国別対照:2026 年 EU 同意なしアクセス解析ルールの実用マップ
1 枚の表、11 の管轄、1 セルにつき 1 つの率直な答え。各 EU(および UK)規制当局が同意なしのアクセス解析について現時点で何を言っているか、出典付きで整理します。
本記事はプライバシーに関する調査資料であり、法的助言ではありません。詳細はフッターの免責事項をご覧ください。
TL;DR
- 11 の管轄、4 段階の執行シグナル、2 つの基軸。 フランスは最もサイト運営者にやさしく(Sheet 16 のカーブアウト)、ドイツは最も厳格(カーブアウトなし、サーバーサイド限定)。
- ドイツに合わせて設定すれば、残りの EU は自動的に成立します。 § 25 TDDDG を満たす構成は、フランスの Sheet 16、イタリア Garante の 2021 年ガイドライン、スペイン AEPD のガイド、オランダ AP の立場を構成上満たします。
- 2026 年の執行は緩和ではなく強化に向かっています — イタリア Garante: 2026 年上半期に Guardia di Finanza の支援で 40 件以上の査察;オランダ AP: 年間 10,000 サイトの監視+オンライントラッキングを「マスサーベイランス」に再分類;CNIL: 累計 4 億 7,500 万ユーロの Cookie 制裁。
- 「OTHER-EU」バケットはデフォルトで最も厳しいベースラインに従います。 個別にモデル化されていない加盟国からのトラフィックを持つサイト運営者は、ドイツ水準のアーキテクチャを展開し、Article 5(3) 非トリガーの枠組みに依拠します。
- IR / OTHER-NON-EU は設定可能であって認証ではありません。 Statnive は PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA への標準準拠を謳いません — これらは現地法務レビューを要するサイト運営者固有の構成です。
このマップの読み方
2026 年の EU/UK における同意なしアクセス解析の立場は、単一のルールではなくパッチワークです — 11 の管轄が同じ ePrivacy 指令と GDPR を 11 通りに解釈しています。本記事はサイト運営者向けのリファレンスです。1 管轄につき 1 行、規制レイヤーごとに 1 列、1 セルにつき 1 つの率直な答えです。シリーズの関連記事 — 柱となるプレイブック、フランス CNIL Sheet 16 深掘り、ドイツ § 25 TDDDG 深掘り、DSAR エンドポイント記事、GPC とハイブリッドモード記事、Digital Omnibus のニュース解説 — が、このマップで 1 行に集約された内容の詳細をカバーします。
表の前に、2 層ルールを再確認します。ePrivacy 第 5 条(3) は端末機器上の保存とアクセスを規律します。GDPR 第 6 条は、その後の個人データ処理の合法根拠を規律します。2 つのレイヤーは合成され、代替しません。EDPB 意見書 5/2019 と、UK ICO の 2026 年 4 月「Storage and Access Technologies」ガイダンスによって再確認された通り、ePrivacy 第 5 条(3) は端末機器上の保存・アクセスについて GDPR に対する lex specialis です。GDPR 第 6 条(1)(f) の正当な利益は、ePrivacy 第 5 条(3) の同意を 代替できません。
したがって、ある管轄の同意なしアクセス解析に対する立場は、(a) 当該加盟国が ePrivacy 第 5 条(3) を国内法にどう国内化したか、(b) 国内規制当局がオーディエンス計測専用のカーブアウト解釈を公表しているか、(c) 当該立場が実務上どれほど厳格に維持されているかを示す規制当局の執行実績、の組み合わせで決まります。
マップ
| 管轄 | 国内 ePrivacy 国内化 | オーディエンス計測例外 | 罰金上限 | 執行シグナル |
|---|---|---|---|---|
| フランス(CNIL) | Loi 78-17 第 82 条 | あり — Sheet n°16 + 2025 年 7 月 4 日の自己評価 + 2026 年 1 月 16 日の Consolidated Cookie Recommendation | 全世界売上の最大 4%(GDPR 第 83 条) | 2020-2025 年で累計 4 億 7,500 万ユーロの Cookie 制裁;2026 年 1 月 22 日に 350 万ユーロの罰金公表(16 の欧州 DPA と協調);2026 年 1 月 1 日にレガシー評価プログラム廃止 — 自己評価制度が運用開始 |
| ドイツ(DSK) | § 25 TDDDG | なし | § 28(1) No. 13 により 30 万ユーロ;GDPR 罰金は並行適用 | DSK 2024 年 11 月版 v1.2 ガイダンス: 正当な利益は § 25 を代替しない |
| イタリア(Garante) | DLgs. 196/2003 第 122 条 | あり — 2021 年 6 月 10 日の Cookie ガイドライン(2022 年 1 月 10 日施行) | 全世界売上の最大 4%(GDPR 第 83 条) | 2022 年 6 月 9 日の Caffeina Media 決定で GA EU→US 移転を禁止;2026 年査察計画: 2026 年上半期に Guardia di Finanza 支援で 40 件以上の標的査察;イタリアの執行件数は EU 内 2 位 |
| スペイン(AEPD) | LSSI 第 22.2 条 + LOPD-GDD | あり — オーディエンス計測ガイド(2024 年) | LOPD-GDD の Cookie 罰金 3 万ユーロ;個人データには GDPR 罰金 | Cookie ガイドは 2023 年 7 月更新、2024 年 1 月 11 日執行 |
| オランダ(AP) | Telecommunicatiewet 第 11.7a 条 | あり — 「分析 Cookie は、訪問者数のカウントのみに使用される場合は同意を必要としない」 | 90 万ユーロ または売上の 1-10%(電気通信法第 15.4 条) | AP の自動スキャンによる年間 10,000 サイト監視;2026-2028 戦略的優先事項でオンライントラッキングを「マスサーベイランス」に再分類;2024 年 7 月 16 日に Kruidvat に 60 万ユーロ罰金;2025 年 4 月に 50 組織へ警告 |
| ベルギー(APD) | 2005 年 6 月 13 日法 | なし — 「現行法的枠組みのもとでは、オーディエンス計測 Cookie は同意要件から免除されない」 | 全世界売上の最大 4%(GDPR 第 83 条) | 決定 85/2022 で Roularta Media Group に 5 万ユーロ;APD/GBA 戦略計画 2026-2028: 大規模な事前型執行へシフト |
| アイルランド(DPC) | SI 336/2011 | 公表された例外なし | 全世界売上の最大 4%(GDPR 第 83 条) | 2020 年ガイダンスノートは EDPB Guidelines 5/2020 に整合 |
| イギリス(ICO) | PECR 2003(DUAA 2025 で改正) | なし — ファーストパーティの低侵襲アクセス解析については「執行優先度が低い」 | 1,750 万ポンド または全世界売上の 4% | 2026 年 4 月 29 日 ICO Storage and Access Technologies ガイダンス |
| オーストリア(DSB) | TKG 2021 § 165 | 独立した例外なし | 全世界売上の最大 4%(GDPR 第 83 条) | 2021 年 12 月 22 日 NetDoktor 決定(ファイル 2021-0.586.257、D155.027) |
| OTHER-EU(残りの 19 加盟国) | 2002/58/EC の各国国内化 | 様々 — 注記参照 | 加盟国別 | サイト運営者は各国規制当局の個別ガイダンスを参照すべき |
| OTHER-NON-EU(IR を含む) | 各国法が適用 | EU の例外は適用されない | 加盟国別 | サイト運営者は現地法務を参照すべき |
このマップは多くの詳細を 1 セルに集約しています。本記事の以降のセクションでは、各行を分解して、その管轄で展開するサイト運営者が何をしなければならないかを説明します。
フランス — EU で最もサイト運営者にやさしい規制当局
CNIL の Sheet n°16(2025 年 7 月 4 日の自己評価アップデート、2026 年 1 月 1 日のコンプライアンス期限付き)は、EU で最もサイト運営者向きのオーディエンス計測例外です。条件は累積的で狭く設定されています: 単一サイト範囲、最大 3 種類のイベント(ページ訪問、機能インタラクション、タイミング)、IPv4 最終オクテット切り捨て、User-Agent はメジャーバージョンまで削減、ホスト名のみのリファラー、セッションリプレイ禁止、クロスドメイン識別子禁止、トラッカー寿命 13 か月、データ保持 25 か月、最寄り 10 単位への集計。
CNIL の執行実績は Cookie 同意 UX に集中しています。Google に 1 億ユーロ(2020 年 12 月)、Google に 1.5 億ユーロ+ Facebook に 6,000 万ユーロ(2022 年 1 月)、Google に 3.25 億ユーロ+ Shein に 1.5 億ユーロ(2025 年 9 月 1 日)。すべて同意バナー UX の不備によるもので、アドテックの下流ではありません。
レガシー評価プログラム — CNIL が特定のアクセス解析ツールを評価・リスト化していた 2026 年以前の経路 — は 2026 年 1 月 1 日に廃止されます。代替はサイト運営者の自己評価です: プロバイダーが CNIL 推奨の文言で日付入りの宣言書を公表し、ツールを展開するサイト運営者が Sheet 16 の条件に対する自身の構成を文書化します。
Sheet 16 の完全な解説と、それに適合する Statnive Live の構成については、CNIL 深掘り記事を参照してください。
ドイツ — 拘束力のある制約
§ 25 TDDDG は、端末機器の保存またはアクセスの根拠として正当な利益を排除します。Datenschutzkonferenz の 2024 年 11 月 20 日付 Orientierungshilfe(バージョン 1.2)は明確です: 第 6 条(1)(f) の LIA は GDPR の処理レイヤーをカバーしますが、§ 25 のカーブアウトを解錠するものではありません。§ 28(1) No. 13 により 1 件あたり最大 30 万ユーロの罰金;GDPR 第 83 条の罰金が並行して適用されます。
ドイツにおける唯一の同意なしアーキテクチャは、端末機器上での保存もアクセスも発生しないもの — ブラウザがデフォルトで送信する HTTP リクエストデータの純粋なサーバーサイド処理 — です。それでも GDPR 処理レイヤーには文書化された LIA が必要です。
完全な TDDDG 分析、§ 25 の原文、ドイツ語のプライバシーポリシーブロック、許容的な DE 展開を防ぐ Statnive Live のハードルール検証については、TDDDG 深掘り記事を参照してください。
イタリア — Garante の 2021 年 Cookie ガイドライン
イタリア Garante の 2021 年 6 月 10 日 Cookie ガイドライン(2022 年 1 月 10 日施行)は、4 つの条件が累積的に満たされる場合の分析 Cookie カーブアウトを認めています。
- 訪問者の直接識別が不可能であること。
- 同じ Cookie が複数のデバイスに関連付けられるよう構造化されていること(IPv4 の少なくとも最終オクテットのマスキング、または同等の IPv6 切り捨てにより達成)。
- Cookie が単一サイトの集計統計のみに使用されること。
- 他のデータとの結合がなく、第三者への送信もないこと。
Garante の 2022 年 6 月 9 日決定 n. 224 対 Caffeina Media は、違法な米国移転のため Google Analytics の使用を禁止しました。Garante は、Google の IP 匿名化機能が 匿名化ではなく仮名化 であると判断しました — この判断は、ハッシュ化 IP に依拠するあらゆるサイト運営者に Google Analytics を超えて影響を及ぼします。
Garante は 正当な利益が Cookie および追跡メカニズムの有効な根拠ではない ことを明示しています — CNIL よりも厳しい立場です。イタリアのサイト運営者の経路は狭くなっています: Cookie カーブアウトは存在するが、ルールが適用される場合に Cookie 同意ルールを回避するために第 6 条(1)(f) を持ち出すことはできません。
IT 管轄を選択した Statnive Live の consent-free 展開は、Garante の 4 条件を構成上満たします。Cookie レスアーキテクチャは Cookie か否かの分析を完全に回避し、日次ローテーションの BLAKE3-HMAC シグネチャが Garante の条件 (2) が要求するマルチデバイス互換の識別子です。
スペイン — AEPD オーディエンス計測ガイド
AEPD の Cookie 利用ガイドは 2023 年 7 月に更新され、2024 年 1 月 11 日から執行されています。2024 年のオーディエンス計測 Cookie ガイドは CNIL Sheet 16 のアプローチに密接に整合します: 単一サイト、匿名集計統計、相互参照禁止、保持 25 か月以下、トラッカー寿命 13 か月以内、ユーザーへの情報提供必須。
LSSI 第 22.2 条が根拠条文です。LOPD-GDD のもとでの Cookie 違反の最大罰金は 3 万ユーロ — GDPR 第 83 条の上限より低いものの、個人データ処理レイヤーには並行適用されます。
スペインのサイト運営者の構成は基本的にフランスの構成にローカライズされた開示文言を加えたものです。ES 管轄を選択した Statnive Live の consent-free モード展開は、AEPD ガイドを構成上満たします。
オランダ — 分析 Cookie に同意は不要
オランダ Autoriteit Persoonsgegevens は明示しています: 「Web サイトの機能に関する洞察を提供する分析 Cookie は、訪問者数のカウントのみに使用される場合は同意を必要としない。」 法的根拠: Telecommunicatiewet 第 11.7a 条。
AP の執行シグナルは鋭利です。2024 年 7 月 16 日に AS Watson (Health & Beauty Continental Europe) B.V.(Kruidvat の親会社)に 60 万ユーロの罰金 が、事前にチェック済みの同意ボックスを含む同意なしのトラッキング Cookie 設置に対して科されました。電気通信法第 15.4 条のもとでの最大罰金は 90 万ユーロ または売上の 1-10% に達します。AP は オランダの 10,000 サイトを年間構造的に監視する 自動スキャンシステムを構築 — 従来の 500 サイトのコミットメントから 20 倍規模に拡大しました。オランダ政府は、Cookie 執行専用に年間 50 万ユーロを割り当て、2027 年からは恒久的に年 35 万ユーロを増額します。2025 年 4 月、AP は誤解を招く Cookie バナーについて 50 組織(オンライン小売業者、メディア企業、保険会社)に警告を発しました。2025 年末までに、警告対象 200 以上のサイトの 4 分の 3 が修正されました。AP の 2026-2028 戦略的優先事項は、オンライントラッキングを「マスサーベイランス」に再分類しています — 執行強化の継続を示す大きな位置付けの転換です。
オランダはオーディエンス計測カーブアウト自体については、フランス、イタリア、スペインと並ぶサイト運営者にやさしいクラスタに位置しますが、AP の執行意欲 — 特に事前チェック済みボックスや、例外分析なしで展開されたトラッキング Cookie に対する — は EU の中でも最高水準です。NL 管轄を選択した consent-free 展開が安全なデフォルトです;consent-required 展開では Reject UX が Accept と同じくらい簡単でなければなりません。
ベルギー — 例外なし
ベルギー APD/GBA の 2020 年 4 月 Consolidated Cookie ガイダンスと 2023 年 10 月 20 日 Cookies Checklist は、分析 Cookie の同意例外を認めていません: 「現行法的枠組みのもとでは、オーディエンス計測 Cookie は同意要件から免除されない。」
執行実績: APD 決定 85/2022 は同意なしの統計 Cookie 設置に対し Roularta Media Group に 5 万ユーロを科しました。2019 年の決定では法律ニュースサイトに 1 万 5,000 ユーロが科されました。どちらも CNIL の実績よりも絶対値は小さいものの、APD が Cookie レイヤーを監査し具体的な罰金を割り当てることを示しています。
ベルギーのサイト運営者の consent-free 経路はサーバーサイド限定アーキテクチャ — ドイツと同じベースライン — です。DE で成立する構成は BE でも成立します;Sheet 16 に合わせたオーディエンス計測例外構成は成立しません。
アイルランド — 公表された例外なし
アイルランドデータ保護委員会の 2020 年 Cookie およびその他のトラッキング技術ガイダンスノートは、必須でない Cookie についてオプトイン同意を要求し、EDPB Guidelines 5/2020 に整合します。フランスの Sheet 16 やオランダ AP の立場に相当する公表されたオーディエンス計測カーブアウトはありません。
アイルランドの執行は、アイルランドに本社を置く大規模な国際管理者(Meta、Google、TikTok)に対する DPC のクロスボーダー主導監督当局の役割が支配的です。国内のアイルランドのサイト運営者にとって、Cookie 固有の執行シグナルは CNIL、AP、Garante よりも静かです。堅牢な立場は依然としてサーバーサイド限定ベースライン — 認められたカーブアウトがないことは、「同意なし」主張の立証責任がサイト運営者自身の LIA と端末機器の保存/アクセスの不在にあることを意味します。
イギリス — 「執行優先度が低い」は法的例外ではない
UK 情報コミッショナー事務局は、2 回のコンサルテーションと Data (Use and Access) Act 2025 を経て、2026 年 4 月 29 日 に Storage and Access Technologies の利用に関するガイダンス を最終化しました。PECR(Privacy and Electronic Communications Regulations 2003、DUAA 2025 で改正)が根拠条文です。
ICO の原文の立場: 「分析 Cookie は『strictly necessary』例外に該当しない。これは、分析 Cookie について人々に伝え、その利用について同意を得る必要があることを意味する。」
ICO は次のように譲歩しています: 「ICO はいずれの領域においても正式な措置の可能性を排除できないが、ファーストパーティ分析 Cookie の設定が低侵襲度かつ個人への危害リスクが低い場合は、常にそうなるとは限らない」 — ファーストパーティの低侵襲分析については執行優先度が低いということです。これは 法的例外ではありません;明示された執行の優先順位低下です。UK のサイト運営者はやはり、バナーをゼロにしたい場合は同意を実装するか、strictly-essential 構成に移行すべきです。
DUAA 2025 は狭い例外(セキュリティ Cookie、年齢確認)を追加しましたが、分析例外は作成しませんでした。ICO の 2025 年 1 月の英国上位 1,000 Web サイトのコンプライアンスレビューと、それに基づいて 134 組織に明確な規制期待を伝えた通信は、正式な執行が稀であってもこのレイヤーを ICO が監査していることを確認しています。
UK 管轄を選択した consent-free 展開は、サーバーサイド限定アーキテクチャ(端末機器の保存/アクセスがないため PECR がトリガーされない)と GDPR 第 6 条(1)(f) の LIA に依拠します。サイト運営者は ICO の低執行優先度の恩恵を受けますが、認められた例外が提供する法的確実性は得られません。
オーストリア — NetDoktor と Schrems-II ライン
オーストリアデータ保護庁の 2021 年 12 月 22 日 NetDoktor 決定(ファイル 2021-0.586.257、D155.027)は、サイト運営者の Google Analytics 利用が GDPR 第 V 章に違反するという、NOYB 協調の最初の決定でした。IP アドレス、固有識別子、ブラウザパラメータが適切な保護措置なしに米国の Google に移転されたためです。SCC と Google の補足措置(IP 匿名化を含む)は、Google が 50 USC § 1881(b)(4)(FISA 702)のもとで電子通信サービスプロバイダーに該当するため、不十分とされました。
罰金は科されませんでした(認定と後続の罰金の間のオーストリアの手続き的分離)が、決定は後続の CNIL(2022 年 2 月 10 日)と Garante(2022 年 6 月 9 日 Caffeina Media)決定が拡張する先例を確立しました。
オーストリアにはフランスの Sheet 16 に相当する独立したオーディエンス計測例外はありません。オーストリアのサイト運営者の同意なし経路はサーバーサイド限定アーキテクチャと文書化された LIA — 本質的にドイツやベルギーのサイト運営者の経路と同じ姿勢 — です。
「OTHER-EU」バケット — 残りの 19 加盟国
残りの 19 の EU 加盟国は ePrivacy 第 5 条(3) の国内国内化を持っていますが、ほとんどの場合、CNIL Sheet 16 枠組みに相当する公表されたオーディエンス計測カーブアウトはありません。Statnive Live の OTHER-EU 管轄値は、11 管轄列挙にモデル化されていない EU 加盟国からの主要トラフィックを持つサイト向けのサイト運営者用セレクタです。
OTHER-EU 展開の堅牢なデフォルトは、サーバーサイド限定アーキテクチャと文書化された第 6 条(1)(f) LIA を備えた consent-free モードです。この構成は、最も厳しい現行セル(ドイツの § 25 TDDDG)を満たすため、27 加盟国すべてで成立します;特定の国内カーブアウトの認識に依存しません。
名前付きリストにない特定の EU 管轄から相当なトラフィックを持つサイト運営者は、国内規制当局の個別ガイダンスを参照し、現地法務に確認すべきです。マップが 19 の管轄を 1 セルに集約しているのは、まさにサイト運営者のコンプライアンス負担が最も厳しいセルによって有界化されており、その最も厳しいセルが既に DE 管轄の挙動でモデル化されているからです。
「OTHER-NON-EU」バケット — イラン(IR)を含む
Statnive Live は IR と OTHER-NON-EU を管轄値として公開しています。バイナリは非 EU 展開を持つサイト運営者によって運用され、同意なしアーキテクチャは管轄を問わず有用で — 多くの場合法的に互換性があるため — です。EU のオーディエンス計測例外は EU/EEA 外には適用されません。 非 EU 管轄での consent-free 展開は、プライバシー保護アーキテクチャの観点からは設定可能ですが、EU 法が適用されないため EU 法のもとで法的に免除されているわけではありません。
イラン(IR)セル固有: Statnive Live は、エアギャップ要件、Cloudflare 依存なし、イランからの ACME なし、イラン NTP のみ、ベンダー化された依存関係、オフライン Ed25519 ライセンス、.ir / .ایران IDN バンドルを処理する専用のイランデータセンター展開経路を運用します。アーキテクチャは現状の通りですが、法的枠組みは EU 法ではなくイラン法です。イランのトラフィックを扱うサイト運営者は、適用ルールについて現地法務に相談すべきです。
OTHER-NON-EU バケットはそれ以外すべてをカバーします: CCPA / 州法のもとの米国サイト、PIPEDA のもとのカナダのサイト、Privacy Act のもとのオーストラリアのサイト、LGPD のもとのブラジルのサイト、DPDP のもとのインドのサイト、PIPL のもとの中国のサイトなど。Statnive Live は PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA への標準準拠を謳いません — これらは現地法務レビューを要するサイト運営者固有の構成です。デフォルトの同意なしアーキテクチャは、それらの体制の同等物(ほとんどの管轄はファーストパーティのサーバーサイドオーディエンス計測を低リスクと認識します)のもとで適格となるよう 設定可能 ですが、マーケティング上の立場は「適合」や「認証」ではなく「設定可能、認証ではない」です。
Statnive Live の 11 管轄列挙とこのマップの対応
サイトポリシーパネルは 11 の値を公開します:
DE— ハードルール検証でpermissiveを禁止;respect_gpc = trueのconsent-freeをデフォルトとします。FR—consent-freeをデフォルトとします;Sheet 16 宣言書文言は/legal/privacy-policy/enと/legal/privacy-policy/fr(後者は FR ロケールミラーが配線された時)で公開されます。IT、ES、NL—consent-freeをデフォルトとします;各国カーブアウトに整合します。BE、IE、AT— サーバーサイド限定アーキテクチャのconsent-freeをデフォルトとします;国内カーブアウトは認識されていないため、サイト運営者は Article 5(3) 非トリガーの枠組みと第 6 条(1)(f) LIA に依拠します。UK— サーバーサイド限定アーキテクチャのconsent-freeをデフォルトとします;ICO の低執行優先度は法的に免除しませんが、端末機器の保存/アクセスを回避することでアーキテクチャは PECR で成立します。OTHER-EU—consent-freeをデフォルトとします;BE/IE/ATと同じ姿勢です。IR— イランデータセンター展開経路;EU 同意ルールが適用されないためpermissiveをデフォルトとします(検証はこの管轄でこれを許可します)。OTHER-NON-EU—permissiveをデフォルトとします;サイト運営者は現地法務レビューに責任を負います。
ハードルール検証はポリシー保存時と、すべての取り込みリクエストにおけるポリシーロード時に実行されます。各管轄で有効な組み合わせは、サイト運営者の慣習ではなく検証によって強制されます。DE サイトを permissive モードに設定しようとするサイト運営者は明示的なエラーを受け取り、リクエストは拒否されます。
マップが変わる場所
マップを追跡するサイト運営者向けの短いウォッチリスト:
- Digital Omnibus 第 88a 条(3)(c) — そのまま採択されれば、オーディエンス計測カーブアウトを 27 加盟国全体で調和させます。2026 年 5 月中旬時点の状況: 委員会提案、欧州議会本会議投票なし。立法状況については Digital Omnibus 記事 を参照してください。
- イタリア Garante — Digital Omnibus 後にリフレッシュされたガイダンスを公表する可能性があります。2021 年 Cookie ガイドラインの更新を注視。
- UK ICO — DUAA 2025 の実装は進行中です。「執行優先度が低い」立場の狭小化や拡大に注視。
- CJEU Latombe 上訴 — EU-US Data Privacy Framework に異議を申し立てます。DPF が崩れれば Schrems-II ラインはさらに厳しくなります;Statnive Live の EU 限定アーキテクチャは防御的な答えです。
- EinwV 認識(ドイツ) — Consent Management Ordinance 認識経路は、
consent-required展開向けに同意 UX を簡素化する認識された PIMS に拡張される可能性があります。 - 各国 DPA 査察報告書 — Hamburg DPA の 1,000 サイト掃討、AP の 500 サイト監視、CNIL の監査プログラム — はすべて定期的に公表され、管轄ごとの執行優先度シグナルを変化させる可能性があります。
このマップには updatedDate フィールドがあります — 読んでいるマップのバージョンについてはそのタイムスタンプを参照してください。任意のセルが実質的に変化した時点で再公開します。
サイト運営者が得られるもの
このマップを参照したサイト運営者の実務上の成果:
- 1 ページの参考資料 — Statnive Live の列挙がモデル化する 11 の管轄について、根本的な国内国内化、オーディエンス計測例外の立場、罰金上限、執行シグナルを 1 行ずつにまとめています。
- 構成判断ツリー。 ドイツに合わせて設定すれば、構成は残りの EU で成立します。サイト運営者の主要管轄に合わせて設定する場合は、その決定とそれを裏付ける LIA を文書化してください。
- 事前展開チェックリスト。 サイト運営者がトラフィックを持つ各管轄について: どの国内規制当局のカーブアウトが適用されるか(もしあれば)、開示文言はどうあるべきか、構成はどこで強制されるか(Statnive Live のハードルール検証がほとんどの作業を行います)。
- 前方互換性の枠組み。 Digital Omnibus が議会を通過する時、サイト運営者はこのマップを立法状況と並べて再読し、カーブアウトが確定した時点で構成を更新できます。
提供しないもの: 特定の展開に関する法的助言。マップはサイト運営者の 出発点 です;LIA、プライバシーポリシー、DPA レビュー、管轄別の法務相談はサイト運営者の 仕上げ作業 です。
やるべきこと・避けるべきこと
| Do | Don’t |
|---|---|
| トラフィックがある最も厳しいセル — 典型的にはドイツ — に合わせて設定し、残りの EU を自動的に成立させる。 | 27 の加盟国別構成を別々に運用する。厳格なベースラインが残りを構成上包含します。 |
| EDPB Guidelines 1/2024 に従って、GDPR 第 6 条(1)(f) の根拠をカバーする Legitimate Interest Assessment を文書化する。 | ドイツで § 25 TDDDG の同意の代替として正当な利益に依拠する — DSK は明示的にこの経路を閉じました。 |
| フランス以外でも保持を CNIL の 25 か月上限に制限する — 構成上、他のすべての加盟国の上限を満たします。 | 期限のない保持を運用する。第 5 条(1)(e) のデータ最小化と EDPB 2026 の透明性焦点が、すべてのセルに適用されます。 |
| オランダのサイト運営者向け: AP の自動スキャンシステムは現在年間 10,000 サイトに到達します。バナー UX を正しく実装する。 | オランダ AP の立場をソフトなシグナルとして扱う。2025 年 4 月の警告ラウンドと 2026-2028 年の「マスサーベイランス」再分類は、執行が強化されていることを意味します。 |
| OTHER-NON-EU バケットでは: 管轄固有の姿勢を明示し、現地法務に相談し、「設定可能、認証ではない」 と明記する。 | PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA への標準準拠を謳う。Statnive はそうしておらず、マーケティング上の立場もそれを反映しなければなりません。 |
結論
2026 年の EU 同意なしアクセス解析マップはパッチワークです — Statnive Live の管轄列挙でモデル化される 11 のセル、7 つの異なる規制立場、4 段階の執行シグナルです。フランスは最もサイト運営者にやさしく。ドイツは最も厳格で、汎欧州展開の拘束的制約です。残りの EU/EEA セルはこの 2 つの基軸の間に、国内規制当局固有の差分とともに位置します。
ドイツを満たす構成は構成上、残りの EU を満たします。フランスの Sheet 16 を満たす構成は、フランス、イタリア、スペイン、オランダをクリーンにカバーしますが、ドイツのトラフィックには依然としてドイツ水準のアーキテクチャが必要です。堅牢な展開は 最も厳しいベースラインに管轄別のローカライズを重ねるもの であり、これがまさに Statnive Live の 11 管轄列挙+ 4 同意モード行列が公開している姿です。
より広範な枠組みについては、柱となるプレイブック が標準的なリファレンスです。国別の深掘りについては、CNIL Sheet 16 と § 25 TDDDG の記事がフランスとドイツを解説します。サイト運営者の初日のワークフロー — DSAR エンドポイント、GPC とハイブリッドモード — については、リンク先の記事が技術的領域をカバーします。立法ニュースの解説については、Digital Omnibus 記事 が議会通過を追跡します。
このマップに誤りがあれば、上記の引用が確認すべき URL です。任意のセルが実質的に変化した時点でマップを更新します — 冒頭の updatedDate は読んでいるバージョンを反映します。
本記事はプライバシーに関する調査資料であり、法的助言ではありません。 マップは累積条件テストを 1 セルに集約しています。すべての Statnive 顧客はデータ管理者であり続け、自身の設定および管轄別分析について責任を負います。IR と OTHER-NON-EU のセルは 設定可能、認証ではない — Statnive は PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA への準拠を謳いません。公開前に各管轄で有資格弁護士と相互参照してください。
規制関連参照の状況 — 2026 年 5 月 13 日時点: CNIL Sheet n°16 + 2025 年 7 月 4 日アップデート + 2026 年 1 月 16 日 Consolidated Cookie Recommendation + 2026 年 4 月 14 日 Tracking Pixels Recommendation;2026 年 1 月 1 日にレガシー評価プログラム廃止;2026 年 1 月 22 日に 350 万ユーロ罰金公表(FR);§ 25 TDDDG + 2024 年 11 月 20 日付 DSK Orientierungshilfe v1.2(2026 年 5 月時点で依然運用中);2024-2026 年の BayLDA / NRW / Berlin / Hamburg による継続的執行(DE);2021 年 6 月 10 日 Garante Cookie ガイドライン、2022 年 1 月 10 日施行 + 2022 年 6 月 9 日決定 n. 224 + 2026 年査察計画(2026 年上半期 40 件以上の標的査察、Guardia di Finanza)(IT);AEPD Cookie ガイド(2023 年 7 月、2024 年 1 月 11 日執行) + AEPD オーディエンス計測ガイド(2024 年)(ES);Autoriteit Persoonsgegevens Cookie 立場 + Telecommunicatiewet 第 11.7a 条 + 2024 年 7 月 16 日 Kruidvat に 60 万ユーロ罰金 + AP 年間 10,000 サイト監視 + 2026-2028 年「マスサーベイランス」位置付け + 2025 年 4 月の 50 組織への警告ラウンド(NL);2020 年 4 月 APD Cookie ガイダンス + 決定 85/2022 + APD/GBA 戦略計画 2026-2028(BE);DPC ガイダンスノート(2020 年)(IE);2026 年 4 月 29 日 ICO Storage and Access Technologies ガイダンス + DUAA 2025(UK);2021 年 12 月 22 日 DSB NetDoktor 決定(AT)。CCPA § 7025(c)(6) — 2026 年 1 月 1 日施行、GPC 順守の可視表示が必要(OTHER-NON-EU セル横断)。Digital Omnibus COM(2025) 837 final — 2025 年 11 月 19 日の委員会提案、2026 年 5 月 13 日時点で COM(2025) 837 に関する欧州議会本会議投票なし。2026 年 2 月 11 日 EDPB-EDPS 合同意見書 2/2026;EDPB Guidelines 2/2023 v2.0、2024 年 10 月 7 日;EDPB Guidelines 1/2024、2024 年 10 月 8 日;草案 EDPB Guidelines 01/2025 on Pseudonymisation(スプリントチームは 2026 年夏の完了を目標);EDPB 意見書 5/2019。EDPB 2026 協調的執行枠組みの焦点: 透明性 + 情報提供義務(横断的)。