GDPR同意要件:有効な同意とは何か(2026年版)

GDPR第4条(11)の下では、有効な同意には4つの累積的な条件が求められる。すなわち、本人が自由に、特定の目的のために、十分な情報を得た上で、そして明確な積極的行為を通じて同意を与えることである。第7条はさらに、管理者に対し、その同意を文書化し、容易な撤回を可能にし、必須でない処理への同意をサービスアクセスの条件としないことを要求している。
同意は、GDPRの下で個人データを処理するための6つの適法根拠の一つである。組織がこれに依拠する場合、その基準は厳格である。利用規約に埋もれたプライバシーポリシーは要件を満たさない。事前にチェックされたチェックボックスも要件を満たさない。不作為も要件を満たさない。
同意を誤ると執行上の制裁金を招くことがある。2025年9月にGoogleとSHEINが経験したように、大規模に誤ると9桁の制裁金につながることもある。本ガイドは、有効な同意が何を要求するか、いつ同意が適切な根拠となるか(そしていつそうでないか)、そして2024年から2026年の規制動向が実務上何を意味するかを解説する。
規則の全体的な概要についてはGDPRとは何かを、クッキー固有の規則についてはeプライバシー指令ガイドを、ステップバイステップのコンプライアンスプログラムについてはGDPRコンプライアンスチェックリストを参照されたい。
本記事は情報提供のみを目的としており、法的助言を構成しない。貴自身の状況に合わせたガイダンスについては、資格を有するデータ保護弁護士またはプライバシー専門家に相談されたい。
早わかり:GDPRの下で何が有効な同意となるか
GDPR第4条(11)は、同意を「本人が、意思表示または明確な積極的行為により、自己に関する個人データの処理に同意することを示す、自由に与えられ、特定的で、十分な情報を得た上での、明確なデータ主体の意思表示」と定義している。
4つの要素はすべて同時に存在しなければならない。1つでも欠ければ同意全体が無効となる。
- 自由に与えられていること -- 真の選択であり、強制がなく、無関係な条件との抱き合わせがないこと
- 特定的であること -- 各目的ごとに別個の同意
- 十分な情報を得た上でのものであること -- 本人が決定する前に、誰が、何を、なぜという点についての明確で平易な言葉による説明
- 明確であること -- 積極的なオプトイン行為。沈黙や不作為は決して十分ではない
第7条はさらに、いったん取得された後の同意をどのように管理すべきかについての条件を追加する。同意に関するEDPBガイドライン05/2020は、これらの要件についての権威ある解釈であり続けている。
4つの要素の詳細
1. 自由に与えられていること
同意は、本人が真の自由な選択を有し、不利益を被ることなく拒否できる場合にのみ有効である。
力の不均衡。 管理者とデータ主体との間に著しい不均衡がある場合、同意が自由に与えられている可能性は低い。最も明確な例は雇用関係である。従業員は、雇用主のデータ処理要求を実際上拒否できないと感じることがある。EDPBガイドラインは、この非対称性のため、ほとんどの雇用の文脈において同意は有効な根拠とはならないと警告している。
条件付け。 第7条(4)の下では、組織は必須でない処理への同意をサービスへのアクセスと抱き合わせることができない。購入完了の条件としてマーケティングメールへの同意を顧客に要求するeコマースサイトは、その同意を無効にする。拒否がサービスをブロックする場合、その同意は自由なものではない。
粒度。 複数の無関係な目的をカバーする単一の「すべてのデータ利用に同意する」チェックボックスは、特定性の要件を満たさず、選択の自由を損なう。本人は、ある目的には同意し、別の目的には独立して拒否できなければならない。
不利益の禁止。 同意の拒否または撤回は、厳密に必要な範囲を超えたいかなる不利益、サービスの低下、またはアクセス制限も伴ってはならない。プラットフォームが任意のデータ処理を拒否する利用者に対し機能を低下させる場合、同意した利用者から得られた同意もまた異議の対象となり得る。
2. 特定的であること
同意は個別の処理目的ごとに紐づけられなければならない。現在および将来のすべてのデータ利用をカバーする包括的な同意は無効である。
EDPBガイドラインは、それぞれの異なる業務について別個の同意請求を要求している。組織がニュースレターのためにメールアドレスを収集し、それを第三者の広告主とも共有したい場合、単一のチェックボックスの下に積み重ねるのではなく、独立して提示される2つの別個の同意請求が必要である。
目的のクリープはよくある問題である。組織が後になって、当初の同意でカバーされていない目的にデータを利用したいと考える場合、単にその当初の同意に依拠することはできない。新しい目的について新たな特定的同意を求めるか、別の適法根拠を特定しなければならない。
3. 十分な情報を得た上でのものであること
本人は、同意する前に、意味のある決定を行うのに十分な情報を受け取らなければならない。欧州委員会のガイダンスは、同意請求の時点で次の事項を開示しなければならないと定めている。
- 管理者の身元
- 各処理業務の具体的な目的
- 収集・処理されるデータの種類
- いつでも同意を撤回する権利
- データが自動意思決定またはプロファイリングに使用されるかどうか
- 該当する場合は国際データ移転の有無
この情報は、明確で平易な言葉で提供されなければならない。長大なプライバシーポリシーへのリンクの背後に隠したり、専門的な法律用語で提示したりすることは、十分な情報という要件を満たさない。EDPBは一貫して、階層化された通知(短い要約と、詳細な内容へのアクセス可能なリンク)は許容されるが、核心的な情報は同意行為が行われる前に真にアクセス可能で理解可能でなければならないとしている。
4. 明確であること(明確な積極的行為)
GDPRおよび前文32は明確である。沈黙、事前にチェックされたボックス、不作為は同意を構成しない。
有効な積極的行為には次のものが含まれる。
- チェックが外れているオプトインボックスにチェックを入れること
- 処理情報が明確に提示されている状態で「同意する」または「承諾する」ボタンをクリックすること
- プライバシーダッシュボードで特定の設定を選択すること
- 書面による同意書に署名すること
- 口頭による意思表示(ただし文書化は困難である)
ページをスクロールすること、通知が表示された後もサイトに留まり続けること、事前にチェックされたボックスのチェックを外さないことは、積極的行為に該当しない。Planet49事件(CJEU、事件C-673/17号、2019年10月)はこれを決定的に確定した。裁判所は、事前にチェックされたボックスは、eプライバシー指令の下でもGDPRの下でも有効な同意を構成しないと判示した。それが利用者による能動的な行動を反映していないためである。

同意管理に関する第7条の条件
第4条(11)は同意とは何かを定義している。第7条は、いったん取得された後にそれをどのように管理しなければならないかを規律する。
証明可能性(第7条(1))
管理者は、データ主体が同意したことを証明できなければならない。これは一度限りの出来事ではなく継続的な義務である。同意の記録に関するICOガイダンスは、次の事項を文書化することを推奨している。
- 誰が同意したか(本人を特定するのに十分な詳細)
- いつ同意したか(日付および時刻)
- 同意時点で何を伝えられたか(提示された正確な同意文言または様式)
- どのように同意したか(オンラインチェックボックス、口頭、署名済み様式)
- その後同意が撤回されたかどうか、撤回された場合はいつか
単なる「同意=はい」というフラグを保存するだけでは不十分である。同意文言が後で変更される場合、組織が各個人がその時点で正確に何に同意したかを証明できるよう、バージョン履歴を保持しなければならない。
分かりやすさおよびアクセス可能性(第7条(2))
同意が、利用規約など他の事項をカバーする書面による宣言の文脈で与えられる場合、同意請求は明確に区別可能で、平易な言葉で表現され、不必要に複雑な文言を用いてはならない。GDPRに準拠しない条項は拘束力を持たない。
撤回する権利(第7条(3))
2つの規則は交渉の余地がない。
撤回は同意を与えるのと同じくらい容易でなければならない。 同意がワンクリックで与えられた場合、撤回はワンクリックを超えて要求してはならない。チェックボックスにチェックを入れることで当初与えられた同意を撤回するために、電話、書面、または複数のアカウント設定メニューを経由することを要求することは違反である。執行措置はこの違反を直接引用してきた。
撤回する権利は、同意を取得する前に伝達されなければならない。 本人がすでに同意した後になって初めて撤回する権利を伝えることは、第7条(3)を満たさない。
撤回は遡及的ではない。同意が有効であった間に行われた処理は適法なままである。しかし、組織は今後、同意に基づくすべての処理を直ちに中止しなければならない。
不利益の禁止(第7条(4))
条件付けの禁止はここで法定化されている。同意が自由に与えられているかどうかを評価する際、契約の履行が当該契約に不要な処理への同意を条件としているかどうかが最大限考慮される。
同意とその他5つの適法根拠
同意は第6条に基づく6つの適法根拠の一つに過ぎない。多くの組織は、別の根拠の方が単純で安定し、法的に健全である場合にも、デフォルトで同意を選択してしまう。
| 適法根拠 | 適用される場合 |
|---|---|
| 契約(第6条(1)(b)) | データ主体との契約を履行するため、またはその求めに応じて契約前の措置を講じるために処理が必要な場合 |
| 法的義務(第6条(1)(c)) | EUまたは加盟国法により処理が要求される場合(例:税務申告、AML遵守) |
| 重要な利益(第6条(1)(d)) | 本人が同意できない状況で誰かの生命を保護すること |
| 公共の任務(第6条(1)(e)) | 公的権限の行使または公共の利益のための任務の遂行 |
| 正当な利益(第6条(1)(f)) | 文書化された比較衡量テストの後、管理者または第三者の利益がデータ主体の権利に優先する場合 |
| 同意(第6条(1)(a)) | データ主体が特定の処理に自由に同意する場合 |
同意を不用意に選ぶことがなぜ問題を生じさせるのか。 同意は、記録の維持、撤回メカニズムの提供、目的が変化した際の再取得、撤回要求への対応という継続的な管理負担を生じさせる。別の根拠が正当に適用される場合、ほぼ常にそれを利用する方が実務的である。同意が適切な場合に関するICOガイダンスは、他の点では要求されない処理について、本人に真に継続的なコントロールを与えたい場合にのみ同意を用いることを推奨している。
組織は、根拠を事後的に切り替えることもできない。同意が撤回された場合、その根拠が当初から真に適用され、そのように文書化されていない限り、組織は単純に自分たちが最初から正当な利益に依拠していたと主張することはできない。
特別カテゴリーデータのための明示的同意
第9条は、特定の例外が適用されない限り、健康、生体、遺伝、人種的または民族的出自、政治的意見、宗教的信条、労働組合員資格、性生活または性的指向に関するデータといった特別カテゴリーのデータの処理を禁止している。例外の一つが「明示的同意」である。
明示的同意は、通常の同意よりも高い基準である。これには次のことが必要である。
- 機微なデータカテゴリーおよび処理目的を具体的に参照する、明確で明示的な意思表示
- 積極的で明確な確認。黙示的または推定された同意は特別カテゴリーデータについて決して十分ではない
- 他の一般的な処理への同意とは別個の同意
「私は自分のデータが処理されることに同意します」という一般的な文言は、健康データについての明示的同意を満たさない。同意は、データの種類と目的を直接特定しなければならない。

子どもの同意(第8条)
第8条は、情報社会サービス(ISS)を子どもに直接提供する場合に、追加的な要件を課している。ISSには、ソーシャルメディアプラットフォーム、アプリ、オンラインゲーム、ストリーミングサービス、そして個人データを収集するほとんどの商用ウェブサイトが含まれる。
ヨーロッパ全体の年齢閾値
GDPRはデフォルトの年齢閾値を16歳に設定している。それを下回る年齢については親の同意が必要である。加盟国は、最低13歳まで閾値を引き下げることができる。その結果、次のようなつぎはぎ状態になっている。
| 年齢 | 国 |
|---|---|
| 13 | ベルギー、チェコ共和国、デンマーク、エストニア、フィンランド、ラトビア、マルタ、ポルトガル、スウェーデン |
| 14 | オーストリア、ブルガリア、キプロス、イタリア、リトアニア、スペイン |
| 15 | フランス、ギリシャ、スロベニア |
| 16 | ドイツ、ハンガリー、アイルランド、ルクセンブルク、オランダ、ポーランド、ルーマニア、スロバキア |
複数のEU加盟国で運営されるサービスは、EU全体の単一の年齢ではなく、各国の利用者についてその国の年齢閾値を適用しなければならない。
検証と年齢確認
第8条(2)は、親の同意が与えられたことを検証するための「合理的な努力」を要求している。何が合理的かは、関連する処理リスクに比例する。年齢確認に関するEDPB声明1/2025は、技術的な年齢検証ツールの利用の高まりを扱っており、年齢推定、年齢検証、自己申告がそれぞれ異なるリスクの文脈に適した異なる水準の確実性を表すことを認めている。
年齢確認は、未成年者に関して超大規模オンラインプラットフォームに別個の義務を課すデジタルサービス法(DSA)の下でも、ますます関連性を高めている。EDPBのDSAとGDPRの相互作用に関するガイドライン3/2025は、これら2つの制度間の相互作用を扱っている。
予防的・相談的サービス
第8条は、子どもの福祉を保護するために直接提供される相談的および予防的サービスには適用されない。そのようなサービスは、親の関与が子どもの利益に反する場合、親の同意なしに子どものデータを処理することができる。
クッキー同意とeプライバシー指令
クッキー同意は現在、GDPRではなくeプライバシー指令(指令2002/58/EC)の下で運用されている。クッキーが個人データに関わる場合、そのデータのその後の処理にはGDPRが適用されるが、そもそもクッキーを設置する許可はeプライバシーによって規律されている。全体の枠組みについてはeプライバシー指令ガイドを参照されたい。
核心的な規則:必須でないクッキーには同意が義務的である
正当な利益は、必須でないクッキーを設置するための根拠として用いることができない。eプライバシー指令は、利用者の端末に情報を保存するために同意を要求している。その同意はGDPRのすべての基準を満たさなければならない。これはPlanet49事件(事件C-673/17号)で確認され、あらゆる主要なDPAのクッキーガイダンスで繰り返されている。
同意が必要なクッキー
- 分析および測定クッキー(Google Analyticsおよび類似のツール)
- 広告および行動追跡クッキー
- ソーシャルメディアプラグインおよび共有ボタン
- サービスに厳密に必要ではないパーソナライズクッキー
同意が不要なクッキー
厳密に必要なクッキーは適用除外である。これには次のものが含まれる。
- セッション管理(ショッピングカート、ログイン状態)
- セキュリティおよび不正防止クッキー
- 負荷分散トークン
- アクセシビリティまたは言語設定のための利用者設定クッキー
クッキーバナーの要件
EDPBクッキーバナー・タスクフォース報告書は、最も一般的な違反を特定した。
- 第1階層に「すべて拒否」のオプションがないこと(拒否を承諾よりも困難にする)
- 任意のクッキーについての事前チェック済みボックス
- 利用者を承諾へと誘導する欺瞞的なデザインパターン
- 広告クッキーの根拠として正当な利益を援用すること
- クッキー同意の撤回を、それを与えることよりも困難にすること
欺瞞的デザインパターンに関するEDPBガイドライン03/2022は、バナーの操作を詳細に扱っており、ソーシャルメディアプラットフォームおよびその他のオンラインサービスの両方に等しく適用される。
「同意か対価か」モデルとEDPB意見08/2024
大規模なオンラインプラットフォームは、ますます利用者に対し、行動ターゲティング広告への同意か、サブスクリプション料金の支払いかという二者択一を提示するようになっている。2024年4月、EDPBはオランダ、ノルウェー、ハンブルクの各データ保護当局からの要請を受け、意見08/2024を発した。
中核的な結論。 ほとんどの場合、大規模なオンラインプラットフォームは、行動ターゲティング広告のためのデータ処理への同意か料金の支払いかという二者択一のみを利用者に提示する場合、有効な同意の要件を満たすことができない。この意見はこうしたモデルを常に違法と宣言するものではないが、厳格な条件を課している。
この意見が要求する事項:
- 「同意」オプションは、自由に与えられることを含め、GDPRの4つの同意条件すべてを真に満たさなければならない。
- 有料の代替案は、劣化版ではなく真に同等のサービスでなければならない。
- プラットフォームは、コンテンツ表示に厳密に必要な範囲を超える個人データ処理を要しない、文脈広告(非行動ターゲティング)によりサポートされるアクセスという第3の選択肢の提供を検討すべきである。
- 課される料金は、支払う余裕のない利用者から事実上同意を強要するほど高く設定してはならない。
EDPBは、より広い範囲を持つ「同意か対価か」モデルに関するより充実したガイドラインを策定することを約束した。関係者協議イベントが2024年11月に開催された。
この意見は、ソーシャルメディアプラットフォーム、報道出版社、そして広告資金による無料アクセスに対するサブスクリプションベースの代替案を実装した、または検討中のあらゆるサービスに直接関連する。
DMAとGDPR:ゲートキーパー義務
デジタル市場法(DMA)の下で「ゲートキーパー」に指定されたプラットフォームには、追加的な制約が適用される。2025年、EDPBと欧州委員会は共同でDMAとGDPRの相互作用に関するガイドラインを発表した。これは、コアプラットフォームサービス全体にわたって個人データを組み合わせるための特定の選択および有効な同意を要求するDMA第5条(2)を、ゲートキーパーがGDPRにも準拠する形でどのように実施すべきかを明確にするものである。DMAゲートキーパーであり、かつGDPRの適用も受けるプラットフォームについては、両方の要件セットが同時に適用される。

よくある同意の誤り
DPAの執行決定とEDPBの監査結果は、一貫して同じ失敗パターンを特定している。最もよくあるものは次のとおりである。
1. 代替案を検討せずに同意をデフォルトの根拠として扱うこと。 多くの組織は、契約上の必要性や正当な利益に正当に依拠できる業務を、いわば「同意ロンダリング」してしまう。これにより不要な撤回義務が生じ、利用者が後に撤回権を行使した際の運用が複雑化する。
2. 事前チェック済みボックスまたは拒否オプションの欠如。 依然として最も多く指摘されるクッキー同意違反である。拒否オプションは、あらゆるクッキーバナーの第1階層において承諾オプションと同じくらい目立ち、利用しやすいものでなければならない。
3. 撤回を同意の付与よりも困難にすること。 ボタンをクリックして与えられた同意を取り消すために、電話、書面、または埋もれたアカウント設定の操作を要求することは、第7条(3)の直接的な違反である。
4. 抱き合わせ同意。 ニュースレター登録、広告のためのプロファイリング、第三者へのデータ共有をカバーする単一のチェックボックスは無効である。各目的には別個の独立して提示されるチェックボックスが必要である。
5. 同意文言のバージョン管理の欠如。 同意フォームを変更する際に以前のバージョンを保持しないと、組織は変更前に同意した個人が実際に何に同意したかを証明できなくなる。
6. 分析用クッキーを厳密に必要なものと誤分類すること。 利用者がサイトをどのように利用するかを測定することは有用であるが、サービスの提供に厳密に必要なわけではない。分析用クッキーには同意が必要である。
7. 撤回後も処理を継続すること。 システムは、撤回が記録された際に同意に基づく処理を直ちに停止する仕組みを備えていなければならない。CRMから供給される下流システムでの遅延は、苦情の反復的な原因である。
8. クッキーベースの追跡に正当な利益を利用すること。 これは現行のeプライバシー枠組みの下で明示的に禁止されたままである。クッキー同意通知でこれを引用しても適法にはならない。
執行事例
CNIL対Google(2025年9月、3億2,500万ユーロ)
フランスのCNILは2025年9月、Google LLC(2億ユーロ)およびGoogle Ireland Limited(1億2,500万ユーロ)に対し、合計3億2,500万ユーロの制裁金を科した。NOYBの苦情を受けて開始された調査は、2つの異なる違反を発見した。第1に、Gmailは、同意なしに利用者の受信箱内の私的なメールの間に広告メッセージを挿入していた。第2に、アカウント作成時、同意のデザインが広告クッキーの承諾よりも拒否を著しく困難にしており、Googleグループサービスへのアクセスが広告クッキーの設置に依存していることを利用者に知らせていなかった。CNILは、Googleに対し6か月以内に事前の同意なしにGmailに広告を挿入することを停止するよう命じた。
CNIL対SHEIN(2025年9月、1億5,000万ユーロ)
同じ執行サイクルにおいて、CNILはSHEINのアイルランド子会社であるInfinite Styles Services Co. Limitedに対し、同意バナーとの対話が一切行われる前、すなわち利用者が承諾または拒否の機会を得る前に利用者の端末に広告クッキーを設置していたことを理由に、1億5,000万ユーロの制裁金を科した。この調査はさらに、利用者が「すべて拒否」をクリックした場合でも、クッキーが引き続き設置され、既に設置されたクッキーが引き続き読み取られていたことを明らかにした。月間約1,200万人のフランス居住者がこのサイトを訪問していたことから、違反の規模が制裁金の額を押し上げた。
Metaの行動ターゲティング広告(EDPB拘束的決定、2023年)
2023年、EDPBは、正当な適法根拠なく行動ターゲティング広告のために個人データを処理することを停止するようMetaに命じるよう、アイルランドのデータ保護コミッショナーに指示する緊急の拘束的決定を発した。この決定は、ワンストップショップメカニズムを通じてEU全域で執行され、Metaは以前の「正当な利益」および「契約履行」という正当化から、EU/EEAにおける同意ベースのモデルへと移行することとなった。
最近および今後の動向(2025年から2026年)
2025年11月:デジタル・オムニバス・パッケージ
2025年11月19日、欧州委員会は、GDPR、eプライバシー指令、NIS2、データ法の改正を提案する広範な簡素化イニシアチブであるデジタル・オムニバス・パッケージを公表した。
同意およびクッキー法について最も重要な提案された変更は次のとおりである。
クッキー規則をGDPRに移すこと。 この提案は、個人データの処理をeプライバシー指令の範囲から完全に除去し、個人データに関するクッキー規則をGDPRの下に一元化するものである。現行の2段階の枠組み、すなわち端末アクセスの許可についてはeプライバシー指令、その後の処理についてはGDPRという構造は、単一の調和された規則に置き換えられる。
同意疲労対策。 この提案には、同意が依拠される場合には常にワンクリックでの拒否オプション、拒否から6か月以内に同じ目的での同意請求の反復を制限すること、そしてブラウザベースの機械可読な選好シグナルへの移行が含まれる。
分析および集計測定のためのホワイトリスト。 提案されているホワイトリストは、基本的な分析および集計されたオーディエンス測定を含む、プライバシーリスクの低い一定の処理を、データ最小化を含む保護措置を条件に、クッキーバナーなしで正当な利益の根拠に基づき実施することを認めるものである。
ブラウザベースの同意シグナル。 この提案は、ブラウザおよびオペレーティングシステムに組み込まれた同意シグナルのための技術標準を想定しており、既に選好を表明した利用者について、サイトごとの個別の同意ダイアログを不要にするものである。これらの標準はまだ存在せず、このメカニズムは早くとも2028年頃までは義務化されない見込みである。
現状。 デジタル・オムニバスは依然として立法提案である。法律となる前に、委員会、欧州議会、理事会の間での三者協議を経なければならない。現時点では、これによって現行のコンプライアンス義務が変更されることはない。
EDPBの同意に関する要約(2026年4月)
2026年4月、EDPBは、いつ同意が必要か、それがどのようなものでなければならないか、そしてそれがどのような義務を生じさせるかを組織が理解する助けとなる、同意に関する簡潔な要約を公表した。この文書は、完全なガイドライン05/2020を補完するものであり、特に中小企業を対象としたよりアクセスしやすい概要を提供している。
GDPRに関するその他のガイド
- GDPRとは何か - 規則の包括的な概要
- GDPRコンプライアンスチェックリスト - ステップバイステップのコンプライアンスガイド
- GDPR制裁金と罰則 - 執行データおよび非遵守の帰結
- GDPRデータ主体の権利 - 8つの個人権利すべて
- GDPR侵害通知72時間ルール - 侵害報告義務
- 中小企業向けGDPR - 中小企業向けガイダンス
- EUクッキー法(eプライバシー指令) - クッキー同意の全枠組み
- EUデータプライバシー法 - EUデータ保護の完全な概要
Frequently Asked Questions
GDPRの下で何が有効な同意となりますか?
有効なGDPR同意は、自由に与えられ、特定的で、十分な情報を得た上での、明確なものでなければならない。本人は明確な積極的行為をとらなければならない。チェックが外れているボックスにチェックを入れる、同意ボタンをクリックする、または特定の設定を選択することである。事前にチェックされたボックス、沈黙、不作為、スクロールは明示的に除外される。各処理目的には独自の同意が必要であり、本人は同意する前に誰が何のためにデータを処理するかについて明確な情報を受け取らなければならない。
GDPR同意のために事前にチェックされたチェックボックスを使用できますか?
使用できない。GDPRおよび前文32は、同意の形式として事前にチェックされたボックスを明示的に禁止している。同意には本人による明確な積極的行為が必要である。チェックボックスはチェックが外れた状態で始まり、本人が能動的にチェックを入れなければならない。CJEUはPlanet49事件(事件C-673/17号、2019年)においてこれを確認し、事前にチェックされたボックスはEU法の下で有効な同意を構成しないと判示した。
あらゆる種類のデータ処理について同意が必要ですか?
必要ではない。同意は第6条に基づく6つの適法根拠の一つに過ぎない。契約の履行、法的義務の遵守、重要な利益の保護、公共の利益のための任務の遂行、または本人の権利に優先しない正当な利益の追求のために処理が必要な場合には、同意は不要な場合がある。別の根拠が適用される場合に同意に依拠することは、不必要な管理負担と撤回リスクを生じさせる。
GDPRの下で子どもは何歳から同意できますか?
GDPRは、情報社会サービス(アプリ、ソーシャルメディア、オンラインプラットフォーム)についてデフォルトで16歳の閾値を設定している。EU加盟国はこれを最低13歳まで引き下げることができる。実務上、年齢は国によって異なる。ベルギー、デンマーク、スウェーデンなどでは13歳。オーストリア、イタリア、スペインなどでは14歳。フランスおよびギリシャでは15歳。ドイツ、アイルランド、オランダなどでは16歳である。ヨーロッパ全体で運営されるサービスは、各国について適用される年齢を適用しなければならない。
GDPRの下で同意を撤回するにはどうすればよいですか?
同意はいつでも撤回できる。撤回プロセスは、同意を与えるのと同じくらい容易でなければならない。同意がワンクリックで与えられた場合、撤回はワンクリックを超えて要求してはならない。撤回する権利は、同意を取得する前に伝達されなければならない。撤回は、撤回前に行われた処理の適法性には影響しないが、組織は今後同意に基づく処理を停止しなければならない。
自分のウェブサイトのクッキーについて同意が必要ですか?
分析、広告、追跡、ソーシャルメディアなどの必須でないクッキーには、eプライバシー指令の下で同意が必要である。その同意はGDPR基準を満たさなければならない。正当な利益は、必須でないクッキーの設置を正当化するために用いることはできない。厳密に必要なクッキー(セッション管理、セキュリティ、負荷分散)は適用除外である。2025年11月のデジタル・オムニバスはこれらの規則の簡素化を提案しているが、まだ法律になっていない。
同意と明示的同意の違いは何ですか?
通常の同意は、標準的な個人データ処理について明確な積極的行為を要求する。明示的同意は、健康、生体、遺伝、人種的または民族的出自、政治的意見、宗教的信条、労働組合員資格、性生活、性的指向といった特別カテゴリーデータについて要求される、より高い基準である。明示的同意には、機微なデータカテゴリーと具体的な処理目的を明示的に特定する明確な書面による意思表示が必要であり、黙示的または一般的な同意は決して十分ではない。
同意か対価かモデルはGDPRの下で適法ですか?
自動的には適法とならない。EDPB意見08/2024は、ほとんどの場合、大規模なオンラインプラットフォームは、行動ターゲティング広告への同意か料金の支払いかという純粋な二者択一モデルの下では有効な同意を得ることができないと結論付けた。EDPBは、プラットフォームに対し、文脈広告によりサポートされるアクセスなど、行動ターゲティング広告を伴わない真に同等の選択肢も提供することを求めている。料金は、事実上同意を強要するほど高く設定してはならない。同意オプションは依然としてGDPRの4つの同意条件すべてを満たさなければならない。
2025年11月のデジタル・オムニバスはクッキー同意について何を変更しますか?
まだ何も変更していない。これは依然として立法提案のままである。委員会は、クッキー規則をGDPRに統合すること、基本的な分析のためのホワイトリストを導入すること、ワンクリックでの拒否を要求すること、目的ごとに6か月ごとの反復同意請求を制限すること、そして2028年頃までにブラウザベースの選好シグナルを認めることを提案した。この提案がEUの立法プロセスを通過し発効するまでは、eプライバシー指令の下での現行のクッキー同意規則が変更されずに適用される。
Sources and References
- GDPR全文 - 規則(EU)2016/679(eur-lex.europa.eu).gov
- 同意に関するEDPBガイドライン05/2020(規則2016/679に基づく)(edpb.europa.eu).gov
- EDPB同意に関する要約(2026年4月)(edpb.europa.eu).gov
- 欧州委員会 - 同意が有効となる場合とは(commission.europa.eu).gov
- 欧州委員会 - 同意はどのように請求されるべきか(commission.europa.eu).gov
- ICO - 有効な同意とは何か(ico.org.uk).gov
- ICO - 同意をどのように取得、記録、管理すべきか(ico.org.uk).gov
- ICO - 同意が適切な場合とは(ico.org.uk).gov
- 欧州委員会 - 子どものデータに関する特別な保護措置(commission.europa.eu).gov
- EDPB意見08/2024:同意か対価かモデルにおける有効な同意について(edpb.europa.eu).gov
- EDPBクッキーバナー・タスクフォース報告書(2023年)(edpb.europa.eu).gov
- 欺瞞的デザインパターンに関するEDPBガイドライン03/2022(edpb.europa.eu).gov
- ICO - クッキーおよび類似技術(ico.org.uk).gov
- 正当な利益に関するEDPBガイドライン1/2024(edpb.europa.eu).gov
- DSAとGDPRの相互作用に関するEDPBガイドライン3/2025(edpb.europa.eu).gov
- DMAとGDPRの相互作用に関するEDPBおよび欧州委員会の共同ガイドライン(edpb.europa.eu).gov
- CNIL - Cookieおよび広告の同意違反によりGoogleに3億2,500万ユーロの制裁金(2025年9月)(cnil.fr).gov
- CNIL - 同意なくクッキーを設置したことによりSHEINに1億5,000万ユーロの制裁金(2025年9月)(cnil.fr).gov
- 欧州委員会 - デジタル・オムニバス・パッケージ(2025年11月)(digital-strategy.ec.europa.eu).gov
- Your Europe - 事業者向けオンラインプライバシー(europa.eu).gov