ブログに戻る
5 分で読了privacycompliancetrackingdata

Global Privacy Control は今や10州で拘束力のあるオプトアウト信号に

GPC はもはや任意ではありません。Disney との和解と3州による合同調査を経て、Sec-GPC ヘッダーは米国10州で法的拘束力を持ちます——そしてクッキーフリーのアナリティクスには遵守すべきものが何もありません。

ブラウザは今や、単一の HTTP ヘッダーで、訪問者が自分のデータの販売や共有をオプトアウトしたことをサーバーに伝えられます——そして米国10州では、それに従うことが法的に義務づけられています。その信号が Global Privacy Control(GPC) であり、1年間の執行措置を経て、それは礼儀ではなく、開発者がコードで実装しなければならない義務になりました。

ほとんどのチームは GPC 処理を1行も書いたことがありません。その欠落が今や執行の標的です。

信号が実際に何であるか

GPC は1つの選好を記述する2つの面です。ネットワーク上では HTTP リクエストヘッダーです。

Sec-GPC: 1

W3C 仕様が許可する値はちょうど1つ——リテラル文字の 1 です。このヘッダーは、GPC が有効である限りブラウザが行うすべてのリクエストで送信されます。ページ読み込み、API 呼び出し、画像やスクリプトの取得です。Sec-GPC: 0 は存在しません。ヘッダーの不在は信号なしを意味し、同意を意味しません。

JavaScript では同じ選好が navigator 上に公開されます。

const optedOut = navigator.globalPrivacyControl === true

このプロパティは、GPC がアクティブなときに true、サポートされているがオフのときに false、仕様を実装していないブラウザでは undefined を返します。サーバー側のヘッダー検出とクライアント側のプロパティ読み取りは互換ではありません。ヘッダーは JavaScript が実行される前に届くため、エッジでデータを収集するものはすべてヘッダーを読み取らなければなりません。

なぜ拘束力を持つようになったのか

ユニバーサルなオプトアウトの仕組みは、州法の波の中で任意から必須へと移行しました。カリフォルニア(CPRA)、コロラドコネチカット、デラウェア、モンタナ、ネブラスカ、ニューハンプシャー、ニュージャージー、オレゴン、テキサスは現在、適用範囲内の事業者に対し、承認されたオプトアウト選好信号を尊重することを求めており、これらの規制当局はいずれも GPC を有効なものとして指定しています。2025年半ば時点で、これは現行の法的義務を負う10州です。

執行は規則に続きました。2025年9月、カリフォルニア州プライバシー保護局、コロラド州司法長官、コネチカット州司法長官は、オプトアウト信号を無視する事業者を特に標的とした合同調査を発表し——準拠しているように見える確認を表示しながら、裏でデータ処理を続けていたサイトを名指ししました。

2026年2月、カリフォルニア州司法長官は、オプトアウト要求の尊重における体系的な不備をめぐり、The Walt Disney Company と 275万ドルの和解に達しました。これは現時点で最大の CCPA 和解です。先行する Sephora との120万ドルの和解は GPC を有効な信号として確立しました。Disney は、それを大規模に無視することが高くつくことを確立しました。

その方向性は定まっています。2025年10月に署名されたカリフォルニア州の Opt Me Out Act(AB 566) は、2027年1月1日までにブラウザ自身が組み込みのオプトアウト信号コントロールを提供することを求めています。GPC のトラフィックはここから増える一方です。

尊重するために必要なもの

データを販売または共有するアナリティクスや広告スタックにとって、実装は本物の作業です。トラッキングが発火する前にエッジでヘッダーを検出し、そのリクエストのデータ共有を抑制し——2026年1月1日に発効した CCPA 規則のもとでは——信号が単に受信されただけでなく処理されたことを実証できなければなりません。

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

難しいのは if 文ではありません。ページ上のすべてのタグ、ピクセル、コンバージョンスクリプトを監査し、それぞれが停止することを確認し、要求に応じて証拠を提示することです。典型的なサイトは、完全には制御できないオプトアウト関連のサードパーティを読み込みます。それこそが、複数州にまたがる調査が探った面です。

なぜクッキーフリーのアナリティクスはこの問題の外にあるのか

GPC は、ターゲティング広告のための個人情報の販売または共有のオプトアウトです。義務が生じるのは、訪問者がオプトアウトできる何かをあなたが行っている場合だけです。

プライバシーファーストのトラッカーは、データを販売も共有もせず、サイト横断のプロファイルを構築せず、そもそも個人識別子を一切保存しません。下流に広告取引所はなく、抑制すべきサードパーティもいません。日次の訪問者ハッシュは、共有できる安定した識別子が存在しないように、まさにそのために構築されています。

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP と User-Agent はメモリ内でのみ読み取られ、ハッシュの計算に使われた後、破棄されます。日付の入力により、ハッシュは毎日ローテーションするため、原理的にも販売できるセッション横断の同一性は存在しません。/collect エンドポイントはリクエストを受け取り、集計カウントを導出し、個人に逆引きできるものは何も保持しません。

これは、誠実さのために Sec-GPC を読み取る義務を免除するものではありません。技術的に処理すべきデータがない信号を尊重することは安価であり、意図を示します。しかしそれは、GPC コンプライアンスの高くつく部分——Disney が誤った部分——が決して適用されないことを意味します。アーキテクチャが販売可能なデータを一度も生み出さないため、停止すべきデータ販売がないのです。

両方の体制を貫くパターン

EU の「トラッキング前同意」モデルと米国の「信号によるオプトアウト」モデルは正反対に見え、手続き的にはそのとおりです。しかし両者は同じ技術的事実に収束します。どちらの体制も、永続的で個人に紐づく識別子の作成と移動を規制しているのです。GDPR はそれを設定する前に同意を求めます。州法はブラウザが事後にその販売を撤回することを認めます。

セッション横断の識別子を一度も鋳造しないシステムは、両方の問いに同じ答えを返します。同意バナーにはゲートをかけるものがなく、オプトアウト信号には執行するものがありません——規制対象がそもそも構築されなかったからです。