EDPBの2026年の取り締まり対象はあなたのプライバシー通知だ

この2年間、GDPRで高くつく論点は移り変わってきた。まず規制当局は適法な根拠があるかを監査し、次にデータを期限どおりに削除したかを監査した。そして2026年3月19日、欧州データ保護会議（EDPB）は次の一斉点検の照準を3番目の対象に合わせた。すなわち、あなたのプライバシー通知が、何を収集しているかについて正直かどうかである。

2026年共同執行アクションが監査する内容

EDPBの共同執行フレームワーク（CEF）は、毎年、域内全体で1つの共通テーマを取り上げる。2025年のアクションは消去権を検証した。2026年のアクション――5回目にあたる――は、GDPRの第12条、第13条、第14条に基づく透明性および情報提供義務を検証する。

25のデータ保護当局が参加する。その手法について、発表は率直だ。参加する各DPAは「執行措置または事実調査のいずれかを通じて、近くヨーロッパ各地のさまざまな業種の管理者に連絡する」とされている。調査結果は2026年後半にEDPBの統合報告書としてまとめられ、「各国レベルおよびEUレベルの双方で的を絞ったフォローアップ」が行われる。

これはガイダンスではない。あなたのサイトに掲載されている文書が、データベース内のデータと一致していることを示す証拠を求める、協調的な要求である。

第13条が実際に開示を求める内容

情報を提供される権利は、「当社はあなたのプライバシーを尊重します」という一文では満たされない。第13条――訪問者から直接データを収集する場合に適用される――は、収集の時点で通知が記載しなければならない事項を列挙している。

• 管理者の身元および連絡先の詳細。
• 処理の目的と、それぞれの法的根拠。
• データの受領者または受領者のカテゴリー。
• 第三国へのあらゆる移転と、それに対する保護措置。
• 保存期間、またはそれを定めるために用いる基準。
• データ主体の権利：アクセス、訂正、消去、制限、異議申立て、ポータビリティ。
• プロファイリングを含む自動意思決定の存在、および関与するロジックに関する有意義な情報。

各条項は、あなたのスタックに関する事実に対応している。通知が正確であるのは、各開示が真実である場合に限られる。事実調査が確認するのはまさにこの点だ――通知が存在するかどうかではなく、それが現実を記述しているかどうかである。

監視型アナリティクスが通知を脆弱にする理由

典型的なアナリティクスの統合をそのリストに照らしてみると、開示事項は膨らんでいく。クロスサイト識別子を持つ行動追跡タグは、名指しすべき受領者が存在することを意味する――ベンダー、その広告パートナー、その計測ネットワークである。それはたいてい、申告し保護すべき第三国移転が存在することを意味する。何カ月も訪問者を追跡し続ける安定した識別子はプロファイリングであり、自動意思決定の条項を呼び込む。保存期間はベンダーのデフォルト次第であり、あなたはそれを今や把握して正しく記載しなければならない。

これらのいずれもが、間違いうる一文である。ベンダーがサブプロセッサーを追加した瞬間、リージョンを変更した瞬間、保存期間を延長した瞬間に通知はずれていく――しかもあなたがそれに気づくことはめったにない。透明性監査のもとでは、受領者や保存期間を過少に記載した通知はタイプミスではない。それはCEFが顕在化させるために作られた、まさにその違反である。

短い通知こそ守りやすい

透明性監査を最も安く通過する方法は、開示すべきことをほとんど持たないことだ。これはコピーライティングの特性ではなく、データモデルの特性である。

クッキーを使わないトラッカーは、第13条通知のアナリティクスに関する記述を、正直な数行へと圧縮する。何も共有しないため、第三者の受領者は存在しない。識別子が持続しないため、プロファイリングは存在しない。訪問者の識別情報は、エッジでメモリ内で計算される一方向の日次ハッシュである。

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

生のIPとUser-Agentは、そのダイジェストを計算するためだけに使われ、決して書き込まれない。D1が保存するのはハッシュであり、その入力ではない。日付が入力に含まれているため、ハッシュは毎晩の深夜に更新され、記述すべきセッションをまたいだプロファイルは存在しない。保存期間は、確固として明記できる上限――ページビューは730日後に消去される――であって、わざわざ調べに行かなければならないベンダーのデフォルトではない。

その結果生じる開示は、処理が小さいがゆえに短い。曰く、当社は集計されたページビューを数え、エッジで国と大まかなデバイス種別を導出し、誰とも共有せず、プロファイルを構築せず、データを最長で2年間保持する。各条項はスキーマと照合して検証できる。

同じ取り組みの「第30条」側

訪問者に対する透明性（第12〜14条）には、内部的な双子がいる。それが処理活動の記録に関する第30条であり、当局が真っ先に求める文書である。それは目的、受領者、移転、保存期間を列挙しなければならない――公開通知と同じ事実を、管理者の側から記したものだ。

両者が食い違ったとき、その隔たりが指摘事項となる。個人識別子をいっさい保存せず、何も共有しないスタックは、両方の文書を整合させ続ける。なぜなら、どちらの側にも記録すべきことがほとんどないからだ。

プライバシー通知は、あなたのデータモデルに関する約束だ。2026年の一斉点検は、その約束が真実かどうかを確認する。最もリスクの小さい約束とは、考えなくても守れる約束である――なぜなら、本来なら説明しなければならなかったものを、そもそも一度も収集していないからだ。

出典

• EDPB、透明性および情報提供義務に関する2026年共同執行アクションを開始
• 共同執行フレームワーク：EDPBが2026年のテーマを選定
• GDPR第13条――個人データがデータ主体から収集される場合に提供すべき情報
• GDPR第30条――処理活動の記録
• ICO――情報を提供される権利