Posts by Izac Cavalheiro
EDPBの2026年の取り締まり対象はあなたのプライバシー通知だ
EDPBの2026年共同執行アクションは、GDPR第12〜14条に基づく透明性を監査する。そこを最短で切り抜ける方法は、通知が自ずと書き上がるほど収集を絞り込むことだ。
続きを読む →アナリティクススクリプトは Content-Security-Policy の穴になっている
厳格な CSP は XSS を防ぐ。だがサードパーティのアナリティクスタグがその穴を再び開ける。ホスト許可リストや SRI の欠如がポリシーを台無しにする理由と、ファーストパーティトラッカーが解決する点を解説する。
続きを読む →HTTP レイヤーでのデフォルト・プライバシー:トラッキング面を縮小するヘッダー
Permissions-Policy と Referrer-Policy という 2 つのレスポンスヘッダーが、ページが広告テックや第三者にどれだけ漏らすかを決める。一度設定すれば、監視面はデフォルトで閉じる。
続きを読む →INP は重いアナリティクスを罰する:なぜあなたのトラッカーはメインスレッドにいるのか
Interaction to Next Paint は最も多くのサイトが不合格になる Core Web Vital であり、フィールドデータは行動トラッキングスクリプトが主要因の一つであることを示している。解決策はメインスレッドに送る処理を減らすことだ。
続きを読む →Digital Omnibus はファーストパーティ分析を同意の対象外にしようとしている
EU の 2025 年 11 月の Digital Omnibus は、ファーストパーティかつ内部利用のオーディエンス測定を同意不要とする例外を提案している。それは Cookie レス分析がすでに動かしているモデルそのものだ。
続きを読む →ハッシュはいつ個人データになるのか:EU司法裁判所のSRB判決とアナリティクスの識別子
EU司法裁判所のEDPS対SRB判決は、識別可能性を相対的・文脈依存のテストにした。これがハッシュベースのアナリティクスにとって何を意味するのか、そしてなぜ日次ローテーションのソルト付きハッシュが裁判所の解釈とEDPBのより厳格な解釈の両方に耐えるのかを解説する。
続きを読む →Consent Mode v2 と 2026 年 6 月の Google Signals 廃止
2026 年 6 月 15 日、ad_storage が Google スタックにおける広告データの唯一の制御になります。Google Signals の廃止が開発者に何をもたらすのか——そしてこの仕組み一式が、cookie を使わない分析が構築する必要のなかったものである理由を解説します。
続きを読む →保存期間の制限は2026年のアナリティクス執行の最前線
規制当局は「データを適法に収集したか」を問うのをやめ、「いつ削除したか」を問い始めた。CNILによるFreeへの4,200万ユーロの制裁とEDPBの消去に関する一斉調査を経て、アナリティクスのデータ保存が監査の標的になっている。
続きを読む →Soft Navigations:ブラウザ流に SPA のパフォーマンスを計測する
Chrome のソフトナビゲーション・ヒューリスティックにより、Core Web Vitals がクライアントサイドのルート変更にひも付くようになりました。API の仕組みと、監視なしで計測する方法を解説します。
続きを読む →Global Privacy Control は今や10州で拘束力のあるオプトアウト信号に
GPC はもはや任意ではありません。Disney との和解と3州による合同調査を経て、Sec-GPC ヘッダーは米国10州で法的拘束力を持ちます——そしてクッキーフリーのアナリティクスには遵守すべきものが何もありません。
続きを読む →クッキー法はもはやクッキーの話ではない: 第5条(3)が今カバーするもの
EDPBガイドライン2/2023はePrivacyの同意ルールをピクセル、URLトラッキング、IPのみの識別へ拡張しました。最近のCNILとGarante決定が技術中立的な読み方を確認しています。開発者に何が変わるかをご紹介します。
続きを読む →Astroサイトにプライバシーファーストのアナリティクスを追加する
AstroのView Transitionsは標準のアナリティクススクリプトを静かに壊します。クッキーや同意バナーなしで、すべてのルート変更を計測する正しいパターンをご紹介します。
続きを読む →SvelteKitアプリにプライバシーファーストのアナリティクスを追加する
SvelteKit 2は他のフレームワークとは異なる方法でクライアントサイドナビゲーションをインターセプトします。クッキーや同意バナーなしでルート変更を追跡する正しいパターンをご紹介します。
続きを読む →Privacy Sandboxは死んだ: アナリティクススタックにとっての意味
Googleは2025年10月にTopics、Attribution Reporting、Protected Audienceを廃止しました。シャットダウンが技術的に何を意味するか、そしてなぜファーストパーティアナリティクスが常に正しい選択だったかをご紹介します。
続きを読む →アクセシビリティのない同意バナーは、もはや1つではなく2つの法的責任を生む
欧州アクセシビリティ法は2025年6月にWCAG 2.2を法的拘束力のあるものにしました。スクリーンリーダーで操作できないバナーはGDPRの同意を無効にします。クッキーフリーのアナリティクスは両方の問題を回避します。
続きを読む →Googleがフィンガープリンティング禁止を撤回: 開発者が知っておくべきこと
2025年2月、Googleは自社のデバイスフィンガープリンティング禁止を解除しました。何が変わったか、規制当局が懸念する理由、そしてアナリティクススタックにとっての意味をご紹介します。
続きを読む →追跡を多用するサービスがあなたに想像以上のコストを課す理由
ほとんどのアプリは機能に必要な範囲をはるかに超えるデータを収集しています。そのデータが実際に何をしているのか、誰が利益を得ているのか、そしてなぜリスクが収集する企業に留まらないのかを解説します。
続きを読む →アナリティクススタックにおける「プライバシーファースト」が実際に意味すること
このフレーズはどこにでもありますが、それを使用するほとんどのツールは依然として識別子、フィンガープリント、またはハッシュ化されたメールを保存しています。技術的に健全なプライバシーファーストのデータモデルがどのようなものかをご紹介します。
続きを読む →2 KBのアナリティクストラッカーでCore Web Vitalsを緑のまま保つ方法
従来のアナリティクススクリプトは、Lighthouseスコアを動かすほど重くなっています。軽量なトラッカーが何を違うやり方で行っているのか、そしてそれが実際のユーザーにとってなぜ重要なのかをご紹介します。
続きを読む →Google Analyticsはほとんどのサイトには過剰: 開発者の主張
Google Analyticsはほとんどのサイトが必要とする以上のものを収集します。軽量でプライバシーファーストの代替手段が開発者体験と訪問者体験をどう変えるかをご紹介します。
続きを読む →Next.jsアプリにプライバシーファーストのアナリティクスを追加する
クッキー、同意バナー、準拠の頭痛の種なしにMonoidをNext.jsに統合するためのステップバイステップガイドです。
続きを読む →Cookieフリーのアナリティクスに同意バナーが不要な理由
ほとんどのアナリティクスツールは個人データを保存するため、Cookie同意ポップアップを必要とします。プライバシーファーストのアナリティクスがそれを完全に省略できる技術的な理由をご紹介します。
続きを読む →