EUクッキー法(eプライバシー指令)の解説(2026年)

eプライバシー指令(指令2002/58/EC、指令2009/136/ECにより改正)第5条(3)項は、訪問者の端末に非必須のクッキーを設置する前に、事前の情報に基づく同意を得ることをウェブサイトに求めている。厳密に必要なクッキーはこの適用除外の対象となる。同指令は、電子通信および端末機器に関する特別法(lex specialis)として、GDPRと並行して機能している。
eプライバシー指令は、ウェブサイトがクッキーや類似の追跡技術をどのように利用するかを具体的に規律するEU法である。プライバシーに関する議論の多くはGDPRに注目が集まりがちであるが、ヨーロッパからアクセス可能なほぼすべてのウェブサイトにクッキー同意バナーの設置を直接義務付けているのは、このeプライバシー指令である。
正式には「プライバシーと電子通信に関する指令2002/58/EC」と呼ばれるこの法律は、2002年に採択され、2009年に指令2009/136/ECにより大幅に改正された。この2009年の改正により、数億人の利用者のオンライン体験を一変させたオプトイン方式の同意要件が導入された。
2024年以降、状況は大きく変化している。長年停滞していた後継規則案は正式に撤回され、新たな提案がクッキー関連ルールをGDPRに直接組み込む形となった。本ガイドでは、指令の条文、同意要件、GDPRとの関係、各国での実施状況、撤回された規則案、2025年11月のデジタル・オムニバス提案、執行状況、そして組織が取るべき対応を取り上げる。
概要
eプライバシー指令は、訪問者の端末に非必須のクッキー(アナリティクス、広告、設定用クッキーなど)を設置する前に、利用者の同意を得ることをウェブサイトに求めている。厳密に必要なクッキーは適用除外の対象となる。GDPRが同意の基準を定めており、同意は自由な意思に基づき、特定の目的について、十分な情報を得たうえで、明確な積極的行為に基づくものでなければならない。あらかじめチェックの入ったボックスや「閲覧を続ける」ことは同意とみなされない。この法律は指令であり、各EU加盟国がそれぞれ異なる形で国内法化しているため、罰則の体系は国によって異なる。指令に代わる規則案は、2025年2月に正式に撤回された。2025年11月のデジタル・オムニバス提案は現在、新設の第88a条および第88b条を通じてクッキー関連ルールをGDPRに組み込もうとしているが、これはなお立法上の承認待ちの草案にとどまる。
eプライバシー指令とは何か
eプライバシー指令(指令2002/58/EC)は、電子通信分野における個人データの処理およびプライバシーの保護を規律するEUの立法である。クッキーおよび追跡、未承諾のマーケティング、通信トラフィックデータ、位置情報データ、通信の秘密を対象とする。
同指令は2002年7月31日に発効した。当初のデータ保護指令(95/46/EC)と並行して機能していたが、この指令は2018年5月にGDPRに置き換えられた。GDPRが一般的なデータ保護の枠組みを置き換えた一方で、eプライバシー指令は電子通信分野に特化した規則として存続した。
2009年の改正:クッキー同意の誕生
2002年の当初の指令は、単純なオプトアウトの仕組みでクッキーの利用を認めていた。ブラウザの設定で十分な保護になると考えられていた。
指令2009/136/ECは、この基準をオプトアウトからオプトインへと変更した。改正後の指令第5条(3)項は、利用者の端末にすでに保存されている情報へのアクセス、または情報の保存が認められるのは、「明確かつ包括的な情報を提供されたうえで、当該加入者または利用者が同意を与えたことを条件とする」場合に限られると定めている。
このただ一つの変更が、今日世界中のウェブサイトに表示されるクッキー同意バナーの波を引き起こした。
第5条(3)項:クッキーに関する中核規定
改正後の指令第5条(3)項は次のように定めている。
「加盟国は、加入者または利用者の端末機器に情報を保存すること、またはすでに保存されている情報にアクセスすることが、とりわけ処理の目的について、データ保護の枠組みに従って明確かつ包括的な情報を提供されたうえで、当該加入者または利用者が同意を与えたことを条件とする場合に限り認められることを確保しなければならない。」
この規定はさらに、限定的な例外を設けている。「これは、電子通信ネットワークを通じた通信の伝送を行うことのみを目的とする技術的な保存もしくはアクセス、または加入者もしくは利用者が明示的に要求した情報社会サービスの提供者が当該サービスを提供するために厳密に必要な技術的な保存もしくはアクセスを妨げるものではない。」
eプライバシー指令は規則ではなく指令であるため、各EU加盟国は第5条(3)項をそれぞれ独自の国内法に置き換えた。内容自体は一貫しているものの、罰則の体系、執行上の優先事項、一部の手続的な詳細は国ごとに異なる。

eプライバシー指令とGDPRの関係
eプライバシー指令とGDPRは、互いに連携しつつも異なる対象を扱う別個の法制度である。両者を混同すると、コンプライアンス上の誤りにつながる。
適用範囲と特別法(lex specialis)の関係
GDPRは、あらゆる個人データの処理に適用される一般的なデータ保護規則である。eプライバシー指令は、電子通信および端末機器に適用される特別法(lex specialis)である。GDPR第95条のもとでは、あるテーマについてeプライバシー指令が特別の規則を定めている場合、その規則がGDPRの一般規定に優先する。
実務的に言えば、eプライバシー指令は端末にクッキーを設置する行為そのものを規律し、GDPRはそのクッキーを通じて収集された個人データがその後どのように扱われるかを規律する。
主な相違点の一覧
| 項目 | eプライバシー指令 | GDPR |
|---|---|---|
| 法形式 | 指令(国内法化が必要) | 規則(直接適用) |
| 適用範囲 | 電子通信および端末機器 | あらゆる個人データの処理 |
| クッキー同意 | すべての非必須クッキーに必要 | 同意は6つの適法根拠の一つ |
| 適用対象 | 端末に保存され、またはそこからアクセスされるあらゆるデータ | 個人データのみ |
| 執行 | 各国の規制当局、各国の罰則体系 | 監督機関、調和されたGDPRの制裁金 |
正当な利益が広告用クッキーの根拠にならない理由
この関係が持つ重要な帰結として、組織はアナリティクスや広告用のクッキーを設置するために、GDPRの「正当な利益」という根拠に依拠することはできない。eプライバシーの枠組みのもとでは、非必須クッキーについて利用できる適法根拠は同意のみである。eプライバシー指令はまた、個人データを一切伴わないクッキーにも適用され、この点はGDPRの対象外である。有効なGDPR同意を構成する要件の詳細については、GDPR同意要件ガイドを参照されたい。
指令におけるクッキーの区分
eプライバシー指令自体はクッキーの区分を定義していない。広く用いられている枠組みは、第29条作業部会(現在の欧州データ保護会議)および各国のデータ保護当局が発行するガイダンスに由来する。
厳密に必要なクッキー
これらは第5条(3)項に基づく同意要件の対象外である。利用者が明示的に要求した中核的な機能を実現するものである。例としては次のものがある。
- ログイン状態を維持するセッションクッキー
- 購入中の商品を記憶するショッピングカートクッキー
- 認証の不正利用や詐欺を検知するセキュリティクッキー
- サーバー間でトラフィックを分散するロードバランシングクッキー
- 利用者が要求したアクセシビリティ設定用クッキー
この適用除外は限定的である。あるクッキーが厳密に必要とされるのは、それがなければサービスが実際に機能しなくなり、かつ利用者がそのサービスを具体的に要求していた場合に限られる。パフォーマンスを向上させたり利便性を高めたりするが必須ではないクッキーは、これに該当しない。
機能性クッキー
機能性クッキーは、厳密に必要な範囲を超えて利用者の選択を記憶する。言語設定(サイトが既定の言語で機能しうる場合)、動画プレーヤーの設定、フォントサイズの選択などがこれに該当する。これらには同意が必要である。
アナリティクスクッキー
アナリティクスクッキーは、統計目的で利用者の行動を追跡する。Google AnalyticsやAdobe Analyticsのようなツールがこれに依拠している。これらには同意が必要である。一部の国の規制当局は、プライバシーに配慮した自社(ファーストパーティ)のアナリティクスについて限定的な適用除外を設けているが、データを外部に転送するサードパーティのアナリティクスツールは、すべてのEU法域において一貫して同意を必要とする。
広告・追跡クッキー
これらのクッキーは、ターゲティング広告、リターゲティング、サイトをまたいだ追跡のために利用者のプロファイルを構築する。広告ネットワークが設置するサードパーティクッキー、ソーシャルメディアのピクセル、フィンガープリンティングスクリプトなどが含まれる。これらは常に明示的な同意を必要とし、規制当局による執行が最も注目する対象である。法域ごとの詳細については、国別クッキー同意法ガイドを参照されたい。

同意要件
2009年の改正により、クッキー同意はより広範なEUの同意基準と整合するものとなった。GDPRは、第4条(11)項の同意の定義および第7条の要件を通じて、この基準を強化した。詳細な内訳については、GDPR同意要件の記事を参照されたい。
有効な同意に求められるもの
有効なクッキー同意は、次の要件を満たさなければならない。
- 自由な意思に基づくこと。 利用者は、サイトへのアクセスの条件としてクッキーの受け入れを強制されることがあってはならない。
- 特定の目的に関するものであること。 同意は、単一の「すべて同意する」チェックボックスにまとめるのではなく、目的ごとに個別に求められなければならない。
- 十分な情報が提供されていること。 利用者は、どのクッキーが使用されるか、どのようなデータが収集されるか、誰がそのデータを受け取るか、クッキーがどのくらいの期間保持されるかについて、明確な情報を受け取らなければならない。
- 不明確でないこと。 同意には明確な積極的行為が必要である。スクロールすること、閲覧を続けること、あらかじめチェックが入ったチェックボックスは、有効な同意を構成しない。
- 撤回可能であること。 利用者は、同意を与えたのと同じくらい容易に、これを撤回できなければならない。
Planet49事件の判決
欧州連合司法裁判所(CJEU)は、2019年10月1日に判決が下されたC-673/17号事件(Planet49事件)において、同意の基準を明確にした。裁判所は次のように判示した。
- あらかじめチェックが入ったチェックボックスは、クッキーに関する有効な同意を構成しない。
- 同意は受動的なものではなく、能動的かつ特定のものでなければならない。
- 利用者は、クッキーの有効期間、および第三者がそのクッキーにアクセスするかどうかについて知らされなければならない。
- この要件は、クッキーのデータが個人データに該当するか否かにかかわらず適用される。
この判決により、オプトインの基準について残されていた曖昧さは解消された。
拒否は同意と同じくらい容易でなければならない
EDPBのクッキーバナー・タスクフォース報告書(2023年1月公表)を受けて、複数の国のデータ保護当局は現在、クッキーの拒否が受け入れよりも困難であってはならないことを求めている。バナーの第一層にあるワンクリックの「すべて同意する」ボタンには、同じくらい目立つ「すべて拒否する」ボタンを対にして配置しなければならない。拒否の選択肢を第二層の「設定を管理する」といったリンクの背後に隠すことは、大半の加盟国において不遵守とされる。
「同意か対価か」型のクッキーウォール
クッキーウォールとは、利用者がすべてのクッキーに同意しない限りウェブサイトへのアクセスを遮断する仕組みである。その一種である「同意か対価か」型は、利用者が有料サービスに登録することで追跡を回避できるようにするものである。両方の方式とも、EU法のもとで依然として議論の対象となっている。
「同意か対価か」に関する2024年4月のEDPB意見
2024年4月17日に発表された意見08/2024において、EDPBは、「行動ターゲティング広告への同意か対価の支払いか」というモデルのみを提供する大規模オンラインプラットフォームは、「大半の場合」において自由な意思に基づく同意を生じさせないとの見解を示した。この意見は、利用者に対し、料金の支払いを必要とせず、かつ行動ターゲティング広告を伴わない、同等の代替手段が提供されるべきであるとしている。
欧州委員会はこれを受けて2025年4月、同じ事実関係に基づき、Metaがデジタル市場法に不遵守であるとする正式な決定を下した。Metaの有料サブスクリプションは真に同等な無料の代替サービスを提供しておらず、料金は利用者に実質的な選択の余地を残さないほど高く設定されていたと判断された。
小規模サイトおよびパブリッシャー
EDPBの意見は「大規模オンラインプラットフォーム」を対象としたものである。規模の小さいニュースサイトやパブリッシャーが「同意か対価か」モデルを運用できるかどうかについては、各国の当局の間で結論が分かれている。オランダのデータ保護当局(Autoriteit Persoonsgegevens)は、同等のコンテンツが他所でアクセス可能な場合など、一定の状況下ではクッキーウォールを許容している。フランスのCNILは、同意の拒否が受け入れと同じくらい容易であることを求めているが、パブリッシャーによるペイウォール型の同意モデルを一律に禁止しているわけではない。この論点は、EU全体のレベルでは依然として未解決のままである。
EDPBクッキーバナー・タスクフォース
EDPBは2021年9月、非政府組織noyb(None of Your Business)による、422のウェブサイトを対象とした違法な同意バナーに関する一連の申立てを受けて、クッキーバナー・タスクフォースを設置した。このタスクフォースには、21のEUおよびEEAの監督機関が参加した。
その2023年1月の報告書は、参加した各当局に共通するいくつかの立場を確立した。
- 「すべて同意する」と同じ階層に「すべて拒否する」の選択肢がないことは、EU法への違反にあたる。
- 利用者を視覚的に同意へと誘導する欺瞞的なデザイン(ダークパターン)は不遵守にあたる。
- 同意はいつでも、与えたのと同じくらい容易に撤回できなければならない。
- クッキーに関する情報は、リンク経由でアクセスできるポリシーの中だけでなく、バナーの第一層において提供されなければならない。
この報告書を受けて、各国のデータ保護当局は執行の一斉調査を実施し、これらの基準を満たさないバナーを設置していた組織に制裁金を科した。
国別の実施状況
eプライバシー指令は指令であるため、各加盟国はこれを国内法に置き換えている。主な相違点は次のとおりである。
フランス
フランスは、情報処理・自由に関する法律第82条を通じてこの指令を実施している。CNILは、ヨーロッパで最も積極的にクッキーの執行を行う当局の一つである。2021年12月、CNILはクッキーの拒否を受け入れより困難にしたことを理由に、Googleに1億5,000万ユーロ、Facebookに6,000万ユーロの制裁金を科した。2025年9月には、無効な同意の仕組みを伴う広告用クッキーの違反を理由に、Googleに3億2,500万ユーロの制裁金を科した。CNILは、拒否ボタンを同意ボタンと同じくらい目立たせることを求めているが、厳格な条件のもとで、自社(ファーストパーティ)の集計されたオーディエンス測定用クッキーについては限定的な適用除外を認めている。
ドイツ
ドイツは、電気通信・デジタルサービス・データ保護法(TDDDG)を通じてクッキー同意ルールを実施した。BfDIおよび州レベルのデータ保護当局がこれを執行する。連邦通常裁判所(Bundesgerichtshof)は、2020年10月の判決においてCJEUのPlanet49基準を採用した。TDDDGのもとでの最高罰則額は30万ユーロであるが、個人データが関わる場合にはGDPRの制裁金が適用される。
アイルランド
アイルランドは、2011年法定文書第336号を通じてこの指令を実施した。データ保護委員会(DPC)がこれらの規則を執行する。アイルランドに本部を置く主要テクノロジー企業がDPCの監督対象となっているため、アイルランドの執行判断はEU全域に対して過大な影響力を持つ。
イタリア
イタリアの個人データ保護庁(Garante)は、2021年6月に改訂版のクッキーガイドラインを公表し、バナーの第一層に目に見える拒否ボタンを設置することを求めた。イタリアはまた、一般的なプライバシーポリシーとは別にクッキーポリシーを設けることも求めている。
スペイン
スペインは、情報社会サービス法34/2002号(LSSI)を通じてこの指令を国内法化した。AEPDは、クッキー関連の違反を理由にVueling AirlinesおよびVodafone Spainに制裁金を科しており、アナリティクスクッキーの最大保存期間についても明確化を行っている。
オランダ
オランダは、電気通信法(Telecommunicatiewet)を通じてこの指令を実施した。2025年4月、データ保護当局(Autoriteit Persoonsgegevens)は、誤解を招くクッキーバナーや違法な追跡を理由に、50の組織に対してコンプライアンス上の警告を発した。クッキーウォールに関するオランダ当局の立場(同等のコンテンツが他所で入手可能な場合に一定の状況下でこれを許容する)は、より厳格なEDPBの解釈とは異なっている。
ベルギー
ベルギーのデータ保護当局(APD)は2022年2月、IAB Europeの透明性・同意フレームワーク(TCF)がGDPRに違反しているとする画期的な決定を下した。CJEUは2023年11月にこの核心的な判断を支持し、プログラマティック広告業界で最も広く用いられている同意の仕組みに混乱をもたらした。

撤回されたeプライバシー規則案
欧州委員会は2017年1月、老朽化した指令を、直接適用可能でEU全体に統一されたルールに置き換えるべく、eプライバシー規則案を提案した。指令とは異なり、規則であれば実施状況のばらつきを完全に解消できたはずであった。
規則案が提案された理由
欧州委員会は、この指令についていくつかの問題を指摘していた。
- 各国でばらばらに実施されていることによるコンプライアンスの複雑化
- 技術に関する記述が古いこと(2002年の条文はスマートフォンや現代的な追跡技術以前のものである)
- 加盟国間で執行に一貫性がないこと
- GDPRの更新されたデータ保護の枠組みとの整合を図る必要性
- 設計の悪い同意の仕組みによって生じる「クッキー同意疲れ」
草案が変更しようとしていた内容
提案されていたeプライバシー規則は、すべての加盟国に直接適用され、対象範囲をOTT通信(WhatsApp、Signal、Messengerなど)にまで拡大し、ブラウザベースの同意を有効な仕組みとして導入し、罰則をGDPRの枠組み(全世界売上高の最大4%)と整合させ、メタデータをより包括的に規律するものであった。
正式な撤回:2025年2月
8年間にわたる交渉の停滞を経て、欧州委員会は、2025年2月11日に公表された2025年作業計画において、提案されていたeプライバシー規則を正式に撤回した。欧州委員会は、「共同立法者からの合意は見込まれない」こと、および「技術的および立法的な状況の両面における近年の立法動向に照らして、この提案はすでに時代遅れとなっている」ことを理由として挙げた。
既存のeプライバシー指令およびその各国の国内実施法は、引き続き完全に施行されている。この撤回は、2017年の提案を通じて新たなeプライバシー規則が制定されることはないことを意味する。もっとも、欧州委員会はクッキー関連ルールの現代化を単に放棄したわけではなく、デジタル・オムニバスを通じて別の立法上の道筋を追求した。
2025年11月のデジタル・オムニバス:GDPRに組み込まれるクッキー関連ルール
2025年11月19日、欧州委員会は、デジタル・オムニバスとして公表された、EUのデジタル法体系に対する改正提案のパッケージを採択した。このパッケージは、GDPR、eプライバシー指令、データ法など複数の法制度を同時に改正するものである。
中核的な提案:第88a条および第88b条
デジタル・オムニバスは、現在eプライバシー指令第5条(3)項が担っているクッキー同意機能を吸収する、GDPR上の二つの新条項を提案している。
第88a条は、GDPRの枠組みの中でクッキーおよび追跡に関する同意を規律することになる。主な要素は次のとおりである。
- クッキー同意は、きめ細かく特定の目的に関するものであり、クッキーが設置される前に取得されたものでなければならないという要件を維持する。
- データ主体は、「ワンクリックのボタンまたはこれに相当する手段により、容易かつ理解しやすい方法で」同意を拒否できなければならない。
- 利用者が同意を拒否した場合、管理者は少なくとも6か月間、同一の目的について再度同意を求めてはならない。
- eプライバシー指令における厳密に必要なクッキーの適用除外は維持される。
第88b条は、同意、拒否、異議のシグナルが技術的にどのように表現されるかを規律することになる。次の事項を求める。
- オンラインインターフェースが、ブラウザおよびオペレーティングシステムからの自動化された機械可読の同意シグナルを受け入れ、これを尊重すること。
- ブラウザの提供者(中小企業を除く)が、こうしたシグナルのための技術的インフラを整備すること。
- ブラウザシグナルへの対応について、第88a条に提案されている6か月よりも長い、24か月の実施スケジュール。
実務上の意味
採択された場合、デジタル・オムニバスによる変更は、利用者がブラウザを一度設定するだけで、すべてのウェブサイトにおいて追跡を拒否できるようになり、ウェブサイトは法律上そのシグナルを尊重することを義務付けられることを意味する。この提案のもとでもクッキーバナーが完全になくなるわけではないが、機械可読のシグナルが機能するようになるにつれて、その必要性は薄れていくことになる。
EDPBおよび欧州データ保護監督機関(EDPS)は2026年に共同声明を公表し、簡素化という目標を大筋で支持する一方で、一部の規定および立法スケジュールの速さについて懸念を示した。
現在の状況
デジタル・オムニバスは欧州委員会の提案であり、法律ではない。2025年11月19日に通常立法手続に入り、欧州議会および理事会の双方による審査と承認を経る必要がある。分析筋は、交渉は早くとも2026年半ばから後半にかけて続くと見込んでおり、その過程で提案が大幅に変更される可能性もある。既存のeプライバシー指令およびGDPRは、これに代わるものが発効するまでの間、引き続き現行の法律として適用される。
執行と罰則
eプライバシー指令は各国の国内法を通じて置き換えられているため、最高罰則額は国によって異なる。実務上、クッキーが個人データの処理を伴う場合、大半の規制当局はGDPRの制裁金体系(最大2,000万ユーロまたは全世界年間売上高の4%)を用いている。
主な執行措置(2021年から2026年)
| 年 | 規制当局 | 対象 | 金額 | 問題点 |
|---|---|---|---|---|
| 2021年 | CNIL(フランス) | 1億5,000万ユーロ | クッキーの拒否を受け入れより困難にした | |
| 2021年 | CNIL(フランス) | 6,000万ユーロ | クッキーの拒否を受け入れより困難にした | |
| 2022年 | APD(ベルギー) | IAB Europe | GDPR違反の認定 | TCF同意フレームワークが無効と判断された |
| 2023年 | CJEU | IAB Europe TCF | 核心的な違反の認定を支持 | TCFによる個人データ侵害を確認 |
| 2025年 | AP(オランダ) | 50の組織 | コンプライアンス警告 | 誤解を招くバナー、同意のない追跡 |
| 2025年 | CNIL(フランス) | 3億2,500万ユーロ | 広告用クッキーの同意違反 | |
| 2025年 | CNIL(フランス) | Shein | 1億5,000万ユーロ | クッキー関連違反 |
執行の傾向
2021年以降、ヨーロッパ全域で執行は強化されている。いくつかの傾向が顕著である。
- デザイン上の対等性が求められる。 拒否の選択肢は、同意の選択肢と同じくらい目立ち、アクセスしやすいものでなければならない。非対称なボタンデザイン、小さなフォント、拒否ボタンをグレーアウトさせる演出は、ダークパターンとして扱われる。
- 第一層に拒否ボタンを設置すること。 フランス、イタリア、ベルギーなど複数の法域は現在、設定リンクの背後だけでなく、最初のバナーに「すべて拒否する」という選択肢を設けることを明示的に求めている。
- 協調的な一斉調査。 EDPBは、複数の国のデータ保護当局が同一分野を同時に監査する、協調執行枠組み(CEF)の措置を調整している。
- 広告用クッキーが制裁金の主な要因となっている。 最も高額な制裁金は、一貫して、有効な同意なしに設置されたサードパーティの広告・追跡クッキーに関するものである。
実務上のコンプライアンス対応
EUからアクセス可能なウェブサイトを運営する組織は、次のステップを講じるべきである。
まず監査を行う
サードパーティのスクリプトも含め、ウェブサイトのクッキースキャンを実施する。すべてのクッキーについて、名称、目的、保存期間、データの受領者を記録する。それぞれを、厳密に必要、機能性、アナリティクス、広告のいずれかに分類する。
遵守したバナーを構築する
非必須のクッキーを設置する前に、同意バナーを表示する。バナーは次の要件を満たさなければならない。
- 利用者が選択を行うまで、非必須クッキーの設置をブロックする(事後の通知ではなく、事前の同意とする)
- きめ細かな区分ごとの選択肢を提供する
- 第一層において、同意ボタンと拒否ボタンを視覚的に同等な目立たせ方で提示する
- いかなる区分についても、あらかじめチェックの入ったチェックボックスを避ける
- 各クッキー区分について、明確で平易な言葉による説明を提供する
継続的な記録を維持する
同意の記録(利用者が何を選択したか、いつ選択したか、どのバージョンのバナーが表示されたか)を保存する。いつでも同意を撤回できる、利用しやすい仕組みを提供する。サードパーティのスクリプトは予告なく新たなクッキーを追加することが多いため、定期的にクッキーの再監査を行う。
本稿は一般的な法律情報であり、法的助言ではない。コンプライアンス上の要件は、ウェブサイトが対象とする具体的な法域、使用されるクッキーの種類、収集されるデータの性質によって異なる。個別の状況に応じた助言については、データ保護分野の弁護士に相談されたい。
Frequently Asked Questions
eプライバシー指令とは何か。GDPRとどのように関係するか。
eプライバシー指令(2002/58/EC、2009/136/ECにより改正)は、クッキー、追跡技術、電子通信を規律するEU法である。同指令は、GDPRと並行して特別法(lex specialis)として機能する。すなわち、この指令が端末へのクッキー設置という行為を規律し、GDPRが、そのクッキーを通じて収集された個人データがどのように処理されるかを規律する。両方の法律が適用される場合、eプライバシー指令の特別の規則が優先する。GDPRは、eプライバシー指令のクッキー同意要件が満たすべき同意の基準を定めている。
eプライバシー規則案は撤回されたか。
撤回された。欧州委員会は、2025年2月11日に公表された2025年の作業計画において、提案されていたeプライバシー規則を正式に撤回した。欧州委員会は、共同立法者からの合意が見込まれないこと、および近年のデジタル関連立法に照らして提案がすでに時代遅れとなっていることを理由として挙げた。既存のeプライバシー指令は引き続き完全に施行されている。クッキー関連ルールを更新する新たな取り組みとして、2025年11月のデジタル・オムニバスが導入され、これは指令を別個の規則に置き換えるのではなく、クッキー同意ルールをGDPRに組み込むことを提案している。
2025年11月のデジタル・オムニバスは、クッキーについて何を提案しているか。
2025年11月19日に公表されたデジタル・オムニバスは、GDPRに二つの新条項を提案している。第88a条は、同意と同じくらい目立つワンクリックの拒否の選択肢を求め、拒否から6か月間は同一目的での再同意要求を禁止し、厳密に必要なクッキーの適用除外を維持するものである。第88b条は、ウェブサイトに対し、機械可読のブラウザレベルの同意シグナルを尊重することを求めるものであり、これにより利用者は個々のクッキーバナーをクリックする代わりに、ブラウザで一度プライバシー設定を行えるようになる。この提案は依然として欧州議会および理事会の承認を要するものであり、まだ法律にはなっていない。
どのクッキーが同意要件の適用除外となるか。
第5条(3)項のもとで適用除外となるのは二つの区分のみである。第一に、ネットワークを通じた通信の伝送のみを目的として使用されるクッキー(技術的なルーティング)である。第二に、認証用クッキー、ショッピングカート用クッキー、セキュリティ用クッキーなど、利用者が明示的に要求したサービスの提供に厳密に必要なクッキーである。アナリティクス、広告、そして大半の機能性クッキーはすべて同意を必要とする。一部の国の規制当局、特にフランスのCNILは、厳格な条件のもとで、プライバシーに配慮した自社限定のオーディエンス測定ツールについて限定的な適用除外を認めている。
あらかじめチェックが入ったクッキー同意用チェックボックスはEUで合法か。
合法ではない。CJEUは2019年10月、C-673/17号事件(Planet49事件)において、あらかじめチェックが入ったチェックボックスはクッキーに関する有効な同意を構成しないと判示した。同意には明確な積極的行為が伴わなければならない。サイトのスクロールや閲覧の継続も、有効な同意とはみなされない。これは、クッキーのデータが個人データに該当するか否かにかかわらず適用される。
「同意か対価か」型のクッキーウォールは合法か。
状況による。EDPBは2024年4月に意見08/2024を発表し、「大半の場合」において大規模オンラインプラットフォームは「同意か対価か」モデルを利用できないとした。利用者に真に自由な選択の余地がないためである。欧州委員会は2025年4月、Metaについて同様の結論に至った。もっとも、この意見は主として大規模プラットフォームを対象としており、各国の当局は規模の小さいパブリッシャーによるすべての「同意か対価か」モデルを一律に禁止しているわけではない。オランダのデータ保護当局は、同等のコンテンツが他所で入手可能な場合には一部のクッキーウォールを許容している。この論点は、EU全体のレベルでは依然として未解決のままである。
クッキー法への違反について、ウェブサイトはどのような罰則を受ける可能性があるか。
罰則は国によって異なる。フランスはGDPRの制裁金規定を用いて、3億2,500万ユーロ(Google、2025年)、1億5,000万ユーロ(Google、2021年)の制裁金を科している。スペインはLSSIのもとで最大30万ユーロの制裁金を科すことができ、個人データが関わる場合にはGDPRの制裁金を適用することもできる。ドイツのTDDDGの上限は30万ユーロであり、個人データに関する違反についてはGDPRの制裁金を適用できる。実務上、クッキーが個人データの処理を伴う場合、大半の規制当局は最大2,000万ユーロまたは全世界年間売上高の4%というGDPRの枠組みを用いている。
Google Analyticsのようなアナリティクスクッキーには同意が必要か。
eプライバシー指令のもとでは、アナリティクスクッキーは一般に同意を必要とする。もっとも、一部の国の規制当局は、自社(ファーストパーティ)のアナリティクスについてこの要件を緩和している。フランスのCNILは、厳格な条件、すなわちデータが集計されており、第三者と共有されず、保存期間が限定されていることを条件に、自社のオーディエンス測定用クッキーについて適用除外を認めている。データを外部に転送するGoogle Analyticsのようなサードパーティツールは、すべてのEU法域において一貫して同意を必要とする。
ウェブサイトはどのくらいの頻度でクッキー同意を再度求める必要があるか。
eプライバシー指令は再同意の間隔を定めていない。各国のガイダンスはさまざまである。CNILは6か月ごとの再同意要求を推奨している。他の当局は12か月の間隔を提案している。デジタル・オムニバス提案が採択された場合、利用者がすでに拒否した目的については、少なくとも6か月間は再度の同意要求を禁止することになる。組織はまた、新たなクッキー区分を追加した場合や処理目的を変更した場合には、その都度同意を再度求めるべきである。
Sources and References
- プライバシーと電子通信に関する指令2002/58/EC(eプライバシー指令)(eur-lex.europa.eu).gov
- eプライバシー指令を改正する指令2009/136/EC(クッキー改正)(eur-lex.europa.eu).gov
- CJEU C-673/17号事件(Planet49)、クッキー同意の基準(curia.europa.eu).gov
- 第29条作業部会意見04/2012、クッキー同意の適用除外について(ec.europa.eu).gov
- EDPBガイドライン05/2020、GDPRのもとでの同意について(edpb.europa.eu).gov
- 規則(EU)2016/679、一般データ保護規則(GDPR)(eur-lex.europa.eu).gov
- 欧州委員会2025年作業計画、eプライバシー規則案の撤回(commission.europa.eu).gov
- EUデジタル・パッケージ、欧州委員会(デジタル・オムニバス)(digital-strategy.ec.europa.eu).gov
- EDPBクッキーバナー・タスクフォース報告書(2023年1月)(edpb.europa.eu).gov
- EDPBおよびEDPSによるデジタル・オムニバスに関する声明(2026年)(edpb.europa.eu).gov
- CNIL、クッキーおよびその他の追跡手段に関するガイドライン(cnil.fr).gov
- イタリアGaranteクッキーガイドライン(2021年)(garanteprivacy.it).gov
- スペインLSSI(法律34/2002号)、情報社会サービス法(boe.es).gov
- ドイツBfDI、連邦データ保護コミッショナー(bfdi.bund.de).gov
- アイルランド法定文書第336号/2011年、電子通信規則(irishstatutebook.ie).gov
- オランダ電気通信法(Telecommunicatiewet)(wetten.overheid.nl).gov
- フランス情報処理・自由に関する法律、第82条(legifrance.gouv.fr).gov