今さら聞けない〈Cookie〉の役割を専門家に聞いてみた
いつの頃からだろうか、Webサイトを開こうとすると『Cookieを承認しますか?』というメッセージが出始めたのは。別に忙しい時じゃなければなんとも思わないのだが、急いで調べごとや何かしらの予約をしなければならない時に、「また出たよ、なんだよこれ!」と憤っているのは記者だけじゃないはず。
実はこれ、事業者に有利な方向に消費者を誘導することで問題になっているダークパターンの中のひとつの例なんだとか。ダークパターンと聞いて直感的に「字面からして、なんか胡散臭そう」と感じた人は、おそらく危険察知能力に長けた人。実は日本のみならず、世界規模でこの問題の危うさが叫ばれているのだ。そこで今回は、ダークパターンやCookieについて詳しい専門家に、その問題点について聞いてみた。
Q まず、よく目にするCookieとはどんなものなのかを教えてください。
Cookieは、いろんなWeb上でのユーザーの操作をアシストするためにも存在しますし、ユーザーの行動動体を取得するためにも使われます。例えばECサイトにショッピングカートがありますよね。買い物の途中で別のページに行って戻ってきても同じデータが残ってると思いませんか? それはCookieにデータが保存されているからなんです。もし別のページから戻ってきた時にリセットされてたら面倒じゃないですか。そういう形でユーザーの動作をアシストするという観点でCookieが使われています。
ほかにわかりやすい例を挙げるとすると、動画視聴を途中でストップしてブラウザを落としても、また後で同じサイトに行くと、その途中までのところから再生できますよね。あれもCookieが情報を持っているから可能なのです。もし会員ページでログインしてから次のページに画面遷移する時にCookieがないと、全部のページでログインし直さなければならなくなります。このように、セッション情報を持っていたり、ユーザーの操作をアシストする上で有益な情報をCookieは持っています。
Q では、Cookieは我々ネットユーザーに恩恵を与えてくれているのですね?
ところが、そうやっていろいろたくさん情報を持たせることができるので、広告に使われ始めたんですね。2008年頃のことです。前述したように、ユーザーがどのWebページにアクセスしたとか、どのページを何秒ぐらい見ていたかとか、いろんな情報をCookieに保存することができます。そうすると、いろんなウェブサイトをアクセスしていった行動履歴や行動動態がわかるわけですよね。それをプロファイリングすると、この人はまず男性なのか女性なのかということも大体わかりますし、年齢層もおおよそこれぐらいだろうだとか、可処分所得はこれぐらいだろうだとか、いろんなことがわかってきます。場合によっては宗教や性的嗜好もわかるでしょう。スマホのデータだと全部位置情報まで取られてしまうので、何時にどこへ行っていたとか、そういう機微な情報まで全部わかってしまいます。Cookieがあることで丸裸なんですよ、怖いでしょ。
すでにスマホアプリでは、これを説明するのは義務になっていますが、Webサイト上でも「我々はCookieでこういう情報取ってますよ」ということを消費者にちゃんと示してあげないといけません。EUでは2009年から規制が始まっていまして、Cookieに関しては、ちゃんと本人に説明をして同意を取りなさい、嫌だったらやめられるようにしなさい、と決められています。また2018年にはGDPRという世界で一番厳しい個人情報保護法が出てきまして、その中で同意の要件は明確になりました。例えばユーザーが自分でチェックボックスにチェックを入れてから同意ボタンを押させるといったカタチは本人の明確な意思になるので、この同意の要件を満たすことになるということになるんですね。EUとビジネスしている日本企業はたくさんありますが、EU側の人が日本のウェブサイトを見た時、この規制対象になるんですよ。法律が実は域外適用というので関わってくることになるので、日本企業も対応しなければいけないというのが2018年以降起きたんですね。それで、Cookieバナーが大企業を中心にバーっと広がっていったんです。でも実は、日本では別に法的な規制がほぼないんですよ。だから日本企業でCookieバナーを出しているところは「ウチはちゃんとした企業ですよ、ちゃんとプライバシー保護やってますよ」とアピールしているみたいな感じですね。
Q でも同意する前に注意事項をちゃんと読む人って少ないですよね?
そうなんです。小さな文字を読むのに疲れてしまうから、もうとりあえずなんでも同意、同意、同意って押してしまいますよね。これを同意疲れといいます。とくにiPhoneを使っていると顕著ですね。というのも、iPhoneのデフォルトブラウザ「Safari」はCookieを24時間で消すんですよ。だから昨日同意したのに、また同意しなければならない。毎日見に行くサイトなのに、毎回同意させられるという。でも、そのほうがユーザーとしては安心なんですけどね。
Q Cookieバナーに拒否ボタンがないことがありませんか?
そうなんです。同意ボタンしかない、拒否するボタンがないとなったら、同意しかできないじゃないですか。これって恣意的に同意に誘導してますよね。このように、事業者側に有利に働くようなデザインを、基本的にダークパターンといいます。舌肥の読者の皆さんであれば、旅やレストランの予約を日常的に行っていると思いますが、例えば「●●ホテル、残り何室です」とか「こちらのレストラン、本日何人が予約しました、今何人が見ています」なんてサイトを見かけませんか? ああいうのを見ると十分に他を検討することもなく選んじゃっているみたいなところもありますよね。あれが全てダークパターンという訳ではありませんが、消費者心理を過度に焦らせたり事業者側に誘導している場合にはダークパターンと判断される場合があります。
Q ダークパターンサイトを回避する方法はありますか?
現状では誠実なサイトとダークパターンのサイトが混在していて、ダークパターンの方が消費者に選ばれる傾向にあります。つまり、やったもん勝ちになってるんですね。そうすると、それを見ていた誠実な人が場合によっては闇落ちする可能性もあります。「別に法規制されていないんだし、ウチもやっちゃおう」なんて感じに傾く恐れもあるわけです。だから、企業の倫理的な観点というのがすごく大事なんです。そこでダークパターン対策協会としては、健全なWeb運営を行っている企業に対し、認定ロゴマークを授与しようとしています。認定されているサイトは安心していいサイトですよ、というのをまず訴求する感じの方向でやっていきたいと思っています。
Q ロゴを取得するには、どのようにしたらよいでしょうか?
正式なロゴマークは今年2月に決定し、取得したところには7月以降から表示が始まることになります。取得するには、まずサイトを運営する企業や事業者側から申し込んでいただき、審査をパスした後に授与されるカタチです。また、取得後は一年に一度更新していただく予定です。一回審査が通ったのに、いつの間にかダークパターンになったサイトを通報するダークパターン通報窓口も用意されており、ダークパターン化が確認されたサイトは消費者庁から何かしらのペナルティを受けることになります。
協会の取組について
消費者が正しい判断を行えるようにする一つの目安として、誠実なWebサイトを審査・認定し、改ざんできないロゴマークを付与する仕組みを提供するとともに、消費者の方々にダークパターンに関する注意喚起やロゴマークの普及啓もう活動を行う。
誠実なWebサイトの審査においては、主に以下の3点を確認していく予定
1.ダークパターンになっていないWebサイト
2.消費者に寄り添う誠実な実装をしているWebサイト
3.自浄作用が働くルール・プロセス・教育が行われている組織が運営していること
誠実なWebサイトの認定について出来ていない事象を広義のダークパターンと捉え、非ダークパターン認定(Non-Deceptive Design Accreditation:NDD認定)(仮称)という名前で検討中。
知らず知らずのうちに、ダークパターンサイトの巧妙な罠に引っかかっていたかもしれない我々ネットユーザー。後から泣きを見ないためにも、ダークパターン対策協会の認定ロゴマークを取得しているかどうかをサイトの判断基準にしたほうが良さそうだ。メディアを運営する立場から言わせてもらうと、この認定ロゴマークの登場は、これまで誠実なサイト運営を行ってきたメディアにとってとても喜ばしいこと。読者に皆さんに安心して記事を読んでもらえるよう、1日も早く認定ロゴマークが取得できるよう、年明けの解禁を迎えたら早速申請したいと思う。
