クッキー通知のオーバーレイ(スクリーンに重なった表示)は、特にモバイル端末上でのユーザビリティを損ねているだけでなく、プライバシー保護の強化にも失敗しています。
欧州委員会はWebを破壊していると私は考えるようになりました。ユーザーのプライバシーを守ろうとする彼らの試み(GDPRやクッキー法とも呼ばれるeプライバシー指令)は、クッキー通知とプライバシーポリシーのオーバーレイの氾濫という予期せぬ結果を引き起こしました。
事実、平均的なユーザーの立場からすると、ネットワーク中立性の崩壊よりもクッキークライシスの方が、日々のWeb上での体験においてダメージが大きいと言えます。
それでも、ネットワーク中立性に関わるものと同じような組織的抵抗は、クッキー通知の異常性に対してはほとんど発生していません。私たちは、その意図が良いものであるために受け入れているのです。
誤解しないでほしいのですが、その意図自体は良いことです。どのサイトがトラッキングしてOKで、どの情報を収集しても良いかの主導権はユーザーが持つべきです。欧州委員会の取り組みは評価に値します。ただし、お分かりのように彼らはその目的を達成できていないだけでなく、ほとんどのユーザーの状況を悪化させているのです。
この投稿では、なぜ彼らの試みはうまくいっていないのか、何が状況を悪化させているのか、そしてその解決案について話したいと思います。
ここで私はTroy Hunt氏のThese Cookie Warning Shenanigans Have Got to Stopという記事に大いに影響を受けたことを述べると同時に、この記事を読むことを強くお勧めしておきます。
なぜクッキー通知はうまくいっていないのか
私が考えるに、欧州委員会はWeb上でどんな情報が収集されるのかをコントロールできる権限を人々に与えようとしているのでしょう。しかし、今の時点で言うと、クッキー通知やプライバシーポリシーの通知ではその目標を達成できていないことは明確です。
多くのWebサイトは法律の文言を守ってはいますが、その精神に従ってはいないのです。
専門用語や法律用語、無数の選択肢で圧倒することで、ユーザーが情報に基づいた適切な判断をする時間や意思がなくなることを企業は狙っています。ほとんどのユーザーはただ「yes」をクリックして進もうとするだけなのです。
ユーザーがプライバシーポリシーをすべて読み込み、サイトの使用するクッキー全てをチェックする世界を想定するとしましょう。さらに、ユーザーはコンピューターサイエンスと法律の学位も持っているとしましょう。それでもなお、クッキー通知は本来の目的である課題の解決はできていないのです。
アドネットワークは現在、ユーザーのサイト間の行動履歴を追いかけるために主にクッキーに頼っています。しかし、クッキーは唯一の武器ではありません。ユーザー個人を特定し追いかける方法は他にもあるのです。
ブラウザのバージョン、OS、言語、解像度、その他の要素を組み合わせることで個人を特定でき、サイトを超えて追跡ができます。
こういったプライバシーの侵害に対して何かしらの対策を打つことは何もしないよりもマシではないかという主張もあります。しかしながら、ユーザー体験の犠牲はとても大きく、現在の「何かしら」はベストな選択ではないのです。
クッキー通知がユーザー体験にとって災厄である理由
もしあなたが主にヨーロッパからネットにアクセスしているのであれば、クッキー通知がユーザー体験に与える影響に既にお気づきでしょう。あなたが幸運にもそれ以外の地域にいるとしたら、どれだけひどい状況なのかを少しだけ共有しましょう。
Hunt氏は自身のクッキー通知に関する投稿の中で、Techcrunchを悪い例として取り上げています。彼らのプライバシーポリシーは3,000語もあり、プライバシー設定の近くにたどり着くまでには迷宮のようなリンクを踏まなければならないのです。
どうにか設定までたどり着いたなら、今度は個々の設定が必要な224個のアドネットワークが待っているのです。
これはまだユーザー体験においての最悪な部分ではありません。ひどいのは、訪問したサイト全てでひとつ以上のオーバーレイを閉じなければいけないという事実です。
行く先々で、コンテンツを見る前に最低ひとつのオーバーレイを閉じるというアクションが伴います。また、ひとつのサイトに何度も訪問する場合、そのたびに同じことをしなければいけないケースも珍しくありません。
デスクトップでさえこのアクションはイライラします。まるで少しずつ弄られながら死を迎えるような感覚です。モバイル端末の場合は、そのせいで利用できないサイトもあるほどです。なぜかオーバーレイを閉じられないサイトや、オーバーレイがスペースを取りすぎてコンテンツが見えないために、同意しても良いものか判断できないといったサイトに私は良く遭遇します。
つまり、モバイル端末のユーザーにとって、Webは次々とクッキー通知のオーバーレイが生まれる巨大なもぐらたたきと化したのです。
それでは私たちには何ができるのでしょうか?
不要な広告とクッキーによる追跡問題の解決策
解決のために簡単な方法はないですし、私はこのとても複雑な問題を解決する立場でもありません。法律家でもなければ、テクノロジーに詳しいわけでもないからです。
解決のためには、最低でも次に示すような立場の人間が持つ知識が必要です。
- 広告主
- 開発者
- 法律家
- ポリシー立案者
- ユーザー体験のスペシャリスト
その前提の下、検討する価値のある解決案がいくつか浮かんできました。とりわけ、長期的な解決策と、すぐにでもサイトに適用できる方法を見ていきたいと思います。
ではまず、長期的な解決案から見ていきましょう。
長期的な解決案
予想通り、私はクッキー通知に代わり得るすでに運用が開始されている代替策をいくつか見つけました。特に私の注意を引いたのは、ブラウザレベルでユーザーが好みを設定できるDo Not Trackというアメリカ生まれの基準です。
ユーザーの好みを尊重することにはサイト側に特にメリットがないため、この基準は限定的な注目しか浴びませんでした。しかし、もし適切に活用されたなら、そしてもしサイトオーナーに活用するモチベーションを与えられたなら、このコンセプトには大きなポテンシャルがあると信じています。
まず、設定の選択肢を今よりもう少し広げるべきでしょう。Do Not Trackはトラッキングのオプトインかオプトアウトしか選択肢がありません。私はシンプルさが大好きですが、広告主にこの基準を順守してほしいのであれば、そして広告収入に頼るサイトの立場としては、もうすこし柔軟に対応したほうが良いかと思います。
そして最も重要なことですが、サイトオーナーを動機づける必要があります。政府からの指示はひとつの手ですが、効果的に実行できるかは懐疑的です。
もうひとつの策としては、Googleが介入することです。もしGoogleがSEOのアルゴリズムにDo Not Trackの基準を適用した場合、ほとんどのWebサイトオーナーがこぞって実施するでしょう。
Google自身も広告収入に依存しています。しかし彼らはユーザビリティやWebのパフォーマンスも重視しており、ドメインを超えたトラッキングに影響を与え得るものです。
もしDo Not Trackのようなシステムを活用できなかったとしても、まだクッキー通知が唯一の選択肢というわけではありません。
Schema.orgのように、Webサイトのオーナーにプライバシー情報とクッキー情報を一定の基準に沿って表示するよう要求するというのはどうでしょう。ブラウザの提供者はユーザーがブラウザ内のプライバシーデータを閲覧する方法を確立でき、一貫性のある体験を提供できるのです。
これらはこの非常に複雑な問題に対する長期的な解決案です。たとえこのような実行可能な代替案が示されたとしても、欧州連合がすぐに現在推奨している手法を変えるとは思えません。
では、それまでの間サイトオーナーとしてできることはなんでしょう?
今できる対策
クッキー法案の最大の問題は、ほとんどの組織が恐縮してしまっていることです。摘発されることを恐れる一方、満たすべき要件がはっきり分かっていないのです。
その理由の一つは、多くの法律が解釈次第で内容が変わる点にあります。先に述べたように、私は法律家ではなく、この件についてのエキスパートではありません。しかし、どんな法案であっても、言い回しは非常に重要なことは確かです。
たとえばクッキー法案は、Webサイトがユーザーにあらかじめクッキー使用の同意をもらわなければならないと定めていますが、それは具体的にはどういった意味でしょうか? どのように同意を取らなければいけないのでしょう? Webサイトの世界で言う「あらかじめ」とはいつのことでしょう? 政府からの助言があるとはいえ、法律は定義があいまいなのです。
イギリスのCurrysは、モバイル端末ディスプレイの貴重なスペースを奪ってしまうオーバーレイではなく、本文中のメッセージで要件をクリアすることを決めた。
こうした決断は各企業が考えなければいけないことですが、ほとんどの企業は「右にならえ」のアプローチをとります。その他大勢のやっていることをまねれば、大きな問題にはならないからです。
理解できなくはないですが、それぞれWebサイトも違えばユーザーも違います。どこかのサイトの特定の条件下では本当にオーバーレイが必要かもしれませんが、だからと言ってあなたのサイトにも必要とは限りません。
たとえば、クッキー通知をオーバーレイではなく本文中に入れ込むのは全く問題がないかもしれないのです。
また、もしかするとあなたのサイトのクッキーは法の対象外のため、通知の必要自体がないかもしれません。たとえば、個人を特定するためではなく、必要な機能を起動するためにクッキーを利用しているのであれば、通知は不要かもしれません。このサイトでクッキー通知が出ないのもそれが理由であり、プレインイングリッシュ(理解しやすいよう一定の基準に則った英語)でのプライバシーポリシーがあるだけです。
また、政府がなんの警告もなしに法令違反で摘発することはないだろうということも述べておきます。法令に則っていない旨の勧告があり、是正の時間を与えられることとなります。
突き詰めると、これはリスクマネージメントの問題です。企業は、法令違反のリスクとユーザー体験への悪影響(そしてその結果としてのコンバージョン率への悪影響)のバランスを考えなければいけません。
問題は、その決定を法務部門に託す場合、部門の性質から言って保守的な決定となる可能性が高いということです。結局のところ、会社が法律違反を犯した場合にクビになるのは彼らなのですから。
法務部門のみではなく、もっと大きな議論が必要です。法務部門によって作られた「ルール」を盲目的に受け入れるのではなく、彼らと話す機会を持つことをオススメします。法律に関する文言の理解を深め、他のアプローチを彼らと探るのが良いでしょう。コンプライアンスの領域においては、第一印象ほど白黒はっきりしていないことが多いものです。
未来はどうなるのか
現在のプライバシーを取り巻く状況は、様々な面でアクセシビリティの初期を想起させます。最初は誰も障がい者法が実際に意味するところを知りませんでした。そしてWAIガイドラインの施行に落ち着きました。
しかし、このガイドラインは長い間、チェックボックスにチェックをいれるだけのものとなっていました。WAIの自動チェッカーをパスさえできれば、法令を遵守していることになったのです。
今日(こんにち)、私たちの考えは変わり、ガイドラインに従うだけでは真のアクセシビリティは達成できないことを学びました。
プライバシーとクッキーに関しても同様だと私は信じています。その場しのぎではなく、法律の裏にある精神を守ることに注力すべきなのです。情報を公開し、トラッキングを管理する選択肢を与え、事前の承諾を得ることを通してユーザーに権限を与えるのです。その方が、理解不能なオーバーレイでユーザーを惑わすよりはるかに生産的なのですから。