CCPAは大規模に無視されている：あなたにできること

カリフォルニア州のプライバシー法にはコンプライアンス上の問題がある

カリフォルニア州の消費者プライバシー法（CCPA）は、住民に個人データに対する実質的なコントロールを与えるはずだった。しかし、7,000以上の人気ウェブサイトを対象とした大規模な新たな監査は、異なる現実を明らかにしている。研究者たちは、CCPAに対する「産業規模の違反」と表現する実態を発見した。多くの大手テクノロジー企業が、ブラウザに直接組み込まれた法的に認められたプライバシーシグナルを組織的に無視しているというのだ。

問題のシグナルは「グローバルプライバシーコントロール（GPC）」と呼ばれている。有効化すると、訪問するすべてのウェブサイトに対して、個人情報のトラッキングや販売を行わないよう自動的に指示を送信する。CCPAの下では、カリフォルニア州でビジネスを行う企業にとって、このシグナルを遵守することは任意ではなく、法的義務である。それにもかかわらず、監査によれば、GPCシグナルが有効な状態でも、場合によっては訪問の86%でトラッキングが継続していたことが判明した。

この数字はしばらく立ち止まって考える価値がある。ユーザーが法的に保護されたプライバシー設定を有効化するという、すべき正しい行動をとったとしても、それでも圧倒的多数のブラウジングセッションにおいて、行動がトラッキングされ、データが潜在的に販売されている可能性があるのだ。

法的保護だけでは不十分な理由

CCPAのようなプライバシー法は真の前進を意味する。権利を確立し、執行メカニズムを構築し、データ慣行を正当化する責任を企業側に転換する。しかしこの監査は、プライバシー擁護者たちが長年警告してきたギャップを浮き彫りにしている。法律は執行されて初めて有効なのだ。

違反がこれほど広範かつ組織的である場合、企業が規制上のペナルティリスクは収集するデータの価値より低いと計算していることが示唆される。これは個人の問題ではなく、構造的な問題だ。クッキーバナーを注意深く読んだり「すべて拒否」をクリックしたりすることは、選択に関わらずバックグラウンドでトラッキングインフラが稼働し続けるシステムをいくら頑張っても修正できない。

これはカリフォルニア州を超えた問題でもある。CCPAはカリフォルニア州住民にのみ適用されるが、それを違反しているウェブサイトは世界中のユーザーにサービスを提供している。同じトラッキング技術、広告ネットワーク、データブローカーがグローバルに機能している。大手企業が実効性のある州法を無視する意思があるならば、より弱い保護しかない法域での状況はさらに悪化している可能性が高い。

あなたにとっての意味

この監査から得られる実践的な教訓は不快だが重要だ。ウェブ閲覧中のプライバシーを保護するために、法的枠組みだけに頼ることはできない。企業のコンプライアンスは、良くても一貫性がなく、この調査によれば、あなたの表明した設定を尊重する点においては最悪の場合無視できるほど低いレベルだ。

これはプライバシー法が無意味だということではない。規制上のプレッシャー、罰金、そして公的な説明責任は時間をかけて変化をもたらす。しかし一方で、あなたの実際のブラウジング行動は、いかなる同意バナーやオプトアウト設定が示唆するよりも、はるかに広範囲にトラッキングされている可能性が高い。

より信頼性の高い保護を提供するツールは、ポリシーレベルではなく技術レベルで機能する。サードパーティトラッカーをブロックするブラウザ拡張機能は、企業にあなたの設定を遵守するよう求めない。単純にトラッキングコードが最初から読み込まれるのを防ぐのだ。同様に、VPNはインターネット接続を暗号化してIPアドレスを隠す。IPアドレスは、異なるウェブサイト間であなたの行動プロファイルを構築するために使用される主要な識別子の一つだ。どちらのアプローチも企業の善意や規制執行に依存しない。

ブラウザレベルのプライバシーコントロールもより洗練されてきている。Firefoxやプライバシーファーストの原則に基づいて構築されたブラウザは、デフォルトで多くのトラッキングスクリプトをブロックする。GPCシグナル自体もブラウザで有効にする価値のある設定だ。企業が確実にそれを遵守しているからではなく（この監査はそうでないことを明確に示している）、あなたの表明した設定の文書化された記録を作成するためであり、これは執行措置において重要となり得る。

今すぐプライバシーを保護するための実践的な手順

この監査が明らかにしたことを踏まえ、ポリシーに依存した約束ではなく実質的な保護を提供する具体的な行動を以下に示す：

• ブラウザ設定でグローバルプライバシーコントロールを有効にする。常に遵守されるわけではないが、法的根拠の層を追加し、プライバシー重視のブラウザによるサポートが増えている。
• uBlock Originなどのトラッカーブロック拡張機能を使用するか、デフォルトでサードパーティスクリプトをブロックするプライバシー重視のブラウザを利用する。これらはサイトがオプトアウト設定を遵守するかどうかに関わらず機能する。
• 一般的なブラウジングにはVPNの使用を検討する。特に自分がコントロールできないネットワーク上では有効だ。VPNはトラッカーを直接ブロックするわけではないが、ISPやネットワークレベルの観察者があなたのアクティビティの全体像を把握することを防ぎ、サイト間でセッションを結びつけるIPアドレスを隠す。
• ブラウザのプライバシー設定を定期的に確認する。サードパーティクッキー、フィンガープリンティング保護、トラッカーブロックは、主流のブラウザではデフォルトで無効になっていることが多い。
• クッキー同意バナーには懐疑的であれ。研究によると、選択したオプションに関わらず多くのサイトがトラッキングを継続していることが一貫して示されている。

CCPAは、企業が個人データをどのように扱うかについて責任を負わせるための重要な一歩だった。しかしこの監査は、多くのプライバシー研究者が長年主張してきたことを確認している。法的権利と技術的現実は全く異なるものだということだ。そのギャップを理解し、利用可能なツールでそれを埋める手段を講じることが、現時点で意味のあるプライバシー保護への最も信頼できる道だ。