Google/Microsoft/Meta のプライバシー違反:オプトアウト後のユーザー・トラッキングに批判

Google, Microsoft, Meta Accused of Tracking Users Even After Privacy Opt-Out

2026/04/15 gbhackers — Google/Microsoft/Meta などの主要テクノロジー企業によるユーザー追跡が、データ共有に対する明示的なオプトアウト後も継続していることが、プライバシー技術企業 webXray による独自監査により明らかになった。この結果が示唆するのは、California Consumer Privacy Act (CCPA) に対する産業規模での大規模な非準拠であり、これら企業および Web サイト運営者に対して、数十億ドル規模の法的責任リスクが生じる可能性がある。この調査により判明したのは、ユーザーがプライバシー保護機能を有効化した後も、Web サイトの 55 % が広告クッキーを設定し続けていたことだ。


さらに、Google 認証済みのクッキー・バナーであっても、ユーザーのオプトアウト後にトラッキングを防止できていないことが確認された。California Privacy Audit レポートによると、現在 194 のオンライン広告サービスが、規制当局が承認したグローバル標準オプトアウト信号を無視している。

オプトアウト失敗の技術的メカニズム

Google クッキー・ポリシーの元責任者である、Dr. Timothy Libert が主導する監査で明らかにされたのは、各社の広告ネットワーク全体における技術面での具体的な欠陥である。これらのプラットフォームは、Global Privacy Control (GPC) シグナルを尊重する代わりに、長期的なトラッキング・クッキーの展開を継続している。

Technology CompanyOpt-Out Failure RateNumber of Ads Cookies Set Despite Opt-OutEstimated Average Fine Per ViolationTotal Potential Aggregate LiabilityPast Privacy Fines Paid to Date
Google86% – 87%11,021$1,387,617$5.8 Billion (Total estimate across all 4,170 audited sites)$2.318 Billion
Microsoft50%7,550$1,387,617$5.8 Billion (Total estimate across all 4,170 audited sites)$390 Million
Meta69%1,293$1,387,617$5.8 Billion (Total estimate across all 4,170 audited sites)$9.304 Billion
Google’s Opt-Out Failure (Source: GPA)
Google’s Opt-Out Failure (Source: GPA)


Google のトラッキング・メカニズム:ブラウザが (sec-gpc: 1) というオプトアウト信号を送信した場合でも、Google は約 87 % の確率でこれを無視する。トラッカーをブロックする代わりに (IDE) 広告クッキーを設定し、このクッキーにより広告ネットワーク全体で 2 年間ユーザー追跡が行われる。

Microsoft の広告ネットワーク:Microsoft は、GPC 信号によるオプトアウト・リクエストに対し、50 % の確率で処理に失敗している。具体的には、GPC 信号を受信した場合でも、Bing ドメイン上で “MUID(Microsoft User Identifier)” クッキーを設定し、1 年間にわたりユーザー追跡を継続することが確認された。

Meta のピクセル脆弱性:Meta のトラッキング・ピクセルは、オプトアウト・リクエストの処理において 69 % の失敗率を示す。配布される JavaScript コードには “navigator.globalPrivacyControl” 信号を確認する仕組みが存在しない。そのため、ユーザー設定に関係なく無条件でピクセルが読み込まれ、結果としてトラッキング・イベントが発生している。

提案される対策と CMP の問題

webXray レポートが強調するのは、最小限の技術的な労力で、これらの問題の修正が実現可能であることだ。

Google および Microsoft では、GPC 信号受信時に “451 Unavailable For Legal Reasons” を返すことで、クッキー設定を防止可能である。Meta の場合には、GPC 信号を確認する条件分岐コードを 2 行追加するだけで、オプトアウト時のピクセル実行を抑止できる。

また、Consent Management Platform (CMP) にも深刻な欠陥が確認された。評価対象である 11 社のベンダーにおいて、オプトアウト後の広告クッキーの完全な遮断が失敗しており、失敗率は 100 % であった。これが意味するのは、消費者保護を目的とするプライバシー・ツール自体が、ユーザー同意なしにサードパーティ・トラッキングを許容していることだ。

法的リスクと影響

消費者のプライバシー選択を無視する行為は、カリフォルニア州法において深刻な財務リスクを伴う。カリフォルニア州司法長官は、GPC を有効なオプトアウト要求として正式に認めている。

過去の執行インシデントとして、Sephora は 2022年に $1.2 million の罰金を支払い、Disney は 2025 年に $2.75 million の和解金を支払っている。webXray は公開事例を基に、違反 1 件あたり平均約 $1.4 million の罰金になると算出している。

この金額を、オプトアウト後に広告クッキーを設定した数千の Web サイトに適用すると、全体での推定責任額は約 $5.8 billion に達する。CCPA における法定罰則は、1 件あたり  $2,500 ~ $7,500 であり、これらのコンプライアンス欠陥が是正されない限り、パブリッシャーおよび広告テクノロジー・ベンダーにとって深刻な財務リスクが継続する。

訳者後書:プライバシー保護の仕組みが、正しく機能していない現状について指摘する記事です。ブラウザが送信する GPC 信号をシステム側で受け取った後の、処理を分岐させる実装の不備という技術的な原因があります。たとえば、特定の JavaScript コード内で信号を確認する処理が抜けていたり、オプトアウト信号を受信してもクッキーの発行を停止するロジックが働かなかったりすることが問題となっています。また、同意管理プラットフォーム (CMP) 自体にも設計上の不備があり、広告トラッカーを完全に遮断できていないケースも確認されています。一つ一つの修正は決して複雑なものではありませんが、システム全体でユーザーの意図を正確に反映させる設計の重要性が、改めて浮き彫りになっています。よろしければ、カテゴリー Privacy も、ご参照ください。