ブログに戻る
5 分で読了privacygdprcompliancetracking

クッキー法はもはやクッキーの話ではない: 第5条(3)が今カバーするもの

EDPBガイドライン2/2023はePrivacyの同意ルールをピクセル、URLトラッキング、IPのみの識別へ拡張しました。最近のCNILとGarante決定が技術中立的な読み方を確認しています。開発者に何が変わるかをご紹介します。

「クッキー法」というフレーズは常に誤称でした。ePrivacy指令の第5条(3)はクッキーという単語を一切使わず、「加入者または利用者の端末機器における情報の保存、または既に保存されている情報へのアクセスを得ること」について述べています。20年間、規制当局はクッキーが支配的なストレージメカニズムだったため、その条文を主にクッキーに適用してきました。その時代は終わりました。

2024年10月、欧州データ保護委員会は第5条(3)の技術的範囲に関するガイドライン2/2023を最終決定しました。ガイドラインは技術中立的で、トラッキングピクセル、URLベースのトラッキング、IPのみのトラッキング、固有識別子を明示的にカバーします。2026年4月、フランスのCNILとイタリアのGaranteがそのフレームワークを電子メールのピクセルトラッキングに関する拘束力ある国内ガイダンスに翻訳しました。方向性は明確です。サーバーが訪問者の端末から識別可能なシグナルを読み取ることを可能にする技術である場合、何かが書き戻されるかどうかにかかわらず、同意が必要となります。

「アクセスを得る」が今意味するもの

第5条(3)は2つの主要概念にかかっています。保存アクセスを得ることです。既存の準拠作業の多くは保存だけをトリガーとして扱います。クッキーを設定しなければ同意は不要と仮定するのです。ガイドラインはその読み方を退けます。

アクセスを得ることは、サーバーが端末に値を送り返すよう積極的に指示するときに満たされます。トラッキングピクセルは、識別子をクエリ文字列に乗せたリクエストをトリガーします。ニュースレターに埋め込まれた固有URLは受信者を解決します。同じ端末をセッション横断で追跡するために使用されるIPアドレスもまたアクセスです。値は端末のネットワークスタックから発生し、すべてのリクエストで送信されます。

重要なのはメカニズムであり、永続化形式ではありません。サーバー側のデータベースに保存されたフィンガープリントは、ブラウザに保存されたクッキーと同等に扱われます。

なぜこれがアナリティクスツールの地図を書き換えるのか

多くのプライバシー重視のアナリティクスツールは、ガイドラインが現在カバーするパターンに依然として依存しながらクッキーフリーをうたっています。

  • サーバー側クッキーとCHIPSスタイルのパーティション化された識別子。 クッキーをパーティション化されたコンテキストやファーストパーティのサーバー側ストアに移動しても、アクセスの問題は変わりません。同じ識別子が訪問をまたいでアナリティクスサーバーに届くなら、依然としてアクセスです。
  • IP由来の訪問者ID。 IPをハッシュ化し、そのハッシュを日をまたぐ安定した識別子として使うツールは、端末から発生する情報にアクセスしています。EDPBの助言は明確です。管理者がIPがユーザーの端末機器から発生していないことを示せない限り、同意が必要となります。
  • ピクセルベースの開封・閲覧トラッキング。 CNILの決定第2026-042号(2026年4月14日)とGaranteの2026年4月17日ガイドラインは、電子メールの個別の開封トラッキングについて、メール送信前に明示的かつ別個の同意を要求します。

共有されるパターンは、訪問、セッション、またはメッセージをまたいで存続する安定した識別子です。ストレージレイヤーが何であれ、クッキーと同じ規制リスクを生み出します。

準拠した収集のための技術的テスト

ガイドラインは狭い回廊を残しています。サーバーが保存する値が時間をまたいで特定の端末に解決できない集計シグナルです。コレクションエンドポイントへのリクエストが運ぶ値は3つのカテゴリーに分類されます。

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

カテゴリー1はTCP/HTTPでは避けられません。問題はカテゴリー3がどう見えるかです。導出値が永続識別子(ハッシュ化されていても、ソルト付きでも)であればアクセスです。導出値が制限された時間枠内でリセットされ、時間枠をまたいで相関付けできなければ、EDPBの分析は集計として扱います。

Monoidの日次訪問者ハッシュはこのテストに対して設計されています。

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IPとUser-Agentはハッシュ計算のためにメモリ内でのみ使用され、その後破棄されます。日付の入力により、同じ訪問者は明日異なるハッシュを生成します。設計上、アクセスする日をまたぐ識別子はありません。1日以内ではハッシュは集計カウントのために訪問者を重複排除します。日をまたぐと、敵対者や規制当局が再構築するものは何もありません。

コレクションエンドポイントで重要なヘッダー

ファーストパーティのエッジコレクターでは2つのHTTPヘッダーがプライバシー面のほとんどを担い、意図的に設定すべきです。

Referrer-Policy: strict-origin-when-cross-originは最新のChromeのデフォルトであり、クロスオリジンリクエストではオリジンのみを送信します。unsafe-urlno-referrer-when-downgradeは避けてください。どちらも不必要にパス情報を漏らします。

Permissions-Policyはアナリティクストラッカーが必要としない機能を明示的に拒否すべきです。

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

位置情報、音声、デバイスセンサーを要求できないトラッカーは、ページを共有する侵害されたサードパーティスクリプトによってそれらを強制されることもありません。

今四半期に開発者が監査すべきこと

3つの質問が監査を前進させます。

  1. アナリティクスサーバーが保存するいずれかの値が、25時間の時間枠で同じ訪問者を識別することを可能にするか? もしそうなら、デプロイメントは現在第5条(3)の同意を必要とする可能性が高いです。
  2. ピクセルとURL識別子がトランザクションまたはマーケティング電子メールで使用されているか? CNILとGaranteのガイダンスの下、個別の開封トラッキングはメール送信前に別個の明示的な同意を必要とします。
  3. コレクションエンドポイントは厳格なReferrer-Policyとデフォルト拒否のPermissions-Policyを設定しているか?

「クッキーバナー」の問題はより根本的な問題の下流にあります。データモデルがそもそもクロスセッション識別子を生成するか否か。答えがノーなら、第5条(3)の仕組み全体(同意、撤回、処理記録)は発動しません。規制の技術的トリガーが引かれることがなかったためです。