Cookie 同意の Pop-Up:すべてを受け入れることのリスクとは?

Don’t Click On Pop-Ups

2021/10/13 CyberSecurityIntelligence — この1年半ほどの間に、大きな変化があった。スマホやパソコンで新しい Web サイトを訪れた際に、おそらく、誰もが目にしたことがあると思う。そのページが Cookie を使ってあなたを追跡していることが知らされ、それに同意するよう求められるようになった。現在、ユーザーが訪問するほとんどの Web サイトでは、そのユーザーに関する情報を保持するために、同意を求めるポップアップが表示される。

Cookie とは、その Web サイトからユーザーのデバイスに送信される小さなファイルのことであり、それを利用してユーザーをモニターし、eコマースサイトなどではショッピングカートの中身やログイン情報などの、顧客に関する特定の情報を記憶する。

欧州連合 (EU) が 2018年半ばに GDPR の施行を開始して以来、ユーザーが訪問する大半の Web サイトで、ユーザーが読もうとしているコンテンツの一部に、そのサイトでの Cookie 使用に関する通知が表示されるようになった。全画面ポップアップは、ページの表示全体をブロックするが、ページの一部をブロックするライトボックス・ポップアップもよく見られる。

いまの、Web デザイナーは、ダークウェブに由来する手法を用いて、偽のポップアップをデザインしており、Web ユーザーに対して、時間/金銭/プライバシーの喪失を促す効果的な手段となっている。これらは、ダークパターンと呼ばれており、Web サイト・デザイナーがユーザーを操作するために使用する一連の手法である。

ダークパターンとは、Web サイト/アプリで使われるトリックのことであり、意図していない物品の購入や、何らかの登録を促す行為のことである。ダークデザインは、私たちの時間/金銭/個人データなどに関する、意思決定に影響を与えるために使われる。しかし、ダークパターンがどのように機能し、何を達成しようとしているのかを、批判的な立場から理解することで、その欺瞞を察知し、克服することができる。

通常、ポップアップは、ユーザーがページの特定部分までスクロールしたときに、少し遅れて起動するように設定されており、また、ユーザーのマウスがブラウザ・ウィンドウの上部付近に移動したときに起動する、Exit-intent Popup と呼ばれるものも使用される。

Cookie バナーは、ユーザーに選択肢を提供しているように見せかけている。すなわち、ユーザーのブラウジング機能を維持するために不可欠なクッキーのみに同意するか、すべてのクッキーを受け入れるかである。「すべてを受け入れる」ボタンは大きく強調されているが、「選択肢を確認する」や「設定を管理する」ボタンは目立たない。それらのボタンは、プライバシーを保護するためのボタンであるが、クリックに時間がかかるため、ユーザーを躊躇させてしまう。

電子商取引のサイトでは、暗い色のパターンがよく使われる。ユーザーは、価格の安い商品を見つけ、購入したいと思ったかもしれない。アカウントを作成し、商品の仕様を選択し、配送先の情報を入力して決済画面に進むと、配送料を含めた最終的な金額が当初考えていた金額よりも高くなっていることに気がつく。一見すると割安に見える航空券のオンライン購入などが、その例である。

現在、英国の Information Commissioner  は、他国と協力して Cookie ポップアップに対抗するための話し合いを行っており、G7 諸国に対してもこの問題に対処するよう求めている。この問題では、Web ユーザーが、自分が望む以上の個人情報の共有に同意していることを際立たせる。

ユーザーを操作して商業的利益を得ることは、eコマースサイトだけでななく、アプリにも広がっている。ダークデザインの、主な問題点は、それを発見するのが難しいことにある。Web ユーザーは、Facebook や YouTube などの無料サービスと称されるものに麻酔している。その一方で、スクロール/ブラウズ/サーフィンの際に、ユーザーの目の前に広告を配置することで、ユーザーの注意を引きつけて、収益を得ている者がいる。

たしかに、Cookie 同意に関しては、「すべてを受け入れる」を選択しがちです。何度か、「自分で設定する」ダイアログを開いたことがありますが、面倒なので、ついつい全てをクリックしてしまいます。本来であれば、「最小限を受け入れる」ボタンが必要であり、また、サポートされすべきなのでしょう。英国 Information Commissioner の動きに期待したいです。

%d bloggers like this: