2σ Guide

越境サービスにおける
Cookie規制の違い

対象国、ユーザー所在地、Cookieの目的、第三者提供、広告利用、子ども・センシティブ情報、越境移転の有無によって変わる実務対応を、企業法務とプライバシー実務の観点から整理します。

3層端末保存・個人データ・広告利用
12法域日本・EU・米国など主要法域
5段階棚卸し・実装・監査まで対応
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

越境サービスにおける Cookie規制の違い

同意の要否だけでなく、端末アクセス、個人データ、広告・第三者提供を分けて確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
越境サービスにおける Cookie規制の違い
同意の要否だけでなく、端末アクセス、個人データ、広告・第三者提供を分けて確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 越境サービスにおける Cookie規制の違い
  • 同意の要否だけでなく、端末アクセス、個人データ、広告・第三者提供を分けて確認します。

POINT 1

  • 越境サービスにおけるCookie規制の違いは 三層で整理する
  • 1. 対象国・ユーザー所在地を確認:EU域内ユーザー、英国、米国州、中国内個人、日本向けサービスなど、適用可能性を分けます。
  • 2. 端末保存・読取があるか:Cookie、ピクセル、SDK、ローカルストレージ、広告ID、フィンガープリンティングを棚卸しします。
  • 3. 同意・販売共有・信号処理を確認:EU・英国では事前同意、米国では販売・共有やGPC、子ども・センシティブ情報を確認します。
  • 4. 情報提供と最小化を確認:ログイン、セキュリティ、決済などでも、目的外利用や第三者送信の透明性を確認します。

POINT 2

  • 越境サービスのCookie規制で使う用語と類似技術
  • EU・英国では端末アクセス自体が問題
  • 日本では個人関連情報の整理が必要
  • Cookie等の端末識別子が個人情報に該当しない場合でも、通常は個人関連情報に該当し得ます。

POINT 3

  • 越境サービスにおけるCookie規制の主要法域マップ
  • 主要法域を横断して、同意、通知、オプトアウト、越境移転の違いを一覧化します。
  • 越境サービスでは、同じCookieや広告タグでも、法域ごとに規制の中心が異なります。
  • 次の割合の比較は、12法域を実務上の主たる対応軸で大まかに分類したもので、棒の高さが確認すべき比重を示します。

POINT 4

  • 日本のCookie規制は個人関連情報と外部送信規律が中核
  • 日本では全Cookieの一律事前同意より、送信先・目的・送信情報の透明性が重要です。
  • 日本では全Cookieに事前同意という制度ではない
  • 外部送信規律は送信先・目的・送信情報を見せる実務
  • 外国第三者提供もCookie対応で見落としやすい

POINT 5

  • EU・英国のCookie規制は端末保存・読取の事前同意が出発点
  • 拒否ボタンが同じ階層にない
  • 同意するボタンは目立つが、拒否するには複数階層を開く設計は問題になりやすいです。
  • 同意前に広告タグが発火する
  • Cookieバナーを表示していても、非必須タグが先に発火していれば重大な不備です。

POINT 6

  • 米国・カナダのCookie規制は販売共有・信号処理・意味ある同意を分ける
  • 米国州法、FTC、COPPA、カナダのオンライン行動広告を、同意だけでなく拒否権から整理します。
  • 米国 ― 包括的な連邦Cookie同意法ではなく州法とFTCが中心
  • 販売・共有とGPC
  • ターゲティング広告とユニバーサル信号

POINT 7

  • ブラジル・中国・アジア太平洋のCookie規制は個人データ処理として読む
  • LGPD、PIPL、PDPA、Privacy Act、DPDP、PIPA、PDPOを、通知・同意・越境提供から確認します。
  • Cookie名ではなくデータ処理の実態を確認する
  • 次の重要ポイントは、上記の法域を実装に落とし込むときの共通注意点を示しています。

POINT 8

  • 越境サービスのCookie類型別対応マトリクス
  • 厳格必要、解析、広告、SNS、フィンガープリンティングなどを目的別に分類します。
  • Cookie規制を現場に落とし込むには、Cookieやタグを目的別に分類する必要があります。

まとめ

  • 越境サービスにおける Cookie規制の違い
  • 越境サービスにおけるCookie規制の違いは 三層で整理する:同意の要否だけでなく、端末アクセス、個人データ、広告・第三者提供を分けて確認します。
  • 越境サービスのCookie規制で使う用語と類似技術:Cookie IDが個人名を含まなくても、安全とは限らない理由を整理します。
  • 越境サービスにおけるCookie規制の主要法域マップ:主要法域を横断して、同意、通知、オプトアウト、越境移転の違いを一覧化します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

越境サービスにおけるCookie規制の違いは
三層で整理する

同意の要否だけでなく、端末アクセス、個人データ、広告・第三者提供を分けて確認します。

越境サービスにおけるCookie規制の違いを理解するうえで最初に押さえるべき点は、Cookie規制が単一の法律分野ではないことです。Cookieという技術そのものを規制する国もあれば、Cookieを通じて取得される識別子、閲覧履歴、広告ID、位置情報、購買履歴、健康・金融・子どもに関するデータなどを個人情報又は個人データとして規制する国もあります。

さらに、広告目的で第三者にデータを提供する行為を、販売、共有、第三者提供、越境移転として規制する国もあります。したがって、Cookieバナーを出せばよい、個人名を取得していないから対象外である、海外ユーザーにはGDPRだけ見ればよい、という整理は実務上危険です。

次の三つの観点は、越境Cookie規制を初期評価するときの基本単位を示しています。端末に何を保存・読取するか、取得後に個人データとしてどう処理するか、広告や第三者提供にどう使うかを分けて読むと、必要な同意、通知、オプトアウト、契約対応の場所が見えます。

Layer 01

端末への保存・読取

Cookie、ローカルストレージ、ピクセル、SDK、デバイス識別子、フィンガープリンティングなどにより、ユーザー端末に情報を保存し、又は端末内情報へアクセスする行為を確認します。EU・英国ではこの層が特に重要です。

Layer 02

個人情報・個人データ処理

Cookie IDや広告IDが、単体又は他情報との照合により個人に関する情報となる場合、取得、利用、共有、保管、削除、開示、委託、共同利用、越境移転などの規制を確認します。

Layer 03

広告・プロファイリング・第三者提供

行動ターゲティング広告、リターゲティング、コンバージョン計測、DMP・CDP連携、アプリ内広告SDK、SNSプラグインでは、販売・共有、第三者提供、子ども・センシティブ情報、オプトアウト信号への対応を確認します。

重要対象国、ユーザー所在地、サービスの向け先、Cookieの目的、第三者提供の有無、広告利用の有無、子ども・センシティブ情報の有無、越境移転の有無によって結論が変わります。個別の実装判断は、対象法域の最新法令、当局ガイドライン、契約、技術仕様を確認する必要があります。

次の判断の流れは、ページ初期表示からタグ発火までの確認順序を示しています。順番を決めておくことは、法務、マーケティング、開発が同じ前提で議論するために重要であり、どの分岐で同意、通知、拒否手段、契約レビューが必要になるかを読み取れます。

越境Cookie規制の判断の流れ

対象国・ユーザー所在地を確認

EU域内ユーザー、英国、米国州、中国内個人、日本向けサービスなど、適用可能性を分けます。

端末保存・読取があるか

Cookie、ピクセル、SDK、ローカルストレージ、広告ID、フィンガープリンティングを棚卸しします。

広告・追跡あり
同意・販売共有・信号処理を確認

EU・英国では事前同意、米国では販売・共有やGPC、子ども・センシティブ情報を確認します。

厳格必要中心
情報提供と最小化を確認

ログイン、セキュリティ、決済などでも、目的外利用や第三者送信の透明性を確認します。

Section 01

越境サービスのCookie規制で使う用語と類似技術

Cookie IDが個人名を含まなくても、安全とは限らない理由を整理します。

Cookieとは何か

Cookieとは、Webサイト又はアプリに関連して、ユーザーのブラウザや端末に保存される小さな情報ファイル又は識別情報をいいます。代表的な用途は、ログイン状態の維持、ショッピングカート、セッション管理、セキュリティ、言語設定、アクセス解析、広告配信、リターゲティング、コンバージョン計測です。

現代の規制実務ではCookieだけを見ていると漏れが生じます。次の比較表は、Cookieと同じように識別・追跡・計測に使われる技術の違いを示しており、対象技術ごとに透明性、同意、第三者提供、オプトアウトの論点を読み取ることが重要です。

技術概要典型的リスク
ファーストパーティCookie自社ドメインが発行するCookieです。ログイン、設定、アクセス解析に使われます。目的により低リスクにも高リスクにもなります。
サードパーティCookie第三者ドメインが発行又は読み取るCookieです。広告ネットワーク、リターゲティング、クロスサイト追跡に使われ、多くの法域で高リスクです。
ピクセルタグ画像又はJavaScriptなどを通じて閲覧、クリック、購入、フォーム入力などを送信する仕組みです。利用者に見えにくい形で第三者へデータを送るため、透明性、同意、第三者提供が問題になりやすいです。
SDKアプリに組み込まれる外部ライブラリです。アプリ利用状況、広告ID、位置情報、端末情報の送信が問題になります。
ローカルストレージブラウザ内に情報を保存する仕組みです。Cookieでなくても端末保存・読取規制の対象になり得ます。
デバイスフィンガープリンティング端末・ブラウザの特徴量を組み合わせて識別する手法です。同意回避的な追跡として高リスクで、拒否が困難な場合があります。
広告IDモバイル広告識別子などです。行動広告、アプリ横断追跡、オプトアウト信号との連携が問題になります。

Cookie IDが個人名を含まない場合の注意点

次の三つの理由は、Cookie IDが氏名やメールアドレスを直接含まない場合でも規制対象外と断定できない理由をまとめたものです。越境サービスでは、端末アクセス規制、個人関連情報、販売・共有のいずれかで問題になる可能性を読み取ることが重要です。

EU・英国では端末アクセス自体が問題

Cookie等の保存又は読取そのものが規制されるため、保存・アクセスされる情報が個人データかどうかにかかわらず、原則として同意が問題になります。

日本では個人関連情報の整理が必要

Cookie等の端末識別子が個人情報に該当しない場合でも、通常は個人関連情報に該当し得ます。提供先が個人データとして取得する想定があれば、本人同意の確認などが問題になります。

米国では販売・共有になり得る

永続的識別子、閲覧履歴、広告識別子が個人情報に含まれ、広告目的の第三者提供が販売又は共有と評価される場合があります。

同意とオプトアウトの違い

同意とは、利用者が事前に明確な情報提供を受けたうえで、特定の処理を認める意思表示をすることです。EU・英国では、広告Cookieや多くの解析Cookieについて、原則として事前同意が中心になります。中国、インド、ブラジル、シンガポール等でも、個人情報処理の根拠として同意が重要になる場面があります。

オプトアウトとは、事業者が一定の処理を行う前提で、利用者が拒否できる仕組みです。米国の州プライバシー法では、行動ターゲティング広告、販売、共有などについて、オプトアウト権、Global Privacy Control、Universal Opt-Out Mechanismsへの対応が重要です。カナダのオンライン行動広告では、非センシティブ情報で、分かりやすく、容易で、持続的なオプトアウトが可能な場合に、オプトアウト型同意が認められ得ます。

Section 02

越境サービスにおけるCookie規制の主要法域マップ

主要法域を横断して、同意、通知、オプトアウト、越境移転の違いを一覧化します。

越境サービスでは、同じCookieや広告タグでも、法域ごとに規制の中心が異なります。次の比較表は、主要法域ごとの規制軸と基本対応を示しており、どの国では事前同意が中心で、どの国では通知・外部送信・販売共有・個人データ処理が中心になるかを読み取ることが重要です。

法域規制の中心非必須Cookieの基本対応第三者広告・プロファイリング越境サービス上の注意点
日本個人情報保護法、電気通信事業法の外部送信規律一律の事前Cookie同意制ではありません。ただし個人関連情報、第三者提供、外部送信通知などが問題になります。第三者タグ、広告ID、個人関連情報の提供先利用、本人同意確認が重要です。海外広告ベンダーへの送信、外国第三者提供、利用目的・提供先・送信情報の表示を確認します。
EU/EEAePrivacy指令、GDPR、各加盟国法端末保存・読取は原則事前同意です。通信伝達・厳格必要Cookieは例外です。GDPR上の適法根拠、透明性、DPIA、越境移転、共同管理者性が問題です。EUにいるユーザー又はEU向けサービス・モニタリングなら域外適用の可能性があります。
英国PECR、UK GDPR、Data Protection Act、DUAA 2025原則同意です。DUAA後は統計・表示設定などの例外が拡張されています。同意、透明性、拒否容易性、オプトアウト、UK GDPRの処理根拠が問題です。EUと近い設計を基礎に、2025年以降の例外拡張を確認します。
米国州プライバシー法、FTC法、COPPA、州別消費者保護法連邦一般法としてのCookie同意義務はありませんが、州ごとに通知・オプトアウトが問題になります。販売、共有、ターゲティング広告、GPC/UOOM、センシティブ情報、子どもが中心です。カリフォルニア、コロラド、コネチカット等の信号対応とFTCのピクセル監視に注意します。
カナダPIPEDA、州法、OPCガイドライン意味ある同意が必要です。オンライン行動広告では条件付きでオプトアウト型同意があり得ます。センシティブ情報・子ども・追跡拒否不能技術は高リスクです。明確な通知、容易で持続的なオプトアウト、子ども向け追跡回避が重要です。
ブラジルLGPD、ANPD Cookieガイド個人データ処理として透明性・目的限定・最小化・同意などを確認します。Cookieポリシー、バナー、撤回、データ主体権利が重要です。ポルトガル語表示、法的根拠、国外移転、ANPDガイドに沿う設計が必要です。
中国PIPL、データ越境移転規制、広告・アルゴリズム関連規制Cookie特化法ではなく、個人情報処理として通知・同意などを確認します。第三者提供、個別同意、センシティブ個人情報、未成年、越境提供が重要です。中国内個人へのサービス提供・行動分析では域外適用、越境提供の通知・個別同意などを確認します。
シンガポールPDPA、PDPCガイドライン個人データを収集しないCookieは同意不要とされます。個人データを伴う行動ターゲティングは同意が必要です。第三者が収集する場合の責任分担、通知・同意が問題です。Cookie固有法よりPDPAの通知・同意・目的合理性で整理します。
オーストラリアPrivacy Act、APP、OAICガイダンスCookie・ピクセルは禁止されていませんが、個人情報収集の透明性・公正性が重要です。センシティブ情報の第三者送信、隠れたピクセル、最小化、通知が問題です。医療・金融・子ども領域での追跡ピクセルに注意します。
インドDPDP Act 2023、DPDP Rules 2025Cookie特化法ではありません。デジタル個人データなら通知・同意などを確認します。同意通知、目的特定、同意管理、子ども・重要データ受託者が問題です。2025年規則の段階的施行を踏まえた実装ロードマップが必要です。
韓国PIPA、オンライン行動広告・行動情報に関する当局政策行動情報・個人情報処理方針の透明性が重視されます。行動ターゲティング広告、処理方針、ユーザー権利が問題です。当局が行動情報処理の調査・ガイドライン改定を進めており、最新確認が必要です。
香港PDPO、PCPDオンライン追跡ガイダンス個人データを収集するオンライン追跡ではPDPO遵守が必要です。透明性、目的、第三者提供、保管期間が問題です。Cookie固有の包括的同意制より、個人データ該当性と透明性が重要です。

このページで扱う法域は、同意中心、通知・透明性中心、販売共有・オプトアウト中心、個人データ処理中心に分けて見ると整理しやすくなります。次の割合の比較は、12法域を実務上の主たる対応軸で大まかに分類したもので、棒の高さが確認すべき比重を示します。

42%
同意中心
33%
通知・透明性
17%
販売共有・信号
8%
個別同意・越境提供
Section 03

日本のCookie規制は個人関連情報と外部送信規律が中核

日本では全Cookieの一律事前同意より、送信先・目的・送信情報の透明性が重要です。

日本では全Cookieに事前同意という制度ではない

日本法は、EUのように、あらゆる非必須Cookieについて包括的な事前同意を求める制度ではありません。重要なのは、個人情報保護法上の個人情報・個人関連情報の整理と、電気通信事業法上の外部送信規律への対応です。

Cookie IDや広告IDが、単体又は容易照合により特定個人を識別できる場合には、個人情報になり得ます。他方、個人情報に該当しないCookie等の端末識別子であっても、通常は個人関連情報と考えられます。提供元が第三者に個人関連情報を提供し、提供先が個人データとして取得することが想定される場合、提供元は本人同意が得られていることなどを確認する必要があります。

外部送信規律は送信先・目的・送信情報を見せる実務

日本の外部送信規律では、一定のオンラインサービスにおいて、利用者の端末から第三者に利用者情報を送信させる指令を行う場合、送信される情報の内容、送信先、送信先における利用目的などを通知し、又は容易に知り得る状態に置くことが求められます。次の表は、外部送信ポリシーで整理されることが多い表示項目を示しており、タグ単位で何を記録すべきかを読み取ることが重要です。

表示項目実務上の記載例
送信先広告配信事業者、アクセス解析事業者、SNS事業者、決済関連事業者など。
送信される情報Cookie ID、広告ID、IPアドレス、閲覧URL、リファラ、端末情報、イベント情報など。
送信先の利用目的広告配信、広告効果測定、アクセス解析、不正検知、サービス改善など。
自社の利用目的利用状況分析、広告効果測定、マーケティング、セキュリティなど。
停止方法ブラウザ設定、広告事業者のオプトアウトページ、同意管理画面など。

外国第三者提供もCookie対応で見落としやすい

越境サービスでは、広告配信事業者、解析事業者、CDN、CRM、MAツール、データウェアハウスなどが海外に所在することが多くあります。日本の個人情報保護法上、個人データを外国にある第三者へ提供する場合、同意を根拠にするのであれば、原則として、本人に対し、外国の名称、当該外国の個人情報保護制度に関する情報、第三者が講ずる保護措置に関する情報を提供したうえで同意を取得する必要があります。

次の実務項目一覧は、日本向けサービスで最低限確認すべき作業を示しています。順番に確認することは、Cookie同意の有無だけに議論が寄ることを防ぐために重要であり、個人関連情報、外部送信、外国第三者提供のどこに検討漏れがあるかを読み取れます。

1

技術の棚卸し

Cookie、タグ、SDK、外部送信先を一覧化します。

初期調査
2

表示情報の文書化

送信情報、送信先、送信先の利用目的、自社の利用目的、停止方法を記録します。

透明性
3

法的分類の整理

個人情報、個人関連情報、統計情報、委託、共同利用、第三者提供を区別します。

分類
4

海外ベンダーの根拠確認

外国第三者提供、委託、共同利用、基準適合体制などの根拠を整理します。

越境移転
Section 04

EU・英国のCookie規制は端末保存・読取の事前同意が出発点

ePrivacy、GDPR、PECR、UK GDPRを重ねて、同意前発火や拒否容易性を確認します。

EU/EEA ― ePrivacyとGDPRが重なる厳格モデル

EU/EEAでは、Cookie規制の出発点はePrivacy指令です。ユーザー端末に情報を保存し、又はすでに保存された情報へアクセスする場合、明確かつ包括的な情報提供をしたうえで、原則としてユーザーの同意を得る必要があります。例外は、通信の伝達のために厳密に必要な場合、又は利用者が明示的に要求したサービスを提供するために厳密に必要な場合です。

Cookieを通じて個人データを処理する場合には、GDPRも適用されます。処理の適法根拠、透明性、データ主体の権利、保存期間、委託先管理、共同管理者、DPIA、越境移転が問題になります。広告Cookie、リターゲティング、プロファイリング、クロスサイト追跡、データブローカー連携では、同意の自由性、特定性、情報提供、明確な意思表示、撤回の容易性が厳しく見られます。

EUのCookieバナー実務では、画面文言よりも実際のタグ発火と選択のしやすさが問題になります。次のリスク一覧は、当局執行で問題になりやすい設計をまとめており、同意ボタン、拒否ボタン、初期設定、撤回導線、ベンダー透明性のどこを点検すべきかを読み取れます。

拒否ボタンが同じ階層にない

同意するボタンは目立つが、拒否するには複数階層を開く設計は問題になりやすいです。

同意前に広告タグが発火する

Cookieバナーを表示していても、非必須タグが先に発火していれば重大な不備です。

事前チェック済み設定

広告Cookieやプロファイリングが初期状態でオンになっている設計は、有効な同意として扱われにくいです。

撤回が難しい

同意取得後に設定変更や撤回が困難な場合、同意の有効性や透明性が問題になります。

加盟国差と域外適用

EUではePrivacy指令が各加盟国法に実装されているため、基本原則は共通していても、細部は国ごとに異なります。フランス、ドイツ、アイルランド、スペイン、イタリアなどのガイドラインを確認する必要があります。EU全域を対象にするサービスでは、非必須Cookieは事前同意、拒否は容易、同意前ブロック、撤回容易、ベンダー透明性を満たす厳格設計が実務的に安全です。

EU域外企業であっても、EU域内の個人に商品・サービスを提供する場合、又はEU域内の個人の行動をモニタリングする場合、GDPRの域外適用を受け得ます。Cookie、広告ID、ピクセル、SDKを用いてEUユーザーのオンライン行動を追跡する場合、モニタリングに該当する可能性があります。

英国 ― PECR、UK GDPR、DUAA 2025後の例外

英国では、EU離脱後もCookie規制の基本構造はEUに近いままです。PECRは、Cookieその他の保存・アクセス技術について、原則としてユーザーへの情報提供と同意を求めます。UK GDPR上の同意基準も問題になります。

DUAA 2025により、英国では保存・アクセス技術に関する例外が拡張されています。次の比較表は、例外として整理される場面と実務上の制約を示しており、例外に該当し得る場合でも、明確な情報提供や簡単な拒否手段が必要になる点を読み取ることが重要です。

英国で確認する例外実務上の読み方
通信伝達通信を成立させるために厳密に必要な保存・アクセスは例外になり得ます。
厳格必要利用者が明示的に求めたサービス提供に厳密に必要な場合は例外になり得ます。
統計目的DUAA後に例外が拡張されていますが、情報提供と簡単な拒否手段が必要です。
外観・機能の適応表示設定や機能適応でも、例外の範囲を過度に広げない確認が必要です。
緊急支援緊急支援目的の保存・アクセスは限定的に確認します。
Section 05

米国・カナダのCookie規制は販売共有・信号処理・意味ある同意を分ける

米国州法、FTC、COPPA、カナダのオンライン行動広告を、同意だけでなく拒否権から整理します。

米国 ― 包括的な連邦Cookie同意法ではなく州法とFTCが中心

米国では、EUのePrivacy指令のような包括的Cookie同意法はありません。連邦取引委員会による不公正・欺瞞的行為の規制、COPPAによる子ども規制、州プライバシー法、州消費者保護法、医療・金融などのセクター法が組み合わさります。

次の項目一覧は、米国向けCookie対応で確認すべき主要論点を示しています。米国ではCookieバナーの有無だけでなく、販売・共有、ターゲティング広告、GPC/UOOM、子ども、センシティブ情報、FTCのダークパターン監視を分けて読むことが重要です。

California

販売・共有とGPC

CCPA/CPRAでは、Cookie、ピクセル、広告ID等を通じて個人情報を広告事業者に提供し、それが販売又は共有に該当する場合、オプトアウト権とGPC対応が重要になります。

State Laws

ターゲティング広告とユニバーサル信号

コロラド、コネチカット、バージニア等では、ターゲティング広告、販売、プロファイリングについてオプトアウト権が定められています。州ごとに対象事業者、対象データ、応答期限、評価義務が異なります。

FTC

ピクセルとダークパターン

医療、金融、子ども、機微な相談、位置情報、ログイン後ページでのピクセル利用は高リスクです。表示と実装の一致、センシティブ情報の送信防止、拒否後のタグ停止が重要です。

COPPA

子どもの永続的識別子

13歳未満の子どもを対象とするサービスなどでは、Cookie番号、IPアドレス、端末識別子等の永続的識別子も個人情報に含まれ得ます。

カナダ ― 意味ある同意と条件付きオプトアウト

カナダでは、PIPEDA及び州法が中心です。オンライン行動広告について、個人情報の収集・利用には意味ある同意が必要であるとされつつ、一定条件下ではオプトアウト型同意も合理的になり得るとされています。

次の比較表は、カナダでオプトアウト型同意を検討する場合の主な条件を示しています。形式的な拒否リンクでは足りず、利用者が理解でき、簡単に拒否でき、その拒否が持続的に効くかを読み取ることが重要です。

条件確認ポイント
目的の明確性オンライン行動広告の目的が、分かりやすい形で示されているか。
収集時又は収集前の情報提供データ取得の前後関係が利用者に分かるか。
第三者の明示関与する広告・解析事業者が示されているか。
容易な拒否オプトアウトが分かりやすく、即時かつ持続的に効くか。
非センシティブ情報への限定センシティブ情報、子ども、追跡拒否が困難な技術を含めていないか。
Section 06

ブラジル・中国・アジア太平洋のCookie規制は個人データ処理として読む

LGPD、PIPL、PDPA、Privacy Act、DPDP、PIPA、PDPOを、通知・同意・越境提供から確認します。

EU・米国以外の法域では、Cookieそのものを包括的に規制するよりも、個人データ処理、通知、同意、越境提供、センシティブ情報、子ども保護として整理する国が多くあります。次の比較表は、ブラジル、中国、シンガポール、オーストラリア、インド、韓国、香港の実務上の読み方を示しており、Cookieバナーだけでは足りない要件を読み取ることが重要です。

法域主な特徴越境サービスでの対応
ブラジルLGPDが個人データ処理の基本法です。ANPD Cookieガイドは、Cookieの種類、LGPDの原則、Cookieポリシーやバナーの実務を説明しています。ポルトガル語表示、法的根拠、目的限定、必要性、透明性、撤回可能性、国外移転を確認します。
中国PIPLを中心に考えます。中国内個人への商品・サービス提供又は行動分析では、国外処理にも域外適用され得ます。中国語のプライバシー通知、個別同意、越境移転手続、データローカライゼーション関連規制、未成年者保護を確認します。
シンガポールPDPAが中心です。個人データを収集しないCookieは同意不要とされる一方、行動ターゲティングが個人データの収集・利用を伴う場合は同意が必要です。通知義務、同意義務、目的制限義務、保護義務、移転制限義務に合わせてCookieポリシーを設計します。
オーストラリアPrivacy ActとAPPが中心です。第三者追跡ピクセルは、透明性、公正な収集、データ最小化、センシティブ情報の送信防止が重要です。医療、金融、子ども、位置情報、ログイン後ページ、フォーム入力画面での第三者ピクセルを重点確認します。
インドDPDP Act 2023とDPDP Rules 2025が中心です。Cookie、広告ID、ピクセル、SDK等を通じたデジタル個人データ処理が問題になります。通知、同意、目的特定、データ主体の権利、子ども、重要データ受託者、データ侵害通知、越境移転を継続確認します。
韓国PIPAを中心に、オンライン行動広告や行動情報の透明性が重要です。行動情報の収集、広告事業者との共有、プライバシーポリシー表示、ユーザー権利への対応を確認します。
香港PDPOが中心です。オンライン追跡が個人データを収集する場合、データ保護原則、目的通知、第三者提供、保管期間、セキュリティ、データ主体権利が問題になります。包括的Cookie同意制より、個人データ該当性と透明性を確認します。

次の重要ポイントは、上記の法域を実装に落とし込むときの共通注意点を示しています。地域ごとの法令名が違っても、利用目的、送信先、データ種別、越境提供、撤回・拒否手段の五つを並べて確認すれば、設計漏れを早期に発見できます。

Cookie名ではなくデータ処理の実態を確認する

Cookie、ピクセル、SDK、広告ID、サーバーサイドタグ、データクリーンルームなど名称が変わっても、個人情報処理、追跡、広告利用、第三者共有、越境提供の実態があれば規制対象になり得ます。

Section 08

越境Cookie規制の設計方針は地域別最適化と厳格化を組み合わせる

全世界同意モデル、地域別最適化、ハイブリッドモデルの長所と限界を整理します。

越境サービスのCookie対応は、全世界で厳格にする方法と、国・地域ごとに最適化する方法があります。次の比較一覧は三つの設計方針を示しており、マーケティング上の柔軟性、実装複雑性、監査しやすさ、固有要件への対応漏れを読み取ることが重要です。

Model 01

グローバル厳格化

全世界で非必須Cookie・広告タグ・第三者解析タグを同意前に停止し、明示同意後だけ発火させます。EU・英国・ブラジル・中国・インド等の同意志向規制に整合しやすい一方、米国の販売・共有オプトアウトや日本の外部送信表示は別途必要です。

Model 02

地域別最適化

EU・英国では事前同意、日本では外部送信表示、米国では州別オプトアウト、カナダでは意味ある通知と持続的拒否、中国・インド等では個人データ同意・通知を切り替えます。柔軟ですが、実装・運用・監査が複雑です。

Model 03

ハイブリッド

同意志向の国では非必須Cookieの事前同意、米国では販売・共有・ターゲティング広告のオプトアウトと信号処理、日本では外部送信ポリシーを重ねます。多くの企業で現実的な設計です。

次の判断の流れは、対象サービスでどの設計方針を採るかを決めるための順番を示しています。市場、データ種別、広告利用、子ども・センシティブ領域を先に確認することが重要であり、どの分岐でグローバル厳格化を優先すべきかを読み取れます。

設計方針を決める判断の流れ

対象市場を特定

EU・英国・米国州・中国・日本など、向け先とユーザー所在地を確認します。

広告・第三者解析の有無を確認

リターゲティング、SNSピクセル、アプリ広告SDK、データ連携があるかを確認します。

高リスク領域あり
厳格化を優先

子ども、健康、金融、採用、相談、位置情報では、国を問わず広告・第三者ピクセルの停止を基礎にします。

一般領域中心
地域別に調整

EU・英国は同意前ブロック、米国は信号処理、日本は外部送信表示を組み合わせます。

Section 09

越境サービスのCookie規制チェックリスト

法務、プライバシー、開発、マーケティングが共同で確認する作業を整理します。

Cookie対応は法務部だけでは完結しません。次の実務項目一覧は、初期調査から監査までの共同作業を示しており、どの部門が何を確認し、どの証跡を残すべきかを読み取ることが重要です。

1

初期調査

対象国・地域、対象ユーザー、言語、配送先、課金通貨、アプリ配信地域を確認します。Webサイト、アプリ、LP、フォーム、ログイン後画面、メール、広告配信面を棚卸しします。

調査
2

技術棚卸し

Cookie、タグ、SDK、ピクセル、ローカルストレージ、フィンガープリンティング、広告IDの一覧を作成し、発行者、ドメイン、ベンダー、取得情報、利用目的、保存期間、第三者送信先を記録します。

タグ監査
3

法的分類

厳格必要、設定、解析、広告、SNS、セキュリティなどに目的分類し、個人情報、個人関連情報、個人データ、センシティブ情報、子どもデータ、第三者提供、委託、共同管理者、越境移転を整理します。

法的評価
4

UI・同意管理

EU・英国向けでは非必須Cookieを同意前に発火させず、同意する、拒否する、詳細設定を分かりやすく表示します。米国向けではGPC/UOOMを検知し、販売・共有・ターゲティング広告を停止します。

実装
5

文書化

プライバシーポリシー、Cookieポリシー、外部送信ポリシー、米国州別通知、子ども向け通知を整備します。日本向けには送信情報、送信先、送信先の利用目的を表形式で示します。

文書
6

ベンダー管理と監査

広告・解析・CRM・CDP・DMP・A/Bテスト・チャット・決済・不正検知ベンダーを一覧化し、DPA、SCC、再委託、保存期間、削除、監査権を確認します。四半期又は半期ごとにタグ棚卸しを更新します。

運用

同意管理では画面だけでなく、ネットワークログ、タグマネージャー、サーバーサイド計測、広告SDKの動作確認が必要です。同意前発火テスト、GPC信号テスト、拒否後タグ停止テストを行い、新規マーケティング施策にはタグ導入前の法務・プライバシーレビューを組み込みます。

Section 10

越境Cookie規制の失敗事例とモデルCookieポリシー骨子

典型的な不備を避け、ポリシー文書に入れるべき項目を整理します。

Cookie対応の失敗は、法令理解の不足だけでなく、表示と実装の不一致、タグ管理の属人化、センシティブページでの第三者ピクセル利用から起きます。次のリスク一覧は典型的な失敗事例を示しており、自社サイトで同じ状態がないかを読み取ることが重要です。

Cookie IDは個人名ではないから問題ないと判断

EU・英国では端末保存・読取規制、日本では個人関連情報、米国では永続的識別子や閲覧履歴が問題になり得ます。

同意前にタグが発火している

Cookieバナーを表示していても、ページ読み込み時に広告タグや解析タグが先に発火していれば不備です。

拒否が困難な設計

同意はワンクリックだが拒否は詳細設定の奥にある設計は、EUの当局実務上問題になりやすいです。

米国でGPCを無視する

カリフォルニアやコロラド等の州法により、GPC/UOOM信号への対応が必要になる場合があります。

日本で外部送信ポリシーがない

利用者端末から第三者へ送信される情報、送信先、利用目的の透明性が不足します。

センシティブページに広告ピクセルを入れる

医療、金融、法律相談、採用、子ども、位置情報、ログイン後ページでは特に高リスクです。

モデルCookieポリシーでは、技術の名称だけでなく、目的、同意の要否、主な送信先、保存期間、停止方法を整理します。次の分類表は、ポリシーに入れる項目の骨子を示しており、利用者が何に同意し、何を拒否できるかを読み取れる構成にすることが重要です。

分類目的同意の要否主な送信先停止方法
必須ログイン、セキュリティ、決済、カート多くの法域で同意不要。ただし通知対象です。自社、認証、決済、不正検知ブラウザ設定。ただし停止するとサービス利用に支障が出る場合があります。
設定言語、地域、表示設定法域により異なります。自社又は設定管理ベンダーCookie設定画面
解析利用状況分析、改善、A/BテストEU・英国等では原則同意又は例外条件確認が必要です。解析ベンダーCookie設定画面、ベンダーオプトアウト
広告広告配信、リターゲティング、効果測定EU・英国等では事前同意、米国では販売・共有オプトアウトなどが問題です。広告プラットフォーム、SNSCookie設定画面、米国州別オプトアウト、GPC
SNS埋め込み、共有、ログイン連携原則同意又はクリック後読込を検討します。SNS事業者Cookie設定画面、SNS設定

日本向けの外部送信表示を追加する

日本向けには、解析事業者、広告事業者、セキュリティ事業者などについて、送信先、送信される利用者情報、送信先の利用目的、自社の利用目的を追加表示します。Cookieポリシーとプライバシーポリシー、外部送信ポリシーの整合性を確認する必要があります。

Section 11

越境Cookie規制は役割分担とロードマップで継続管理する

法務、プライバシー、開発、広告、監査、経営の役割を分け、段階的に実装します。

越境サービスのCookie規制対応は、法務部だけで完了する問題ではありません。次の役割分担表は、企業内外の担当ごとの主な責任を示しており、タグ導入、契約審査、通知文書、同意管理、内部統制を誰が見るかを読み取ることが重要です。

役割主な責任
法務担当・企業内弁護士対象法域、同意・通知・第三者提供・越境移転・契約の法的整理。
外部弁護士・外国法弁護士EU、米国州法、中国、ブラジル、インド等の現地法レビュー。
個人情報保護・プライバシー担当データマッピング、DPIA、プライバシー通知、ユーザー権利対応。
IT・AI・データ法務担当タグ実装、SDK、API、データ連携、AI・プロファイリングの法的評価。
マーケティング担当広告施策、タグ導入、広告効果測定、ベンダー選定。
開発・セキュリティ担当同意前ブロック、GPC処理、ログ、タグ監査、セキュリティ実装。
内部監査・内部統制担当運用状況の監査、証跡管理、変更管理、再発防止。
経営層・CLO・CCOリスク許容度、グローバル設計方針、予算、重大インシデント判断。

次の時系列は、越境Cookie規制対応を段階的に進めるロードマップを示しています。棚卸し、法的評価、UI・CMP実装、文書・契約整備、監査・改善の順で進めることが重要であり、各段階で成果物とテスト項目を残す必要があります。

Phase 01

棚卸し

既存サイト・アプリの全Cookie、タグ、SDKを検出し、同意前発火、第三者送信、保存期間、送信先国、ベンダー契約を把握します。

Phase 02

法的評価

国別に、同意、通知、オプトアウト、GPC、外部送信、外国第三者提供、越境移転を整理し、高リスク領域と不要タグを特定します。

Phase 03

UI・CMP実装

地域別バナー、拒否ボタン、詳細設定、撤回導線、非必須タグの事前ブロック、GPC/UOOM検知、日本の外部送信表示を実装します。

Phase 04

文書・契約整備

プライバシーポリシー、Cookieポリシー、外部送信ポリシー、米国州別通知、子ども向け通知、ベンダー契約を更新します。

Phase 05

監査・改善

タグスキャン、拒否・撤回テスト、GPCテスト、同意前発火テスト、新規施策時のレビューを継続します。

Section 12

越境Cookie規制に関するFAQ

個別事案への断定を避け、一般的な制度説明として整理します。

Q1. 越境サービスでは、全世界でEU型のCookie同意を採用すれば十分ですか。

一般的には、EU型の事前同意は強力な基礎になるとされています。ただし、米国では販売・共有・ターゲティング広告のオプトアウトやGPC/UOOM処理、日本では外部送信規律や個人関連情報、外国第三者提供、中国では個別同意や越境提供、インドではDPDP上の通知・同意、カナダでは意味ある同意と持続的オプトアウトが問題になる可能性があります。具体的な対応は、対象国、ユーザー属性、広告利用、データ連携、ベンダー契約を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. 日本だけを対象にするサービスでもCookie同意バナーは必要ですか。

一般的には、日本法上、EUのような一律の非必須Cookie事前同意制度はないとされています。ただし、個人情報保護法上の個人関連情報、第三者提供、外国第三者提供、電気通信事業法の外部送信規律への対応が必要になる場合があります。広告タグや解析タグの種類、提供先での利用、外部送信規律の対象サービス性によって結論が変わる可能性があるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q3. アクセス解析Cookieは同意不要ですか。

一般的には、法域によって結論が変わるとされています。EUでは原則として同意が必要ですが、国によって一定条件下のファーストパーティ解析について例外又は緩和的扱いがあり得ます。英国ではDUAA後、統計目的例外が拡張されていますが、明確な情報提供と簡単な拒否手段が必要です。日本では外部送信表示や個人関連情報の整理が問題になります。第三者解析や広告連携解析は高リスクになる可能性があり、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q4. Cookieを使わず、フィンガープリンティングなら同意不要ですか。

一般的には、Cookieであるか否かではなく、端末情報へのアクセス、個人情報処理、追跡、プロファイリング、第三者提供が問題になるとされています。フィンガープリンティングはユーザーが拒否しにくく、透明性が低いため、高リスクと評価される可能性があります。対象法域、利用目的、代替手段、拒否可能性によって結論が変わるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q5. 米国ではCookieバナーを出さなくてよいですか。

一般的には、米国ではEU型の包括的Cookie同意義務は一般的ではないとされています。ただし、州プライバシー法、FTC法、COPPA、セクター法により、通知、販売・共有・ターゲティング広告のオプトアウト、GPC/UOOM処理、センシティブ情報制限、子ども保護が必要になる場合があります。対象州、事業規模、データの種類、広告ベンダーとの契約によって結論が変わるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q6. サードパーティCookie廃止後は規制対応が不要になりますか。

一般的には、不要にはならないとされています。Cookieの代替として、サーバーサイドタグ、コンバージョンAPI、データクリーンルーム、広告ID、ハッシュ化メールアドレス、ログインID連携、フィンガープリンティング、SDKが使われる場合、同じ又はより高いプライバシーリスクが生じる可能性があります。規制は名称ではなく、個人情報処理、追跡、広告、第三者共有、端末アクセスの実態を見て判断されるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Section 13

越境サービスのCookie規制は法務・技術・広告実務の統合問題

最も厳しい法域を基礎にしつつ、日本・米国・中国などの固有要件を重ねます。

越境サービスにおけるCookie規制の違いは、単なるCookieバナーの国別表示問題ではありません。EU・英国では端末保存・読取の事前同意が中核です。日本では個人関連情報、外部送信規律、外国第三者提供が重要です。米国では販売・共有・ターゲティング広告、GPC/UOOM、FTC、COPPAが中心です。カナダでは意味ある同意と条件付きオプトアウト、ブラジルではLGPDとANPDガイド、中国ではPIPLの通知・個別同意・越境提供、シンガポール・オーストラリア・インドでは個人データ処理としての通知・同意・透明性が重要です。

次の重要ポイントは、企業が取るべき基本戦略を四つに整理したものです。各項目は法務、プライバシー、開発、マーケティング、セキュリティ、内部統制が同じ優先順位で動くために重要であり、Cookie規制を継続的なガバナンス課題として読む必要があります。

厳格な共通基盤に、国別の固有要件を重ねる

データの流れを見える化し、端末保存・読取、個人情報処理、第三者提供、販売・共有、越境移転、子ども・センシティブ情報を分けて判断し、同意・拒否・撤回・オプトアウトを技術的に実装することが基本です。

  1. データの流れを見える化する。Cookie、タグ、SDK、ピクセル、広告ID、送信先、保存期間、利用目的を棚卸しします。
  2. 法域別にトリガーを分解する。端末保存・読取、個人情報処理、第三者提供、販売・共有、越境移転、子ども・センシティブ情報を分けて判断します。
  3. 同意・拒否・撤回・オプトアウトを技術的に実装する。UIだけでなく、タグ発火、GPC/UOOM、同意記録、撤回後停止を実装します。
  4. ベンダー管理と監査を継続する。広告・解析ベンダーの仕様変更、法改正、当局ガイドライン、ブラウザ仕様変更に合わせて定期的に更新します。
Reference

この記事の参考資料

日本の公的資料

  • 個人情報保護委員会「Cookie等の端末識別子は個人関連情報に該当しますか」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「本人の同意に基づいて外国にある第三者に個人データを提供する場合」
  • 総務省「外部送信規律」関連資料

EU・英国の公的資料

  • EUR-Lex, Directive 2002/58/EC(ePrivacy Directive)
  • EUR-Lex, Regulation (EU) 2016/679(GDPR)
  • European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679
  • European Data Protection Board, Cookie Banner Taskforce report
  • Court of Justice of the European Union, Planet49 press release, Case C-673/17
  • European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR
  • GOV.UK, Data (Use and Access) Act 2025 ― data protection and privacy changes
  • ICO, What are the exceptions?

米州・アジア太平洋等の公的資料

  • California Attorney General, California Consumer Privacy Act (CCPA)
  • Colorado Attorney General, Colorado Privacy Act and Universal Opt-Out Mechanisms
  • Connecticut Attorney General, Connecticut Data Privacy Act
  • Virginia Law, Consumer Data Protection Act
  • Federal Trade Commission, Hidden impacts of pixel tracking
  • Federal Trade Commission, COPPA Rule and FAQs
  • Office of the Privacy Commissioner of Canada, Guidelines on privacy and online behavioural advertising
  • Autoridade Nacional de Proteção de Dados, Cookies e Proteção de Dados Pessoais
  • Personal Information Protection Law of the People’s Republic of China
  • DigiChina, Translation ― Personal Information Protection Law of the People’s Republic of China
  • Personal Data Protection Commission, Advisory Guidelines on the PDPA for Selected Topics
  • Office of the Australian Information Commissioner, Tracking pixels and privacy obligations
  • Press Information Bureau, Digital Personal Data Protection Rules, 2025 overview
  • Personal Information Protection Commission Korea, online behavioural advertising and behavioural information policy materials
  • Hong Kong Privacy Commissioner for Personal Data, Online Tracking guidance