カリフォルニアに本拠を置く独立監査機関の新たな報告書によると、ここ数年ウェブサイトに表示され、ユーザーが広告で追跡されるかどうかを「選択」できると主張するCookie同意ポップアップは、実際には多くの場合役に立たないことが示されている。たとえユーザーが明示的に「拒否」をクリックしたとしても、Google、Microsoft、Metaなどの大手広告テクノロジー企業は従来通り追跡Cookieを設置し、「低コスト」オプションとして数十億ドルに達する可能性のある罰金を支払うだろう。

監査機関webXrayが発表した2026年3月の監査報告書では、テクノロジー大手はカリフォルニア州のユーザーがウェブサイトを訪問した際に一般にユーザーのCookie拒否シグナルを無視し、クロスサイトCookieを通じてユーザーの行動を追跡し続けたと指摘した。 Google、Microsoft、Meta はいずれもこの結論に異議を唱えています。これらの Cookie ポップアップは、広告を配信したり Cookie を追跡したりする前に、Web サイトがユーザーから明示的な同意を取得することを要求する欧州のプライバシー規制に応じて作成されました。

「コンテンツが曖昧でクリックを誘発する」「人々は基本的に直接読まない」というユーザーの長年の苦情を受けて、欧州の規制当局は最近Cookieルールの簡素化を推進しているが、webXrayの最新の監査では実際の状況が依然として楽観的ではないことが判明した。カリフォルニアのユーザーを対象としたサンプルテストでは、ユーザーが「拒否」をクリックした後も Web サイトの 55% で Cookie が設定されており、Cookie 同意ポップアップの 78% はユーザーの選択を技術的に実装しておらず、単なる装飾であることがわかりました。 webXray は、現在のルールが厳密に守られた場合、これらの広告テクノロジー企業は約 58 億ドルの罰金を支払う必要があるかもしれないと推定しているが、彼らは「まず追跡してから、罰金にコストをカウントさせる」ことを好むようだ。

監査結果によると、Google または Microsoft の広告ネットワークを使用している Web サイトでは、システムがユーザーの拒否信号を明示的に受信した場合でも、広告テクノロジーのコンポーネントがユーザーのデバイスに Cookie を配置する指示を発行します。 webXray は、パブリック ネットワークのトラフィック記録を通じてこの行為を追跡し、関連企業はほとんど隠蔽していないと考えましたが、公然と追跡し続けました。具体的なデータに関して言えば、Microsoft の広告ネットワークは「否認」シグナルの約半分を無視し、顧客 Web サイトの 35% でユーザーの追跡を続け、推定約 3 億 9,000 万ドルの罰金が科せられました。

Googleの状況はさらに深刻で、監査では拒否要求の86%を無視し、Webサイトの77%でユーザーの行動を記録し続けたと発表されており、これは23億1000万ドルの罰金が科せられる可能性がある。同時に、Meta の実装は「拒否シグナルをまったく考慮していない」と批判されています。Meta のトラッキング コードは、技術的にはユーザーの統一されたオプトアウト指示をまったくチェックしていないようです。離脱シグナルを検出したサイトのうち、69% は依然としてシグナルを無視することを選択しており、21% はシグナルを追跡し続けています。 webXrayは、メタ社がこの件で93億ドルもの罰金を支払った可能性があると推定している。

webXray の創設者兼 CEO である Timothy Libert は、以前は Google でプライバシー エンジニアとして働いていました。同氏は404メディアとのインタビューで、在任中、会社幹部は「税金」と「罰金」を明確に区別しないことが多かった、と語った。これは、一部のビジネス上の意思決定において、罰金は回避すべきコンプライアンス リスクではなく、予測可能で許容可能な運営コストとみなされることを意味しました。

監査の結論を前に、大手3社はいずれも、報告書が自社の技術の実装方法を「誤解している」と反論した。 Microsoft は、一部の Cookie は Web サイトの機能にとって重要であり、単に広告追跡ツールと見なすことはできないと述べました。一方、メタ氏は、特定の技術的構成の下では、Web サイト自体が統一された終了シグナルを上書きまたは変更できると強調し、責任の一部はプラットフォーム コード自体ではなく Web サイト運営者にあることを暗示しています。しかし、webXray の見解では、現在の実際の実装結果と監督の本来の意図との間には明らかなギャップがあり、ユーザーがポップアップ ウィンドウを辛抱強く読んで「拒否」を選択したとしても、プライバシー権を真に保護することは依然として困難であることを意味します。