EU デジタルオムニバスと第88a条第3項c号：2026年に運営者が注目すべきこと

これはデータ保護に関する調査研究であり、法的アドバイスではありません。完全な免責事項は末尾をご参照ください。

TL;DR

第88a条第3項c号が採択されれば、EU全域でファーストパーティの視聴者測定（オーディエンス計測）が同意不要になります — 27の加盟国すべてでバナーなしのアクセス解析を実現するための、最も明確な法的経路です。
これは委員会の提案であり、法律ではありません。 欧州議会は COM(2025) 837 について本会議で採決していません（2026年3月26日の本会議採決は、別ファイルの AI に関するデジタルオムニバスを対象としていました）。
EDPB と EDPS は2026年2月11日に共同意見書2/2026を公表し、個人の保護水準と法的安定性に関して深刻な懸念を表明しました。
この提案は並列追加ではなく、層の移行です — 個人データに関しては Cookie ルールが ePrivacy 指令から GDPR に移行します。両フレームワークは並行してではなく、順次適用されます。
どちらのシナリオにも対応できるよう、今日から設計しましょう。 Cookie を使わないファーストパーティのデプロイメントは、現行の最も厳しい加盟国ルールを満たし、第88a条が原文のまま採択されれば初日から適格となります。

誰もが読み解きたい提案

2025年11月19日、欧州委員会は COM(2025) 837 final — デジタルオムニバス — を公表しました。機関間ファイル番号は 2025/0360(COD) です。EUR-Lex には統合テキストが eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837 に掲載されており、委員会のランディングページは digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal です。このパッケージには、採択されれば EU 全域で最も多く問われるアクセス解析の用途を同意なしに可能にする新たな GDPR 第88a条の提案が盛り込まれています。該当箇所は次のとおりです（委員会提案の英語原文。法的拘束力を持つ版）：

「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use」

第88a条第3項c号のこの一文は、バナー疲れを抱えた運営者が6年間待ち望んでいたものです。以前の ePrivacy 規則案（国内 Cookie 法を調和させるはずだった）は、8年間にわたる理事会交渉の失敗を経て、2025年2月11日に最終的に撤回されました。デジタルオムニバスは委員会による、より小規模で、より迅速で、より実用的な回答です。GDPR を直接改正し、同意不要目的の限定リストとワンクリック拒否メカニズムを導入します。

このブログ記事は運営者向けの解説です。テキストが実際に何を述べているか、2026年5月現在の立法プロセスにおける状況、原文のまま採択された場合に何が変わるか、そして最も重要なこととして、どちらのシナリオにも対応できるよう今日から設計する方法を説明します。

第88a条第3項が定めること

委員会のテキストは、個人データを同意なしに処理できる目的の限定リストを導入します。アクセス解析の運営者に関連するのは第88a条第3項c号で、次の目的での処理を許可します（委員会提案の英語原文。法的拘束力を持つ版）：

「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use」

4つのフレーズが法的な役割を果たしています。

「Aggregated information（集約情報）」 — 個人レベルのイベントストリームではありません。訪問者ごとの識別子、セッション Cookie、ユーザーごとのセッションリプレイには、引き続き別途の同意根拠が必要です。この免除は、カウント、分布、ファネル、類似の集計データを対象とします。

「The audience of such a service（当該サービスの視聴者）」 — 行動ターゲティング広告ではなく、視聴者測定（Reichweitenmessung）に限定されます。リターゲティング、類似オーディエンスモデリング、サードパーティ ID の共有、事業目的がダウンストリームマーケティングであるフローは対象外です。

「The controller of that online service（当該オンラインサービスの管理者）」 — そのサイト自身のアクセス解析です。広告プラットフォームとの共同管理者関係、またはアクセス解析ベンダーが自社目的でデータを使用する処理は、この免除に該当しません。

「Solely for its own use（専ら自己使用のため）」 — 複数顧客間でデータをプールしたり、パートナーエコシステムと共有したりするツールではなく、運営者自身のアクセス解析です。このフレーズが原文のまま残れば、Google Analytics 4 が視聴者測定免除の対象となるかという長年の議論に決着がつく可能性があります（CNIL の現在の立場は対象外という見解で、Garante も2022年6月9日の Caffeina Media 決定で同様の結論に達しています）。

拒否メカニズム — 第88a条第4項

この提案は単に抽象的に同意不要のアクセス解析を許可するだけでなく、UX も規定しています。提案された第88a条第4項は、運営者が 「in an easy and intelligible manner with a single-click button or equivalent means」 で拒否を可能にすることを要求します。拒否後、運営者は少なくとも6か月間再要求できません。同意が与えられた場合、有効期間中は再要求できません。

政治的な効果は、バナーを常時表示から、ユーザーごと・半年ごとの1回限りの決定に変えることです。免除対象のケースでは、最初から表示する必要がないものになる可能性もあります。

ブラウザレベルのシグナル — 第88b条

このパッケージはさらに、データ主体が**「automated and machine-readable means（自動化された機械可読な手段）」によって同意を付与または拒否できるようにすることをデータ管理者に義務付ける新たな第88b条を提案しています。技術標準が整備されれば、データ管理者は6か月の移行期間**後にこれらのシグナルを遵守しなければならず、そうする管理者には遵守推定が付与されます。

これは Global Privacy Control（GPC）を待ち望まれていた法的な拠り所です。第88b条が原文のまま採択されれば、GPC シグナルは EU 管轄において推定的拘束力を持つことになります — カリフォルニア州の CCPA や複数の米国州法がすでに採用している立場ですが、EU はこれまで運営者の裁量に委ねていました。第46考慮事項は、メディアサービスプロバイダーを自動化シグナルによる拘束から除外しており、これは重要な絞り込みです。

進捗状況 — 2026年5月

ここが、承認を待つ運営者にとって物足りなくなる部分です。

2026年5月中旬現在、デジタルオムニバスは委員会の提案であり、法律ではありません。ファイルは通常の立法手続きを経て進んでいます：

ITRE（産業・研究・エネルギー委員会）、報告者：Aura Salla（EPP/フィンランド）— Meta での元ロビー活動に関する潜在的な利益相反として、7つの市民社会組織から任命撤回を求める声が上がっています — および
LIBE（市民的自由・司法・内務委員会）、報告者：Marina Kaljurand（S&D/エストニア）。

欧州経済社会委員会は 2026年3月18日に意見書を採択しました。理事会作業部会の協議が進行中です — 2026年3月19日付けの文書 WK 3736/2026 INIT は、オランダ、エストニア、フィンランドの各代表団が第88a条第3項c号の正確な範囲について活発に議論していることを示しています。

COM(2025) 837 に関する欧州議会の本会議採決はまだ行われていません。 2026年3月26日の本会議採決では、別ファイルの AI に関するデジタルオムニバス — 同じデジタル簡素化パッケージの別の提案 — に関する議会の交渉立場が承認されました。このブログ記事が扱うデータ・プライバシーファイルは、2026年5月中旬現在、委員会審議段階にあります。三者協議で行き詰まらない限り、現実的な採択の時期は2026年末から2027年です。効力発生はおそらく2027年から2028年。提案された第88a条は効力発生の6か月後に適用され、第88b条は24か月以内に適用されます。

運営者にとって、これが意味することは：デジタルオムニバスは現在の法的根拠ではなく、ロードマップです。 これは将来に向けて設計すべき正しい方向であり、顧客に伝えるべき正しいことです。2026年のローンチのコンプライアンス戦略を賭けるには誤りです。

このファイルは大きな政治的逆風にも直面しています。

EDPB と EDPS は2026年2月11日に共同意見書2/2026を発表しました — 欧州データ保護会議（27の国内監督機関すべてを統合）と欧州データ保護監督官による協調した立場表明です。この共同意見書は、提案された変更が「個人が享受する保護水準に悪影響を及ぼす可能性がある」、「法的不確実性」を生む、データ保護法の「適用をより困難にする」との深刻な懸念を表明しています。NOYB は 2026年2月24日にレポート V3 を公表し、*「EU の DPA が GDPR への提案変更の多くを否定」*という論調で補足しています。

ITRE 報告者の任命が争われています。 7つの市民社会監視組織 — Transparency International EU、Corporate Europe Observatory、The Good Lobby を含む — が、欧州議会行動規範第3条に基づく潜在的な利益相反として、2020年5月から2023年4月まで Meta Platforms で幹部ロビイストを務めたことを理由に、Aura Salla の任命撤回を共同で ITRE 委員会コーディネーターに要請しました。Salla は2026年5月現在も任命報告者のままです。

メディア産業連合は88a条第3項c号が狭すぎると主張しています。 2026年5月の欧州放送連合（EBU）の共同声明 — egta や他の欧州メディア協会が参加 — は、現行の視聴者測定免除がヨーロッパのメディア業界で標準的な慣行である合同産業委員会（JIC）のサードパーティ視聴者測定を除外すると主張しています。「solely for its own use」という文言は、メディア産業が改正を求めてロビー活動の焦点としているフレーズです。

第88a条が実質的に採択されたとしても、3つの課題が運営者の慎重姿勢を正当化します。

第一に、この提案は並列追加ではなく、層の移行です。 Taylor Wessing の分析によれば、「個人データが処理される場合には ePrivacy ルールは適用されなくなる。そのような状況では GDPR のみが適用される。両フレームワークは並行してではなく、順次機能する。」言い換えれば：端末機器上の個人データへのアクセス（Cookie の大多数のケース。なぜなら Breyer 判決のもとでほとんどの Cookie が個人データを処理するため）については GDPR 第88a条が適用され、ePrivacy 指令第5条第3項は適用されなくなります。非個人データの端末機器アクセス（技術的な残留カテゴリー）については、各国の転置法（フランスの法律78-17第82条、ドイツの TDDDG § 25、オランダの Telecommunicatiewet 第11.7a条）経由で ePrivacy 第5条第3項が引き続き適用されます。運営者にとっての実際の効果は同じ形をしています：Cookie を使わないファーストパーティのサーバーサイドアーキテクチャは両方の層を回避しますが、それらを経由する法的経路は変わります。

第二に、加盟国の実施は異なります。 CNIL は過去10年間をかけて、特定の有効期間の上限、保持期間、集計要件を持つ詳細な国内免除制度として「フィッシュ n°16」を構築してきました。Garante と AEPD も独自のものを構築しました。デジタルオムニバスは EU 全体で*フロア（最低基準）*を導入します。国内規制機関がより厳格な立場から後退するか、新しいテキストを中心に調和させるか、または免除を狭く解釈するかによって、初日からの運営者の実際の負担が決まります。

第三に、反対意見は大きく、協調的で、上位レベルです。 上述のとおり：2026年2月11日の EDPB-EDPS 共同意見書2/2026、2026年2月24日の NOYB レポート V3、そして市民社会による ITRE 報告者撤回要請は、すべてより広範なパッケージに反対しています。視聴者測定免除自体は比較的広い DPA の支持を得ています。議会が個々の規定を切り離せるか、パッケージ全体を採決するかによって最終テキストが形成されます。土壇場の修正を伴うパッケージ採決は、第88a条のクリーンな採択より法的確実性の観点から好ましくない結果です。

第3項c号が原文のまま採択された場合の変化

2026年の現状との簡単な比較です。

ファーストパーティ集計アクセス解析の EU 全体同意免除。 単一の設定でフランス、ドイツ、イタリア、スペイン、オランダ、その他の加盟国を同時に満たすことができます — 各国固有の免除テストなしに。第88a条は層の移行であるため — 個人データのケースで Cookie ルールが ePrivacy から GDPR に移行するため — GDPR の第88a条ルールは個人データ Cookie に関してドイツの TDDDG § 25の締め付けを上書きします。より狭い残存 ePrivacy 第5条第3項の層は純粋な非個人データの端末機器アクセスをカバーし続けますが、これは実際には狭いカテゴリーです。

拒否がセッションごとの摩擦ではなく、6か月の opt-out になります。 第88a条第4項のルール — ワンクリック拒否、少なくとも6か月間は再要求なし — により、Cookie バナーの UX がユーザーごと・半年ごとの1回限りの決定になります。現在30日間の有効期間をデフォルトとする CMP を使ってセッションごとに再要求している運営者にとって、これは大きな UX 向上です。

ブラウザレベルのシグナル（GPC）が遵守推定の対象になります。 第88b条は、機械可読な同意シグナルを尊重するデータ管理者に遵守推定を与えます。運営者にとっての合理的な行動は、標準採用を待つのではなく、今すぐ GPC を尊重することです。

IAB Europe TCF 訴訟の焦点が絞られます。 集計視聴者測定が TC 文字列を必要としなければ、TCF 訴訟の表面積（2024年3月7日の CJEU IAB Europe 判決 C-604/22 をすでに生み出している）が縮小します。正当利益のみによる視聴者解析に依存する運営者は、IAB-TCF の絡みなしに明確な GDPR 根拠を得ます。

変わらないこと：非個人データのケースにおける Cookie と localStorage への ePrivacy 第5条第3項の層；すべての SaaS アクセス解析プロバイダーに対する第28条に基づくデータ処理者関係；第33条に基づく違反通知の時計；リスクの高い処理に対する第35条の DPIA トリガー；および第15/17条のデータ主体の権利 — これらすべては新しい同意不要免除に加えて引き続き適用されます。

どちらのシナリオにも対応できるよう今日から設計する

現時点での堅牢な運営者の立場は、2026年の現行の寄せ集め規制と提案されたデジタルオムニバスのテキストの両方を生き延びる設定を開発することです。第88a条が適用される日に、アクセス解析スタックで何も変更する必要がないようにします。

両方を生き延びる設定：

Cookie なし、localStorage なし、フィンガープリントなし。 今日のドイツの TDDDG § 25の要件（端末機器の保存またはアクセスが一切発生しない）を満たし；層の移行後は、残存する個人データ処理に対して GDPR 第88a条を満たします。
運営者自身のドメインでのファーストパーティデータ収集。 CNIL フィッシュ n°16 のファーストパーティ条件に合致；第88a条第3項c号の「当該オンラインサービスの管理者」のフレーズに合致します。
集計ロールアップ、個人レベルのイベントストリームなし。 CNIL の集計推奨（最寄りの10に切り捨て）および第88a条第3項c号の「集約情報」のフレーズに合致します。
顧客間でのデータプールなし。 CNIL フィッシュ n°16 のプロバイダー顧客間の生データ共有禁止に合致；「solely for its own use」のフレーズに合致します。
インジェスト層での GPC と DNT の尊重。 提案された第88b条の「自動化された機械可読な手段」に合致 — また、規制機関が今日問い合わせた際に「ブラウザシグナルをすでに尊重している」という信頼できる回答ができます。
保持期間の限定。 CNIL の25か月上限は現在の欧州で最も厳しい基準です；第88a条は保持期間を直接指定しませんが、保存制限の原則（GDPR 第5条第1項e号）は引き続き適用されます。今から CNIL の上限に準拠することで、最大限の前方互換性が得られます。
GDPR 第6条第1項f号に基づく文書化された正当利益評価（LIA）。 保存/アクセス層（ePrivacy 第5条第3項）が回避され、かつ運営者が仮名識別子（IP アドレス、ハッシュ化された Cookie ID）を処理するため、GDPR 第6条の根拠は今日も、おそらく明日も開かれた問題のままです。EDPB ガイドライン1/2024の3段階テスト（利益の特定 → 必要性 → 均衡テスト）が持続可能なテンプレートです。

これは Statnive Live がデフォルトで提供するアーキテクチャでもあります。consent-free サイトポリシープリセットは Cookie と localStorage を無効化し、塩の回転時に自己消滅する日次回転 BLAKE3-HMAC 訪問者署名を生成し、サーバーサイドで IP を切り捨て、User-Agent をメジャーバージョンに縮小し、リファラーのホスト部分のみを保存します。hybrid プリセットは、訪問者の同意前に匿名集計メトリクスを収集し、同意後に完全なアトリビューションへアップグレードすることを望む運営者のために、サーバー側で強制されたアップグレードパスを追加します。

Statnive Live が提供する11管轄のサイトポリシー列挙型 — DE、FR、IT、ES、NL、BE、IE、UK、OTHER-EU、IR、OTHER-NON-EU — には、ドイツの運営者が permissive モードを選択するのを防ぐハードルールバリデーターがあります（TDDDG § 25 が禁止）。同じ列挙型は将来の第88a条ワールドにもクリーンにマッピングされます：今日 consent-free に派生するすべてのセルは引き続き適用されます；運営者の負担は変わりません。

2026年・2027年に注目すべきこと

ファイルを追う運営者への短い監視リスト：

ITRE 報告者争議の解決。 ITRE 委員会コーディネーターが市民社会の撤回要請に応じるか — 交代、委任起草役割、または変更なしのいずれが結果となるか — によって、ファイルの政治的論調が形成されます。
ITRE と LIBE の報告者報告書。 これらが三者協議の立場を形成します。Aura Salla（EPP）と Marina Kaljurand（S&D）は政治的な出発点が異なり、視聴者測定免除はどちらの側からも修正案を引き付ける可能性があります。メディア産業のロビー活動は第3項c号が狭すぎる（JIC サードパーティ測定を除外）と主張；プライバシー NGO は現在の狭い範囲でより満足しています。
第88a条第3項c号の範囲に関する理事会作業部会の議論。 作業文書 WK 3736/2026 INIT は、オランダ、エストニア、フィンランドの各代表団が「solely for its own use」が実際に何を意味するかを探っていることを示しています。理事会が範囲を絞るか広げるかを監視します。
EDPB と EDPS の継続的な立場。 2026年2月11日の共同意見書2/2026 は、三者協議前として可能な最も権威ある DPA の立場です。続報 — 補足意見、個々の国内 DPA 声明、または協調した代替テキスト — は強力なシグナルとなります。
NOYB レポート V4 と訴訟戦略。 2026年2月24日のレポート V3 は、共同意見書への明示的なコメントで V1・V2 を補完します。NOYB は視聴者測定免除自体には反対していませんが、実施に異議を唱える可能性があります：TC 文字列的な絡み合い、ダークパターンの拒否 UI、または視聴者測定とリターゲティングを混同する運営者。
各国規制機関の先取り。 CNIL、Garante、AEPD は採択前にガイダンスを発行し、各国が独自の法秩序内で第88a条をどう読むかを示す可能性があります。特に CNIL に注目してください；2026年1月1日以降の視聴者測定自己評価ガイダンスは、EU 規制機関の中で最も運営者向けであり、通常最初に更新されます。
三者協議のカレンダー。 2026年末にファイルが三者協議に入った場合、第88a条第3項c号への実質的な修正に注意してください。ePrivacy 規則の経験から、委員会の最もクリーンなテキストは理事会と議会が合意に達するまでに薄められることが多いことが示唆されます。

すべきこと・避けること

すべきこと	避けること
第88a条第3項c号をロードマップとして扱う — テキストが原文のまま採択された場合に初日から適格となるよう、今日のアーキテクチャを設計する。	第88a条第3項c号を現在の法的根拠として扱う。これは委員会の提案であり、議会は採決していません。
トラフィックがあるすべての加盟国で最も厳しい現行制度（ドイツの TDDDG § 25）向けに設計し、設定を将来互換にする。	最も許容的な将来のテキスト向けに設計し、三者協議で理事会が免除を絞ったと後で発見する。
ファイルが進むにつれ、EDPB-EDPS 共同意見書2/2026（2026年2月11日）と並べて読む — DPA のポジショニングが最終的な範囲を形成する。	第88a条を確立した法律として提示する。第88a条へのすべての言及には「提案、本会議採決なし」を付けるべきです。
規制更新ページそれぞれに取得日を付け、読者がどのスナップショットを読んでいるかわかるようにする。	2026年3月26日の欧州議会本会議採決（AI ファイル）を COM(2025) 837 と混同する — これらは別ファイルです。
COM(2025) 837 のステータス変更のために Legislative Train Schedule を購読する。	デジタルオムニバスの採択タイムラインに製品ローンチを賭ける。現実的な発効は2027年から2028年です。

運営者への重要なポイント

第88a条第3項c号は、2018年以来で最も運営者に有利な EU Cookie 改革のテキストです。採択されれば — 原文のまま — 各国の視聴者測定コンプライアンスのパズルを廃止し、単一の EU 全体ルールに置き換えます。しかしこれは提案であり、法律ではありません；ファイルは本会議採決を見ていません；採択は2027年以前はありそうもありません；ePrivacy 第5条第3項の端末機器層は非個人データのケースで引き続き並行して適用されます。

堅牢な立場は、現行の最も厳しい制度（ドイツの TDDDG § 25）と提案されたテキストの両方に対して今日から設計することです — デジタルオムニバスが原文のまま採択されるか、希薄化されて採択されるか、または停滞するかにかかわらず、運営者のアクセス解析設定が変更なく機能し続けるように。これが Statnive Live の設計意図です：デジタルオムニバスの採択に依存しないが、採択された場合には初日から適格となる設定。

各加盟国の免除の詳細 — フランスの CNIL フィッシュ n°16 詳解、ドイツの TDDDG § 25 サーバーサイドのみ制約、国別マップ — についてはシリーズのリンク先記事をご参照ください。委員会のテキストが運営者に標準化を可能にするアーキテクチャについては、ピラー記事 2026年 EU 同意不要アクセス解析ガイドをご覧ください。

これはデータ保護に関する調査研究であり、法的アドバイスではありません。 記載されている設定は、文書化された正当利益評価（LIA）と関連する国別自己評価に基づいて展開された場合に、規制機関のガイダンスの下で適格とみなされます。Statnive の各顧客はデータ管理者のままであり、自身の設定と DPIA に対して責任を負います。発行前に、お住まいの管轄の適格な法律顧問にご相談ください。

規制参照の状況（2026年5月13日現在）：デジタルオムニバス COM(2025) 837 final — 2025年11月19日付け委員会提案；ITRE および LIBE への共同ファイル；報告者 Aura Salla EPP/FI（2026年2月から7つの市民社会組織が任命に異議）および Marina Kaljurand S&D/EE；EESC 意見書 2026年3月18日採択；理事会作業部会文書 WK 3736/2026 INIT 2026年3月19日付け；2026年2月11日付け EDPB-EDPS 共同意見書2/2026（個人保護および法的確実性に関する懸念）；2026年2月24日付け NOYB レポート V3；2026年5月欧州メディア協会共同声明（第88a条第3項c号が狭すぎる）；COM(2025) 837 に関する欧州議会本会議採決なし（2026年3月26日の本会議採決は別ファイルの AI に関するデジタルオムニバスを対象）。ePrivacy 指令 2002/58/EC（2009/136/EC による改正）— 発効中；デジタルオムニバス提案の下では、個人データのケースで Cookie ルール層が GDPR 第88a条に移行。EDPB ガイドライン2/2023 v2.0（2024年10月7日）および EDPB ガイドライン1/2024（2024年10月8日）— 発効中。CJEU C-621/22 KNLTB（ECLI:EU:C:2024:857）— 2024年10月4日判決。旧 ePrivacy 規則案は委員会により2025年2月11日に撤回。