく、EU ベースの Web サイトを見ているわけでもないのに、Cookie バナーを絶えず浴びせられている
  • KingOfCoders/amazingcto が「Cookie バナー法などなく、追跡しなければよい」と言ったのは技術的には正しいが、Paul Graham は法律の条文そのものを言っていたわけではない
    彼の不満はゲーム理論の観点、つまり法律に対して企業が実際にどう反応するかを見る、意図しない結果の法則として解釈すべきだ
    ブログ記事は法律の善意に焦点を当て、PG のツイートは実際の結果に焦点を当てたものだ

    • その論理は両側に適用できるのでは? EU 規制をゲーム理論の観点で見るなら、攻撃的な企業のデータ収集がもたらした意図しない結果でもある
      なぜ EU だけを責めて企業を責めないのか、よく理解できない
    • ブログは明らかに実際の結果の観点で扱っている。何度も繰り返し述べている。企業は単に追跡しなければよい
      実際の結果は、企業が追跡を続けたがっており、敵対的パターンと悪意ある遵守でユーザーを追い込み、「同意」を強制しているということだ
      Paul Graham は依然として間違っている
    • 二次的思考と意図しない結果は好きなので、その部分には同意する。では「同意なく人を追跡するな」を、意図しない結果なしにどう構成すればよいのだろうか?
      記事で言おうとしていた要点は、企業がユーザーの意思に反して「同意」を得るためにわざとこうしており、そのため法律に違反しない範囲で法律を破るような綱渡りをしている、ということだ
    • 悪い行為者が法律の前でも悪い振る舞いを続けることは、誰もが知っている。それは大した洞察ではない
      実際、PG のツイートはゲーム理論とはあまり関係がなく、Cookie バナーをクリックしなければならないことへの先進国的な愚痴に近い。複雑な規制や立法の実際の結果を評価することは、ツイート1つの範囲を超えている
      Graham がそもそも何を主張したいのかをまず決めてほしい。規制がうまいと自慢する特定の EU 代表に反論しているのか? それとも EU がそもそも規制を試みる厚かましさを持つべきではなかった、ということなのか?
    • ひどい Web サイトをはっきり見分けて戻るを押せるなら、良い結果だと思う
  • 「規制がうまい」という言葉には、規制がもたらし得る結果を予想する能力も含まれる
    「企業は今後、製品を無料で提供しなければならない。ただし、顧客の鼻をクラクションのように押してもよい」という規制を作れば、鼻が痛くなる人がたくさん出るだろう
    ここも似ている。ほぼすべてのWebサイトは広告で収益を上げているか、少なくともサイト最適化のためにユーザーの行動ログを残しており、それは変わらないだろうから、EUの愚かな規制が顧客に少し余計な苦痛を与えている

    • 「ほぼすべてのWebサイトが広告で収益を上げている」ことは、個人追跡を必要としない
      「サイト最適化のためにユーザーの行動ログを残す」ことも、個人追跡を必要としない
    • 要点はよく伝わったし、規制の残念な結果だという点にも同意する。たとえも面白かった
      ただし、すべてのWebサイトにCookieバナーが必要なわけではない。GitHubはかなり複雑で、ユーザーに最適化されたWebサイトではないのか? https://github.blog/2020-12-17-no-cookie-for-you/
    • EUの規制は広告表示を妨げていない。正確には追跡を対象にしている
      追跡なし > バナーなし > みんながより幸せ > 必要な広告はいくらでも表示すればよい
    • 混同は広告と追跡の間で起きているように思える。バナーは広告ではなく追跡に関するものだ
    • サイト最適化のためにユーザーの行動ログを残すことは、私の個人情報を追跡しなくても可能だ
      企業が私を追跡しなければならない時点で、それは「Webサイト最適化」以上のことをしている。私のデータを使って私に何かを売るか、私のデータを第三者に売っているのだ
      そういうことに許可が必要なのは良いことだと思う
  • これはCookie法ではなく、EUの主要なマルウェア防止法でもある
    原則は、第三者が制御するあらゆるソフトウェアがインターネット経由で私のコンピューターや携帯電話に情報を書き込んだり読み取ったりする場合、事前に十分な説明に基づく同意が必要だというものだ
    例外は、ユーザーが要求したサービスを提供するために必要な保存/読み取りや負荷分散のような狭い機能に限られる。これはブラウザCookieだけでなく、Webカメラ、マイク、Documentsフォルダの内容にも適用される
    原則自体は妥当に見えるが、EUはセキュリティ検査/必須アップデートやプライバシーを尊重した利用者指標のような追加例外を設ける改革で行き詰まっている。規制当局も事実上ある程度は大目に見ているので、EUが規制に長けているとは言い難い
    社会は概して、元の数十年前の法律にあるバグや過剰と見なされる部分を修正できていない

    • 「第三者が制御するソフトウェアが事前同意なしにコンピューター/携帯電話へ情報を書き込んだり読み取ったりしてはならない」という原則なら、それを実装する責任はブラウザベンダーにある
    • これをブラウザ標準にしようとする試みはあったのか? 探してみたが見つけられなかった
    • 「元の数十年前の法律」とはどういう意味か? GDPRは8年前のものだ
  • 立法の面白いところは、法律の意図せぬ結果についても責任があるという点だ

    • この場合は、ほとんどの企業が必要以上に多くのデータを収集していることを示しているだけだ
      サービスが最低限動作するために必要なデータにはバナーは不要だ。サイトがなければ動作しないため、同意が介在する余地もない
    • 別の言い方をすれば、ある行為を禁じる立法は、ほとんどの場合、まさにその行為をしたがる誰かがいるから生まれる
      立法はたいてい利害の争いであり、理想的には、立法者が狭い私益と衝突したときに公共の全般的利益を守ろうとするものだ
      狭い利益を持つ側が強力な集団であれば争いは避けられず、彼らに規制を本来防ごうとしていた害よりも intrusive でうっとうしく見せる方法があるなら、世論を自分たちの側に引き寄せるために利用するだろう
      だから立法者もそのような争いを予想し、その形について部分的には責任を負うかもしれないが、全面的な責任ではない。私益勢力が強いほど、規制に対抗する方法を見つける可能性が高い
      この件では、バナーを表示するWebサイトも自分自身に害を与えている。競合相手には、バナーなしでより良い体験を提供するインセンティブが生まれるからだ。つまり、規制は競争環境ではバナーを表示しないことに価値を持たせ得るので、結果を見守るべきだ
    • 人々が「法律がユーザーに攻撃的に振る舞うようにさせた」と言って責任を逃れることはできない
      Cookieを使って人々を不快にするのは意図的な選択
    • PGの元のツイートは、Cookieバナーが a) 悪く、b) EUのせいであり、c) EUが予見できなかった意図せぬ結果なので無能さを示している、と仮定しているようだ
      立法者たちが何を予見し、または意図していたのかを言うのは難しいが、Cookieバナーは実際には a) 良いもので、b) ユーザーへのより良い扱いを想像できない企業のせいだと思う
      良いと思う理由は、必要性を避けたり適切に作ったりしようとしないソフトウェアのユーザーに心理的な煩わしさを生じさせるからだ。時間がたてば、Cookieバナーのあるサイトはポップアップ広告のようにどこか怪しく非良心的だという認識がユーザーの間に生まれることを期待している
    • すべてを予見することは不可能であり、悪意あるコンプライアンスの規模についても同じだ
      結局、この法律と今後の反復・追加改正は、ないよりはあるほうがよいと思う。人々のデータが悪用されている水準があまりにも馬鹿げているからだ
  • pgは広告バナーのことを言っているようで、もしそうなら正しい。EUは、より悪質な追跡を行うモバイルアプリに利益を与えながら、私たちのWeb体験を台無しにした
    より大きな問題は、この法律が何も直せず、わずかに残っていたEUのオンライン広告事業を破壊し、見当違いのものに焦点を当てたことだ
    そもそも欧州市民はこの法律を求めておらず、もっと大きな問題があった。大半のEU市民が関心を持たない特定のドイツの利益団体が押し進めたものだ
    広告追跡は大多数のEU市民の関心事ではなく、彼らはこの法律について尋ねられてもいなかった。一方で、インターネットとソーシャルメディア中毒は大多数の市民にとって現実的な問題だ
    EUはこの無意味なCookieバナー問題にあまりに多くのエネルギーと政治的資本を費やしたため、中毒問題の解決に使える余力が減った
    拙速な立法は常にそういうことを引き起こし、最悪なのは、こうした誤った判断に責任が伴わないことだ。立法に着想を与えた人々は選挙にかかっておらず、来たる欧州議会選挙もEU政治ではなく国内政治の代理戦だ
    このような政治的不一致を何度指摘しても、本当に深刻なことが起きて手遅れになるまでは、それを変えるメカニズムがない

  • 個人的な逸話として、会社のウェブサイトにクッキーバナーを追加する仕事を任されたことがある。数年間はバナー導入をうまく食い止めてきたが、新しいオーナーがマーケティング部門で新しい試みをしたがり、弁護士たちがユーザー同意が必要だと言った、という理由を持ち出した
    時間をかけず、既製品の OneTrust を使い、カスタマイズもしないようにと言われた
    バナーのデフォルト文言が非常に恐ろしく聞こえ、実際にはしていない多くのことをしているかのように示唆していると言ったところ、OneTrust の弁護士たちが検討しているはずなので、変えると法的リスクが大きいからそのままにしろと言われた
    OneTrust の製品は、最もごちゃごちゃして広告技術に汚染されたメディアサイトまでコンプライアンス対応させるための汎用製品であって、私たちはそういうサイトではないと主張したが、通じなかった
    OneTrust のような業者やこの分野のコンサルタントには、非遵守リスクを大きく誇張するインセンティブが強い。非専門家として見る限り、善意の行為者が負う法的リスクは実際にはかなり低い。当局が非遵守を見つけた場合、たいていは是正の機会を与え、おそらく軽い警告程度で済む可能性が高い。全世界売上高の割合で計算される恐ろしい罰金が、誠実なミスに適用されることはない
    また、侵襲的なトラッキングに依存していて実際にこうしたバナーを必要とする事業者は、他の全員も自分たちと同じようにバナーでユーザー体験を台無しにしなければならないと勘違いするほど得をする。そうすれば、彼らのやっていることが普通で受け入れられるものに見えるからだ

  • 良い例だ。Hacker Newsも、リンク先の記事も、クッキーバナーは必要なかった

    • その記事には横に書籍広告まである
  • 政府が善意に見える規制を作りながら抜け穴を残し、みんなの生活をさらに面倒にして、その後で人々が「企業がただやらなければいい」と擁護する考え方が嫌いだ
    そもそもそれをやめないから法律が必要だったのに、法律の後で自主的に止めろというのは少し変ではないか
    クッキー法が適切に使われていたなら、尊重すべきブラウザ設定ひとつで終わっていたはずだ。そうすればユーザーには完全に透明で、基本的に利益になっていたはずだ
    代わりに無能な公務員たちのおかげで、ほぼすべてのサイトで永遠にクッキーバナーを見ることになり、標準化もされていないため、新聞社が記事を載せるサイトのような最悪の場所では、さらに分かりにくいバナーを作れる

    • 法律自体は実はそれほど悪くなく、裁判所が非常に遅かっただけだ
      ダーク UI パターンは実際に違法であり、今では裁判所もそう判断している。この認識がクッキーバナーを作る会社たちに広がりさえすればよい
    • 法律はウェブサイトにクッキーバナーを表示しろとは求めていない
      すでにブラウザには「トラッキング拒否」設定がある。ウェブサイトがその設定を尊重することを選べば、クッキーバナーを一切見せずにトラッキングしないことができる。だが大半はそうしない
    • 法律は特定の実装を求めていない。法律は特定の実装を求めるようには書かれていないし、そう書かれるべきでもない
      代わりに法律は技術中立的に書かれている。中立的すぎて「クッキー法」とも呼ばない。名称は ePrivacy directive で、「cookie」は例として5回だけ登場する
      参考: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
    • トラッキングクッキーのためのブラウザ設定は2002年からあった: https://www.w3.org/P3P/
      Internet Explorer が90%を超える市場シェアを持っていた時期に、実際に実装もされていた
      すると Google は、IE のユーザー設定を迂回するために意図的に不正な P3P ヘッダーを送った
      Safari が Google のサードパーティクッキーを拒否するヒューリスティックを追加したときも、Google はそれを迂回する技術的な小細工を見つけ、その件で罰金を科された
      IE と P3P が完全に死んだ後、ブラウザは広告技術業界が実装しやすい最小限の設定である DNT ヘッダーを提供しようとした。広告技術業界はそれを完全に無視した
      トラッキングに依存する兆ドル規模の企業が存在し、彼らは自分たちの事業を損なう技術を骨抜きにし、法律を阻止するために、できることは何でもする
    • ブラウザ設定なら100%問題なかったはずだ。しかしそうならなかった理由は、あまりに多くの人が拒否を選ぶからだ。それがこの記事の核心だ
  • 「企業はクッキーバナーを簡単に避けられる。ただトラッキングしなければいい」というなら、EU はまさにそれを法律にすべきだった
    そして私たちはそれをただトラッキングするな法と呼んでいただろう
    「クッキーバナー法などない」という言い方で EU を擁護する人たちには驚く。いや、法律はある。まさにその法律のせいで、人々は「わざわざリスクを取る理由があるのか?」と考え、クッキーバナーのようなゴミを入れるのだ
    法律とは紙の上の言葉の束ではなく、人々の行動に報酬や罰を与えて行動を変える制度だ

    • 法律を正しく理解すれば、ユーザーをトラッキングしないときにはクッキーバナーが不要だということも理解できる
      だが理解しようとせず、安全策を取るほうが楽ではある。とはいえ、調べもせず安全策を選んだ責任を法律のせいにしてはいけない
      ほとんどの人は模倣者なので、大きなウェブサイトがクッキーバナーを入れると、自分もそうしなければならないと思う。そして法律のせいにする
      模倣者ではなく自分の事業を理解しているなら、不要なことをさせられるとして法律を責める理由はない
      もちろん法律は時に理解が難しい。ほとんどの法律がそうで、そのために弁護士がいる。しかし技術分野では、弁護士たちもよく模倣者のように見える。だから自分で考えることは常に良いことであり、他人の言うことをすべて信じるべきではない。自分で調べ、研究してみれば、そこまで難しくもない
    • 本当に違う。ユーザートラッキングをやめる気がなく、間違えれば違法だということに今さら気づいたため、人々は「わざわざリスクを取る理由があるのか?」と考え、自分の責任を覆い隠そうとしてひどいダークパターンにしがみついているのだ
      私の事業はオンラインで顧客をトラッキングしておらず、バナーもなかった。それで終わりだ
    • 法律は個人の市民ではなく会社を罰する
      弁護士が過剰反応している、あるいは会社が必須のトラッキングと非必須のトラッキングを区別できないのだとすれば、無能なのは彼らのほうかもしれない