FacebookとGoogle、Cookieの違反行為で罰金合計270億円：Cookieを拒否しにくいのはアウト

フランス当局がFacebookとGoogleに巨額の制裁金を科した。Cookieの受け入れと拒否の方法に偏りがあったからだ。Cookieの利用は企業にとって大きなリスク要因になりつつある。

[Alex Scroxton，Computer Weekly]

　フランスのデータ保護監視機関CNIL（Commission Nationale de l'Informatique et des Libertés）は、データ保護法違反としてFacebook Ireland（訳注）に6000万ユーロ（約77億2400万円）、Googleに1億5000万ユーロ（約193億1100万円）の制裁金を科した。「Facebook」「Google.fr」「YouTube」はCookieを受け入れるプロセスよりもCookieを拒否するプロセスを難しくしていたことが理由だ。

訳注：Meta Platformsの子会社で、ヨーロッパ、アフリカ、南米を統括する。なお、アジア太平洋地域はFacebook Singapore、日本はFacebook Japanが担当し、この3社は「Facebook」という社名を継続する。

FacebookとGoogleのUIの問題

iStock.com/Avosb

　CNILの制裁委員会（制裁措置の発行を担当する組織）は、この3つのWebサイトにはユーザーがCookieを受け入れるボタンはあるのに、Cookieを簡単に拒否する手段は用意されていないと指摘した。「全てのCookieを拒否するには複数回のクリックを要求される」

　「制裁委員会は、このプロセスが同意の自由に影響を及ぼすと見なした。ユーザーはWebサイトを迅速に参照できることを望んでいる。Cookieを受け入れるよりも拒否する方が面倒だという事実は、同意するかどうかの選択に影響を与える。これはFrench Data Protection Act（フランスデータ保護法）の第82条の違反になる」

　Facebookは、Cookieを拒否する場合でもまず「Cookieを受け入れる」というボタンをクリックしなければならない。CNILはこれをユーザーに明確な情報を提供していない（Cookieは拒否できないという印象を与えている）と見なした。

　Googleは2021年2月にデータ保護法違反の注意をCNILから受けている。CNILはCookieの拒否を同意と同程度に容易にするよう何度も伝えてきたという。

関連記事

• 「Cookie同意ポップアップは有害」――英国がG7に見直しを提案
• EUのAI規制法案、制裁金はEU最高レベル
• セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」
• ランサムウェアの身代金支払いを支援すると罰金＆制裁対象に
• ECがGoogleに科した罰金の帰結はAndroidの分裂か

　Facebook IrelandとGoogleには3カ月の猶予が与えられ、この間にCookieの拒否を同意と同程度に容易にする方法を実装することを求められた。期限をすぎた場合は1日10万ユーロ（約1290万円）の制裁金が加算される。

　2021年3月以降、CNILは公共機関や政党を含むさまざまな組織に対してCookieの違反に関連する命令と制裁を100件近く発行している。最も重要なものの一つは、新聞社Société du Figaroに対して発行された。同社はユーザーの同意を得ずに広告Cookieをユーザーの端末に配置したことで5万ユーロ（約644万円）の制裁金を科された。

　Meta Platformsの広報担当者は次のように話す。「当局の決定を確認し、引き続き関係各局に協力していく。FacebookやInstagramの新しい設定メニューを含め、ユーザーが意思決定の見直しや管理をいつでも可能にするなど、データをきめ細かく制御できるようにする。今後もCookieコントロールの開発と改善を継続する」

　Metaは、全世界で導入されているデータ保護のガイダンスに沿ってデータ保護のプラクティスを進化させる取り組みを続けており、2021年にもヨーロッパのユーザー用にCookie同意のフローに変更を加えている。

　Googleの広報担当者は次のように語る。「ユーザーは当社がプライバシーを尊重し、安全を確保すると信頼している。当社はその信頼を保つ責任を理解しており、『ePrivacy Directive』に基づく今回の決定に照らして、今後の変更とCNILとの積極的な協力に取り組んでいく」