国別クッキー同意法:完全ガイド(2026年)

クッキー同意法には、世界的に見て三つのモデルがある。EUのePrivacy指令に基づくオプトイン方式、米国の州プライバシー法を基盤としたオプトアウト方式、そしてオーストラリアなどで採用されている通知のみで足りる方式である。すべての訪問者にEU基準のオプトイン同意を適用しておけば、事実上他のほぼすべての法域の要件を満たすことができる。
クッキー同意要件は、主要な法域のほぼすべてで異なっている。世界中からアクセス可能なウェブサイトは、EUの厳格なオプトイン制度から、クッキーに関する固有のルールが一切存在しない国まで、パッチワーク状の法制度に直面することになる。EU域内だけでも執行措置と制裁金の総額は数億ユーロに達しており、2024年から2026年にかけて、新法の制定と執行判断の相次ぐ動きによって、規制環境は大きく変化した。
本ガイドでは、30か国・地域以上のクッキー同意ルールを概観し、特に2024年から2026年にかけての変化と、今後の見通しに焦点を当てる。
早わかり:クッキー同意は国によってどう違うか
クッキー同意法の仕組みは、どの国でも同じというわけではない。次の三つの異なるモデルが存在する。
オプトイン方式:利用者が積極的に同意するまで、クッキーを設置することができない。EU、英国、韓国、そしてアジア・アフリカの増加しつつある国々がこの方式を採用している。
オプトアウト方式:クッキーはデフォルトで許可されており、利用者が停止するために行動を起こす必要がある。これは米国の州法における主流のモデルであり、事前の同意を要求するのではなく、Global Privacy Controlのようなオプトアウトシグナルを尊重することに重点が置かれている。
通知のみ方式:事業者はクッキーが使用されている旨を利用者に通知しなければならない(通常はプライバシーポリシーによる)が、同意バナーの表示は義務付けられていない。オーストラリアはこのモデルのもとで運用してきたが、近年の改正によりルールが厳格化されつつある。
グローバルに展開するウェブサイトにとっての実務上の含意は、すべての訪問者にEU基準のオプトイン同意を適用することが、単一のポリシーとして最も安全であるという点である。EUの要件を満たすサイトであれば、事実上他のほぼすべての法域のルールを満たすことになる。
クッキー同意が国によって異なる理由
この違いは、根本的に異なる法的伝統と政策上の優先順位を反映したものである。EUはプライバシーを基本的権利として扱い、歴史的にテクノロジーに対して先手を打つ形で規制を行ってきた。米国は歴史的に、包括的な連邦データ保護法によるのではなく、州議会とFTCに依拠した、分野別かつ市場主導型のアプローチを好んできた。発展途上の経済圏では、EU(場合によってはAPECプライバシーフレームワーク)をモデルとした近代的なデータ保護制度を採用する例が多いが、執行能力と導入時期は国によって異なる。
技術的な背景も重要である。クッキー同意ルールの起源は、一般に、2000年代初頭のトラッキングに関する具体的な懸念への対応として制定されたEUのePrivacy指令にさかのぼる。ブラジル、インド、タイなど、データ保護制度の導入が後発であった国々は、通常、クッキー固有の立法によってではなく、より広範な個人データ処理に関するルールを通じてクッキーの問題に対応している。
EU・EEA:世界標準を定める存在
EUのクッキー制度は、二つの法令に基づいている。すなわち、ePrivacy指令(指令2002/58/EC、2009/136/ECにより改正)と、GDPR(規則2016/679)である。両者が組み合わさることで、世界で最も要求水準の高いクッキー同意制度が形成されている。
EUの制度の仕組み
ePrivacy指令第5条(3)項は、必須ではないクッキーを利用者の端末に設置する前に、事前の、情報に基づいた同意を得ることを求めている。GDPRの同意基準は、同意が自由な意思に基づき、特定の目的に限定され、十分な情報を与えられたうえで、明確な積極的行為によって示されたものであることを求めている。
CJEUのPlanet49事件判決(C-673/17)以降、あらかじめチェックが入れられたチェックボックスは違法とされている。スクロールや閲覧の継続は同意とはみなされない。拒否は同意と同程度に容易でなければならないという原則があり、これが大型の制裁金につながっている。
厳密に必要なクッキーは同意の対象外である。これには、ショッピングカート用のセッションクッキーやセキュリティトークンなど、利用者が明示的に求めたサービスに不可欠なクッキーが含まれる。
ePrivacy Regulation案:2025年2月に撤回
EUは長年にわたり、ePrivacy指令を新たな規則に置き換えようとしてきた。2017年に提案されたePrivacy Regulation案は、加盟国間のルールを調和させ、現行指令の欠落部分に対応することを目指していた。
2025年2月、欧州委員会の2025年作業計画により、この提案は正式に撤回された。欧州委員会は「共同立法者間での合意は見込まれない」とし、また同提案は「技術面および立法面双方における近年の動向に照らして時代遅れとなっている」と述べた。現行のePrivacy指令および各国における国内実施法が、引き続き適用される法である。
Digital Omnibus提案:視野に入る新たなクッキールール
2025年11月19日、欧州委員会はDigital Omnibusパッケージを提案した。これは、EUにおけるクッキールールのあり方を根本的に作り変える、広範な立法イニシアチブである。
クッキーに関連する主な提案内容は次のとおりである。
- ePrivacy指令はもはや個人データ処理を規律しなくなる。個人データを収集するクッキーについては、GDPRのみが適用されることとなり、法制度が一本化される。
- セキュリティ用クッキー、ファーストパーティの分析用クッキー、および利用者が求めたサービスの提供に必要なクッキーについて、新たな適用除外が設けられる。これらについては同意バナーの表示が不要となる。
- 同一目的についての同意の再要求は、6か月以内は禁止される。
- 事業者は、機械可読な同意シグナル(ブラウザレベルの設定など)を尊重することが義務付けられる。
これらの改正は、クッキーバナー疲れという長年の不満に対応するものである。しかし、Digital Omnibusは依然として立法審議の途上にある。楽観的な見通しでも、採択は2026年末、発効は早くても2027年になる見込みである。
EUにおける執行事例のハイライト
EU加盟27か国は、それぞれの国内データ保護当局(DPA)を通じてクッキールールを執行している。そのうち、執行の厳しさで際立つ国がいくつか存在する。
フランス(CNIL):2021年12月、クッキーの拒否を過度に困難にしたとして、Googleに1億5,000万ユーロ、Facebookに6,000万ユーロの制裁金を科した。CNILは、バナーの最初の層に目に見える拒否ボタンを表示することを求めており、限定的なファーストパーティ分析用途の適用除外を認めている。
イタリア(Garante):2021年に改訂版クッキーガイドラインを公表し、初期バナーに目に見える拒否ボタンを表示すること、および一般的なプライバシー通知とは別個のクッキーポリシーを設けることを求めた。
ドイツ(BfDIおよび州DPA):2020年10月、連邦通常裁判所を通じてPlanet49基準を採用した。ドイツでは16の州レベルDPAと連邦BfDIがいずれもクッキールールを執行しており、重層的な執行体制が形成されている。
スペイン(AEPD):GDPRとあわせてLSSI(法律34/2002号)のもとでクッキー遵守を執行しており、LSSIによる制裁金は最大30万ユーロに達し、個人データが関係する場合はGDPR水準の制裁金が科される。
ベルギー(APD):2022年、IAB EuropeのTransparency and Consent Framework(TCF)に対する画期的な決定を下し、TCFそのものがGDPRに違反すると認定した。

EDPBクッキーバナー・タスクフォース
欧州データ保護会議(EDPB)は、各DPA間の執行を調整するため、2021年にクッキーバナー・タスクフォースを設置した。2023年1月の報告書では、最低限の要件として、拒否ボタンが同意ボタンと同程度に目立つこと、ダークパターン(紛らわしい配色、誤解を招く文言、あらかじめ選択された同意など)がGDPR違反にあたること、そして利用者が同意を与えたときと同じくらい容易に同意を撤回できることが定められた。これを受けてEU各国のDPAは、執行通知や制裁金を相次いで発出しており、2024年には基準を満たさないバナーを理由に、あるEコマース事業者に1万5,000ユーロの制裁金が科された例もある。
英国:PECRとDUAA2025による変更
英国のクッキールールは、EUのePrivacy制度を反映した2003年プライバシー・電子通信規則(PECR)に由来する。Brexit後、PECRは英国GDPRと並んで独立に機能しており、情報コミッショナー事務局(ICO)がこれを執行している。
PECRが求めること
PECR規則6は、クッキーまたは類似の技術を設置する前に、事前の同意を得ることを求めている。同意は、十分な情報に基づき、特定の目的に限定され、明確な積極的行為を伴うものでなければならない。厳密に必要なクッキーは適用除外である。この同意基準は、英国GDPRの基準と整合している。
Data (Use and Access) Act 2025:大きな転換
Data (Use and Access) Act 2025(DUAA)は、2025年6月19日に国王の裁可を受けた。PECRに関連する主要規定は2026年2月5日に施行された。DUAAは、クッキールールについて二つの重要な変更を行った。
新たなクッキー適用除外:次の三つのカテゴリーが、PECRの同意要件の対象外となった。(1)ウェブサイトやサービスの改善のための集計統計の収集のみを目的とする分析用クッキー、(2)言語やテーマなど、サイトの見た目や挙動を調整する設定保持用クッキー、(3)従来どおりの厳密に必要なクッキーである。広告用クッキー、ターゲティング、フリークエンシーキャッピング、広告測定については、引き続き同意が必要である。
制裁金の大幅な引き上げ:PECRの最高制裁金額は、英国GDPR水準(最大1,750万ポンドまたは全世界年間売上高の4%のいずれか高い方)まで引き上げられた。従来のPECRの上限は50万ポンドであった。これによりPECRの執行力は英国GDPRと足並みがそろい、ICOによる執行が今後強化される可能性を示している。

米国:州法によるパッチワーク
米国には、クッキー同意バナーを義務付ける連邦法は存在しない。クッキーに関する義務は、オプトアウト権、オンライントラッキング、ターゲティング広告に焦点を当てた、増加しつつある州のプライバシー法から生じている。詳細については、米国の州別ガイドを参照されたい。
基本モデル:オプトインではなくオプトアウト
米国のいかなる州も、EU方式の積極的なオプトイン同意をクッキーについて要求していない。米国のモデルはオプトアウトであり、利用者が別段の意思を示さない限り、クッキーは許可される。主な仕組みは次のとおりである。
「販売または共有をしない」リンク:カリフォルニア州のCCPA/CPRAは、広告用クッキーを含む個人情報の販売または共有について、消費者がオプトアウトできるリンクの設置を求めている。
Global Privacy Control(GPC):オプトアウトの意思をブラウザレベルで伝えるシグナルである。カリフォルニア州のCCPA/CPRAの適用対象となる事業者は、GPCを有効なオプトアウト要求として尊重しなければならない。
GPC遵守を義務付ける州(2026年5月時点)
事業者にGPCシグナルの尊重を義務付ける州のリストは、大幅に拡大している。
- カリフォルニア州:CCPA/CPRAのもとでGPCの尊重を義務付けている。California Privacy Protection Agencyは2025年9月、コロラド州およびコネチカット州の司法長官と連携し、GPC不遵守を対象とした一斉執行を実施した。
- コロラド州:コロラド州司法長官は、GPCを容認可能な統一オプトアウトの仕組みとして指定している。
- コネチカット州:2025年1月1日以降、事業者はコネチカット州Data Privacy Actのもとで統一オプトアウトシグナルを尊重しなければならない。
- モンタナ州、テキサス州:同様に統一オプトアウトの仕組みの尊重を義務付けている。
- メリーランド州:2025年10月1日施行のMaryland Online Data Privacy Act(MODPA)は、オプトアウトシグナルの尊重を義務付けている。
- ニュージャージー州:2025年7月15日施行のNew Jersey Data Privacy Lawのもとで、事業者はGPCを尊重しなければならない。
- オレゴン州:2026年1月1日施行のOregon Consumer Privacy Actのもとで、事業者は要件を満たすオプトアウトシグナルを尊重しなければならない。
2026年7月までに、少なくとも12州がGPCのような統一オプトアウトの仕組みの認識を義務付けることになる。
連邦レベルの状況
連邦議会はこれまで繰り返し包括的な連邦プライバシー法案を提出してきたが、いずれも成立していない。FTCは、FTC法第5条のもとで、欺瞞的なクッキー慣行について限定的な権限を行使している。
カナダ:PIPEDAと停滞する改革
カナダは、個人情報保護及び電子文書法(PIPEDA)およびカナダ反スパム法(CASL)を通じてクッキーを規制している。プライバシーコミッショナー事務局(OPC)が執行とガイダンスの提供を行っている。
PIPEDAのもとで、事業者は個人情報の収集または利用について実質的な同意を得なければならない。OPCは、識別可能な行動を追跡する分析用・広告用クッキーについては明示的な同意が必要であると解釈している。識別不可能な情報を収集するクッキーについては、黙示の同意によることができる。
PIPEDAをより厳格なルールに置き換える予定であったBill C-27(2022年デジタル憲章実施法)は、2025年1月6日の議会の閉会にともない廃案となった。2026年5月時点で再提出はされていない。引き続きPIPEDAが適用法である。
ブラジル:LGPD
ブラジルの一般データ保護法(LGPD)にはクッキーに特化した規定はないが、個人データ処理の法的根拠に関する要件が、個人情報を収集するクッキーにも適用される。国家データ保護庁(ANPD)は、広告用・分析用クッキーについて、同意を適切な法的根拠として扱っている。ブラジルのウェブサイトは実務上、EU方式のクッキーバナーを広く採用しているが、これは多くのサイトが欧州の利用者にもサービスを提供していることに加え、トラッキング技術について同意を重視するANPDの姿勢によるところが大きい。
中国:PIPL
2021年11月に施行された中国の個人情報保護法(PIPL)は、より広範な個人情報制度の一環としてクッキーを規制している。執行は国家インターネット情報弁公室(CAC)が監督している。
PIPLは、個人情報を処理する前に、同意または他の所定の法的根拠を得ることを求めている。第三者とデータを共有する広告用クッキーや、越境移転を伴うクッキーについては、データ移転影響評価を含む追加要件が課される。中国のアプローチは第三者とのデータ共有について特に厳格であり、個人情報の海外移転にはそれぞれ個別の法的根拠が必要となり、多くの場合、CACへの安全評価の届出も求められる。
日本:個人情報保護法(APPI)
2022年4月に大幅改正が施行された日本の個人情報の保護に関する法律(個人情報保護法)は、「個人関連情報」という概念を通じてクッキーに対応している。個人情報保護法の執行は個人情報保護委員会(PPC)が担っている。
事業者が、他のデータと組み合わせることで個人を識別できる第三者にクッキー識別子を提供する場合、提供元の事業者は、当該第三者が本人の同意を取得していることを確認しなければならない。日本では、ファーストパーティのクッキーについてEU方式の同意バナーは求められていない。焦点はクッキーの当初の設置ではなく、広告目的での第三者へのデータ提供にある。
韓国:個人情報保護法(PIPA)
韓国の個人情報保護法(PIPA)は、アジアで最も厳格な制度の一つである。執行は個人情報保護委員会(PIPC)が、オンライントラッキングを個別に扱う情報通信網法(ネットワーク法)とあわせて担っている。
PIPAは個人情報の収集について同意を求めており、これには識別可能な利用者を追跡するクッキーが含まれる。韓国のウェブサイトでは、クッキー同意通知の表示が一般的である。PIPCは執行に積極的であり、トラッキング技術による個人データ収集に関する違反について、数十億ウォン規模の制裁金が科された例もある。
インド:DPDPAと2025年規則
インドの2023年デジタル個人データ保護法(DPDPA)は、2023年8月に制定された。電子情報技術省は2025年11月13日にDPDP規則2025を公布し、この制度を発効させた。
DPDPAは、特定の目的に限定され、曖昧さがなく、明確な積極的行為を伴う同意を求めており、この文言はGDPRと非常に近い。個人データを収集するクッキーには同意が必要である。新設された「同意管理者(Consent Manager)」制度により、インドデータ保護委員会に登録された仲介者が、データ主体に代わって同意の管理を行うことができる。
施行は段階的なスケジュールに従う。データ保護委員会は2025年11月に設置され、同意管理者の登録受付は2026年11月に開始される。同意および安全管理措置に関する要件を含むその他すべての規定は、2027年5月13日に発効する。
オーストラリア:改正されたPrivacy Act
オーストラリアは、1988年Privacy ActおよびAustralian Privacy Principlesを通じてオンラインデータ収集を規制しており、これらはオーストラリア情報コミッショナー事務局(OAIC)によって執行されている。
2024年12月に成立したPrivacy and Other Legislation Amendment Act 2024は、近年で最も重要な改革である。クッキーに関する主な変更点は次のとおりである。
- 同意は、任意で、十分な情報に基づき、最新で、特定の目的に限定され、曖昧さのないものでなければならない。あらかじめチェックが入れられたボックスやダークパターンは制限される。
- 2026年にはさらなる改正が予定されており、個人情報の定義がIPアドレス、デバイスID、クッキー識別子などの技術的識別子を明示的に含む形に拡大される見込みである。
オーストラリアは依然として、ポップアップ形式のクッキー同意バナーを義務付けていない。プライバシーポリシーによる通知で、現行の要件は一般に満たされる。ただし、その方向性はクッキー固有の義務の強化に向かっている。

地域別まとめ
中南米
ブラジルに加え、中南米の複数の国がデータ保護制度を強化している。チリは2024年にデータ保護法を改正した。コロンビアはHabeas Data Law(法律1581/2012号)をオンラインデータ収集に適用している。アルゼンチンは個人データ保護法25,326号のもとで運用しており、改正ルールの整備を進めている。地域全体の傾向としてはトラッキングに関する同意要件の強化が進んでおり、ブラジルのANPDが地域の執行における参照基準となっている。
アジア太平洋
シンガポール:個人データ保護法(PDPA)は個人データの収集について同意を求めており、これには個人を識別するクッキーが含まれる。PDPCは執行に積極的であり、制裁金は最大シンガポールドル100万、悪質な違反の場合は国内売上高の10%まで引き上げられる。
タイ:2022年6月に全面施行された個人データ保護法(PDPA)は、クッキーを通じた個人データの収集について同意を求めている。同意は自由な意思に基づき、特定の目的に限定され、十分な情報に基づくものでなければならない。
ベトナム:個人データ保護に関する政令(2023年)は、クッキーによるトラッキングを含む個人データ処理について同意要件を導入している。
インドネシア:個人データ保護法(2022年)は処理について適法な根拠を求めており、トラッキング技術については同意が主な根拠となる。
ニュージーランド:2020年Privacy Actはデータ収集についての通知を求めているが、クッキー同意バナーを義務付けてはいない。プライバシーコミッショナー事務局が、クッキーに関するベストプラクティスについてガイダンスを提供している。
中東・アフリカ
アラブ首長国連邦:個人データ保護に関する2021年連邦法令第45号は、クッキーを含む個人データの処理について、データ主体の同意を求めている。
サウジアラビア:2023年9月施行の個人データ保護法(PDPL)は、法律により別途認められている場合を除き、個人データ処理について同意を求めている。
南アフリカ:POPIA(個人情報保護法)は個人情報の処理について同意を求めており、情報規制機関(Information Regulator)は行動追跡用クッキーもこれに含まれると解釈している。
ナイジェリア:ナイジェリアデータ保護規則(NDPR)および2023年ナイジェリアデータ保護法は、個人データの収集について同意を求めている。
ケニア:2019年データ保護法は、クッキーによるトラッキングを含む個人データの処理について同意を求めている。
イスラエル:プライバシー保護法はデータ収集についての通知を求めている。イスラエルは通知のみモデルに近い運用を行っているが、制度の近代化を進めている。
トルコ:KVKK(法律第6698号)は、機微データの処理について明示的同意を、クッキーを含む一般的な個人データについては十分な情報に基づく同意を求めている。
スイス:2023年9月施行の改正連邦データ保護法(revDSG)は、スイスの制度をGDPRと同等の水準に整合させており、個人データを収集するクッキーについて同意を求めている。
世界比較表
| 国・地域 | 同意モデル | 法的根拠 | 執行当局 | 上限制裁金 |
|---|---|---|---|---|
| EU(加盟27か国) | オプトイン | ePrivacy指令+GDPR | 各国DPA | 2,000万ユーロ/売上高4% |
| 英国 | オプトイン(DUAA後は分析用・設定保持用を適用除外) | PECR+英国GDPR | ICO | 1,750万ポンド/売上高4% |
| 米国 | オプトアウト(州レベル) | 州プライバシー法 | 州司法長官、FTC | 州により異なる |
| カナダ | 実質的同意 | PIPEDA、CASL | OPC | 10万カナダドル |
| ブラジル | 同意が原則 | LGPD | ANPD | 売上高2%(上限5,000万レアル) |
| 中国 | 同意 | PIPL | CAC | 5,000万元/売上高5% |
| 日本 | 第三者提供時の同意 | 個人情報保護法 | 個人情報保護委員会 | 1億円 |
| 韓国 | オプトイン | PIPA+情報通信網法 | PIPC | 売上高3% |
| インド | 同意(執行は2027年5月から) | DPDPA+DPDP規則2025 | DPBI | 250クロールインドルピー |
| オーストラリア | 通知(厳格化の傾向) | 1988年Privacy Act(2024年改正) | OAIC | 5,000万豪ドル |
| シンガポール | 同意 | PDPA | PDPC | 国内売上高10% |
| タイ | 同意 | PDPA | タイPDPC | 500万バーツ |
| 南アフリカ | 同意 | POPIA | Information Regulator | 1,000万ランド |
| ナイジェリア | 同意 | NDPR/2023年NDP法 | NITDA/NDPC | 売上高2% |
| UAE | 同意 | 連邦法令45/2021号 | UAE Data Office | 500万ディルハム |
| トルコ | 同意 | KVKK | KVKK Board | 行政制裁金 |
| スイス | 同意 | revDSG(2023年) | FDPIC | 25万スイスフラン(個人) |
| イスラエル | 通知 | プライバシー保護法 | PPA | 行政制裁金 |
| ニュージーランド | 通知 | 2020年Privacy Act | OPC NZ | 少額の制裁金 |
クッキーバナーの執行と「Consent or Pay」
EDPBクッキーバナー・タスクフォース
EDPBのクッキーバナー・タスクフォースは、各DPA間の執行を調整している。2023年の報告書は、拘束力のある最低基準を定めた。拒否の選択肢は同意の選択肢と同程度に到達しやすくなければならないこと、インターフェースのデザインが色、サイズ、文言によって利用者を同意へ誘導してはならないこと、そして同意は一括ではなく目的ごとに細分化されなければならないことである。DPAはこれらの基準に基づき執行通知を発しており、欺瞞的なクッキーバナーに対する制裁金は、加盟各国で引き続き科され続けている。
「Consent or Pay」モデル
「consent or pay」モデルは、利用者に対して、行動ターゲティング広告への同意か、サービス利用のためのサブスクリプション料金の支払いかという二者択一を提示するものである。Metaは2023年、EUにおいてFacebookとInstagramでこのモデルを導入した。
2024年4月、EDPB意見書08/2024は、大規模オンラインプラットフォームにおいて、consent or payモデルは一般に有効かつ自由な意思に基づく同意とはならないとの結論を示した。EDPBは、同意以外に真の意味での代替手段が利用者に提示されない場合、「自由な意思に基づく」という基準を満たさないと判断した。EDPBは、大規模プラットフォームに対し、行動ターゲティング広告も課金もない同等の代替手段を提供することを推奨した。この意見に対するMetaの法的異議申立ては、2025年にEU一般裁判所によって棄却された。
小規模なウェブサイトについては、状況はそれほど確定していない。EUのDPAの多くは、クッキーウォールについて制限的な見解を取っている。EU向けウェブサイトにとって最も安全なアプローチは、クッキーに関する選択にかかわらずアクセスを許可することである。
ブラウザレベルの同意シグナル:Global Privacy Control
Global Privacy Control(GPC)は、利用者のオプトアウトの意思を、訪問するすべてのウェブサイトに伝えるブラウザまたはブラウザ拡張機能のシグナルである。FirefoxおよびBraveでは標準搭載されており、ChromeとSafariでは拡張機能を通じて利用できる。
米国では、GPCへの準拠が、対象州の増加とともに法的に義務付けられるようになっている。カリフォルニア州CPPAは2025年9月、コロラド州およびコネチカット州の司法長官と連携し、GPC不遵守を対象とした一斉執行を実施した。2026年7月までに、少なくとも12州がGPCまたは同等の統一オプトアウトの仕組みの認識を義務付けることになる。
EUでは、Digital Omnibus提案により、データ管理者は機械可読な同意シグナルを尊重することが求められるようになる見込みであり、これはGPCに類似したシグナルに、欧州法上初めて法的な効力が与えられることを意味する。
実務上の含意として、GPCシグナルにまだ対応していないウェブサイトは、米国における法制度の変化に遅れを取りつつあり、EUにおいても2027年までにシグナルベースの同意への対応が必要となる可能性がある。
実務上の多国間コンプライアンス指針
位置情報に基づく同意
多くのコンプライアンスプラットフォームは、IPアドレスに基づく位置情報を用いて、各訪問者にどの同意ルールが適用されるかを判定している。EUからの訪問者には完全なオプトインバナーが表示される。GPC義務州からの米国の訪問者には、オプトアウトの選択肢が表示され、GPCが尊重される。オーストラリアからの訪問者には、プライバシーポリシーによる通知が表示される。位置情報に基づく振り分けは、大規模な多国籍パブリッシャーにとって標準的なアプローチとなっている。
グローバル最低基準戦略
法域ごとに異なるフローを実装できない事業者にとっては、すべての訪問者にEU基準のオプトイン同意を適用することが、最も安全かつ単純なアプローチである。EUの要件を満たせば、事実上他のほぼすべての法域の要件を満たすか、それを上回ることになる。ただし、その代償として、オプトインが要求される場合、必須ではないクッキーへの同意率は大幅に低下することが多く、広告収益や分析の網羅性に影響を及ぼす。
同意管理プラットフォーム
専用の同意管理プラットフォーム(CMP)は、クッキーのスキャン、バナーの表示、同意の記録、そして同意状況に基づくクッキーのブロックを自動化する。多国間コンプライアンスのためにCMPを選定する際は、サイトが対象とする法域への対応状況、GPCシグナルを尊重できるかどうか、そして同意記録がGDPRの監査要件(第7条(1)項)を満たす形式で保存されるかどうかを確認する必要がある。
これは一般的な法律情報であり、法的助言ではない。クッキーに関するコンプライアンスは、ウェブサイトが対象とする具体的な法域、使用するクッキーの種類、そして事業者の活動内容によって異なる。個別の状況についての助言が必要な場合は、関連する各法域の資格を有する弁護士に相談されたい。
Frequently Asked Questions
どの国がオプトイン方式のクッキー同意を求めているか。
EU加盟27か国すべてが、ePrivacy指令とGDPRのもとでオプトイン同意を求めている。英国はPECRのもとでオプトイン同意を求めている(DUAA2025により分析用・設定保持用の新たな適用除外が設けられている)。韓国はPIPAのもとで同意を求めている。ブラジル、中国、タイ、南アフリカ、シンガポールなど複数の国が、個人データを処理するクッキーについて同意を求めている。米国のいかなる州も、EU方式のオプトイン同意をクッキーについて求めていない。
提案されていたEUのePrivacy Regulation案はどうなったか。
2025年2月に公表された欧州委員会の2025年作業計画により、長年の立法停滞を経て、ePrivacy Regulation案は正式に撤回された。欧州委員会は、欧州議会と理事会の間で合意に至ることができなかったこと、そしてより新しいEUのデジタル関連法に照らして提案が時代遅れとなっていることを理由に挙げた。現行のePrivacy指令(2002/58/EC)およびその各国実施法が、引き続き効力を有している。
EUのDigital Omnibusとは何か、クッキーにどのような影響を与えるか。
欧州委員会は2025年11月19日、Digital Omnibusパッケージを提案した。クッキーに関する主な変更点は、個人データ処理に関するルールをePrivacy指令からGDPRへ完全に移行させること、ファーストパーティの分析用クッキーおよび機能維持用クッキーについて新たな適用除外を設けること、そして事業者に機械可読なブラウザ同意シグナルの尊重を義務付けることである。同パッケージは依然として立法審議の途上にあり、発効は早くても2027年になると見込まれている。
英国のDUAA2025は、クッキー同意についてどのような変更を行ったか。
Data (Use and Access) Act 2025は2025年6月19日に国王の裁可を受け、主要規定は2026年2月5日に施行された。DUAAは、PECRのもとで二つの新たなクッキー適用除外を設けた。集計統計のみを収集する分析用クッキーは同意が不要となり、言語やテーマなどの設定保持用クッキーも同様に適用除外となった。広告用、ターゲティング用、測定用のクッキーについては、引き続き同意が必要である。DUAAはまた、PECRの最高制裁金額を英国GDPR水準(最大1,750万ポンドまたは全世界売上高の4%)まで引き上げた。
米国に拠点を置くウェブサイトは、EUの訪問者向けにクッキーバナーが必要か。
ウェブサイトがEUの訪問者からアクセス可能であり、その個人データを処理している場合、GDPRおよびePrivacy指令が適用される。サイトが特にEUの利用者を対象としているかどうかは、実際の執行リスクに影響するが、EU居住者の個人データを処理するサイトである以上、法的義務自体は存在する。EU域内から検出された訪問者に対してオプトインのクッキー同意バナーを表示することが、EUへの十分なトラフィックを持つ米国拠点の事業者にとっての標準的なコンプライアンスの取り方である。
Global Privacy Controlとは何か、米国のどの州がその尊重を義務付けているか。
Global Privacy Controlは、利用者のオプトアウトの意思をウェブサイトに伝えるブラウザレベルのシグナルである。2026年5月時点で、事業者にGPCの尊重を義務付けている州には、カリフォルニア州、コロラド州、コネチカット州、モンタナ州、テキサス州、メリーランド州、ニュージャージー州、オレゴン州が含まれる。カリフォルニア州CPPAは2025年9月、GPC不遵守を対象とした一斉執行を実施した。2026年7月までに、少なくとも12州がGPCまたは同等の統一オプトアウトの仕組みの認識を義務付けることになる。
EUにおいて「consent or pay」方式のクッキーウォールは適法か。
大規模オンラインプラットフォームについては、EDPB意見書08/2024が、これらは一般にGDPRのもとで有効な同意を生じさせないとの結論を示した。EDPBは、行動ターゲティング広告への同意か料金の支払いかという選択肢のみを利用者に提示することは、「自由な意思に基づく」という要件を満たさないと判断した。この意見に対するMetaの法的異議申立ては、2025年にEU一般裁判所によって棄却された。小規模なウェブサイトについては分析はそれほど確定していないが、EUのDPAの多くは制限的な見解を取っている。最も安全なアプローチは、クッキーに関する選択にかかわらずサイトへのアクセスを許可することである。
インドのDPDPAによるクッキー同意ルールはいつ発効するか。
インドのDPDP規則2025は2025年11月13日に公布され、インドデータ保護委員会が設置された。同意管理者の登録受付は2026年11月に開始される。同意、プライバシー通知、安全管理措置に関する要件を含むすべての実体規定は、2027年5月13日に発効する。それ以降、インドの利用者の個人データを収集するためにクッキーを使用する事業者は、特定の目的に限定され、曖昧さがなく、明確な積極的行為を伴う同意を得る必要がある。
オーストラリアはクッキー同意バナーを義務付けているか。
オーストラリアは現在、ポップアップ形式のクッキー同意バナーを義務付けていない。1988年Privacy Actは個人データの収集についての通知を求めており、これはプライバシーポリシーによって満たすことができる。2024年12月に成立したPrivacy and Other Legislation Amendment Act 2024は同意基準を強化しており、2026年に予定されているさらなる改正では、個人情報の定義にクッキー識別子を明示的に含める形に拡大される見込みである。その方向性は、クッキー同意に関するより強い要件へと向かっている。
EUのクッキー同意ルールを世界規模で適用することが、最も安全なアプローチか。
そのとおりである。所在地にかかわらずすべての訪問者にEU基準のオプトイン同意を適用すれば、事実上他のほぼすべての法域の要件を満たすか、それを上回ることになる。主な代償は、オプトイン方式のもとでは、必須ではないクッキーを拒否する利用者が多くなり、分析の網羅性や広告収益が低下することである。EU域外からのトラフィックが多い事業者は、オプトインを求めない法域の訪問者についてはオプトアウトまたは通知のみのルールを適用する位置情報ベースのフローを実装し、これらの市場における分析および広告効果を維持することがある。
Sources and References
- ePrivacy指令 2002/58/EC(eur-lex.europa.eu).gov
- CJEU C-673/17号事件(Planet49)(curia.europa.eu).gov
- EDPBクッキーバナー・タスクフォース報告書(edpb.europa.eu).gov
- EDPB意見書08/2024(Consent or Payについて)(edpb.europa.eu).gov
- CNILクッキーガイドライン(cnil.fr).gov
- イタリアGaranteクッキーガイドライン(garanteprivacy.it).gov
- 英国PECR2003(legislation.gov.uk).gov
- ICO:Data Use and Access Act 2025(ico.org.uk).gov
- ICOクッキーガイド(ico.org.uk).gov
- カリフォルニア州CCPA(oag.ca.gov).gov
- Global Privacy Control W3C仕様(w3.org)
- カナダPIPEDA(laws-lois.justice.gc.ca).gov
- カナダCASL(laws-lois.justice.gc.ca).gov
- カナダOPC(プライバシーコミッショナー事務局)(priv.gc.ca).gov
- ブラジルLGPD(planalto.gov.br).gov
- ブラジルANPD(gov.br).gov
- 中国PIPL(npc.gov.cn).gov
- 日本PPC(個人情報保護委員会)個人情報保護法(ppc.go.jp).gov
- 韓国PIPC個人情報保護法(PIPA)(pipc.go.kr).gov
- インドDPDP規則2025(meity.gov.in).gov
- オーストラリア1988年Privacy Act(legislation.gov.au).gov
- オーストラリアOAIC(oaic.gov.au).gov
- スペインLSSI(法律34/2002号)(boe.es).gov