Digital Omnibus はファーストパーティ分析を同意の対象外にしようとしている

2025 年 11 月 19 日、欧州委員会は Digital Omnibus を公表した。これは Cookie とトラッキングの同意ルールの所在を書き換える提案だ。開発者にとって重要な点は草案の一条文に埋もれている。ファーストパーティで集計され、内部利用に限られるオーディエンス測定は、同意を一切必要としなくなる。

この適用除外は、何か未来のツールを描いているわけではない。Cookie レス分析がこれまでずっと動かしてきたデータモデルを描いているのだ。

提案が実際に動かすもの

現在、ユーザーの端末で読み書きする前に許可を求める義務は、ePrivacy 指令の 第 5 条第 3 項——Cookie バナーの法的根拠——に由来する。Digital Omnibus はこのルールを ePrivacy から取り出し、新設の 第 88a 条 を通じて GDPR に組み込む。

実務上の効果は単一の規律だ。個人データが処理される場面では、ePrivacy の同意は適用されなくなり、GDPR のみが規律する。委員会はこれを、重複したルール体系の簡素化と位置づけ、バナー疲れに関する一年余りの関係者の意見を根拠としている。

これは委員会の提案であって、法律ではない。公表当日に通常立法手続に入り、いまは欧州議会と理事会に送られている。誰かを拘束する前に、条文は大きく変わりうる。

オーディエンス測定の適用除外

第 88a 条は端末アクセスについて同意を原則として維持したうえで、狭い例外を列挙する。厳密に必要な送信とセキュリティに加えて、分析にとって重要な一つを加える。すなわち、集計されたオーディエンス測定データ を生成するために情報を保存・アクセスすること。ただし提供者が 自社のオンラインサービスおよび自社の内部利用のためにのみ これを行う場合に限る。

法的分析はこの適用除外が伴う条件で一致している。

• ファーストパーティのみ。 サイト運営者がデータを管理し、分析提供者は処理者として行動し、自社目的には決して用いない。
• 第三者共有なし。 広告主、広告プラットフォーム、クロスサイト測定ネットワークへ何も流れない。
• 統計のみ。 目的は Web 統計とサイト最適化であって、マーケティング活性化でもプロファイリングでもない。
• 容易なオプトアウト。 ユーザーは測定を拒否でき、プライバシーポリシーで明確に説明される。
• 短い保持。 データは統計に必要な期間だけ保持される。

文言は意図的に狭い。草案を読んだ論者は、複数のサービス・顧客・プラットフォームをまたいで測定するツール——すなわちアドテク測定の大半——を 除外 しているように見えると指摘する。この適用除外は、ベンダーのカテゴリではなく特定のアーキテクチャを報いる。

なぜこれが Cookie レス分析に一致するのか

このリストをプライバシーファーストのトラッカーの作りと並べると、重なりはほぼ完全だ。共有すべき識別子は存在しない。訪問者の identity は一方向の日次ハッシュ——SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)——であり、復元できず、毎晩消えていくからだ。

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

生の IP と User-Agent はこのハッシュを計算するためにメモリ上でのみ使われる。データベースが保存するのはハッシュであって、生の値ではない。明日結合できるものが何もないため、クロスサイトのグラフは存在しない。保持は有界で——2 年を超えるページビューは消去される——データは構造上集計されている。カウント、滞在時間、粗い端末種別、edge で得た国だ。

/collect ビーコンが運ぶのはタイミングとページのメタデータであって、人ではない。それこそ草案が取り上げる「集計されたオーディエンス測定、内部利用のみ」だ。

第 88b 条とサイトごとのバナーの終わり

付随する条文 第 88b 条 は、同意疲れに反対側から取り組む。拒否と異議を 自動化された機械可読のシグナル で表現できることを要求し、ブラウザと OS の提供者（中小企業を除く）にそのインフラの対応を義務づける。

これは Global Privacy Control が米国の州法ですでに推し進めた方向と同じだ。決定を千ものバナーから、サイトが尊重しなければならない単一の端末レベル設定へ移す。Cookie を設定せずプロファイルを作らないツールに、ここで尊重すべきものはほとんどない。ゲートすべきストレージも、保持すべき同意記録もないからだ。

施行前にすべきこと

Digital Omnibus には強制力のあるものはまだ何もなく、スケジュールは最終条文の後の段階的な適用期間にわたって伸びる。だが方向は定まっており、それは単一の設計を好む。集計統計をファーストパーティで集め、何も共有せず、誰も識別せず、短く保持することだ。

あなたの分析がすでにこの水準を満たしているなら、この改革は追い風だ——アーキテクチャが法を追いかけるのではなく、法がアーキテクチャへ近づいてくる。満たしていないなら、最も安価なコンプライアンスの道はより良いバナーではない。より少なく集めることだ。

出典

• Digital Omnibus 規則案（欧州委員会）
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)