2026年 EU 同意不要アクセス解析ガイド

これはデータ保護に関する調査研究であり、法的アドバイスではありません。完全な免責事項は末尾をご参照ください。

TL;DR

2026年にバナーなしでアクセス解析を運用することは可能です — フランスの CNIL シート n°16、イタリアの Garante 2021年ガイドライン、スペインの AEPD ガイド、オランダの AP の立場、そして最も厳格な現行基準（ドイツの § 25 TDDDG）の下で。
ドイツ向けに設定すれば、EU の残りは自然に積み上がります。 § 25 TDDDG を満たす Cookie 不要のサーバー側アーキテクチャは、他のすべての加盟国の視聴者測定の免除を構造上満たします。
GA4 は免除を持つすべての加盟国でその免除に該当しません。 国境を越えた転送 + 顧客横断的なプール + 永続的な識別子 + 単独パブリッシャーでないこと、により失格となります。
デジタルオムニバスの第88a条第3項c号は、EU 全域でこの免除を統一する可能性があります — ただしこれは委員会の提案であり、法律ではなく、2026年2月11日の EDPB-EDPS 共同意見書2/2026は広範な提案パッケージへの懸念を表明しています。
両方のシナリオを想定して設計してください。 Cookie 不要の自社運用ファーストパーティ展開は、今日の継ぎ接ぎ的な状況を満たし、第88a条がそのまま採択されれば初日から適合する位置にあります。

なぜガイドなのか、そしてなぜ今か

EU の運営者の中で同時に同じ結論に至る割合は増えています。Cookie バナーは測定への課税であり、通過する測定はますます信頼できなくなっています。Plausible のCookie バナー調査は、可視性損失の税率を約 55.6% と算定しています — サイトに到着し、バナーを拒否し、アクセス解析から脱落した訪問者です。CNIL の双子の制裁、Google に 3億2500万ユーロ、Shein に 1億5000万ユーロ — 2025年9月1日、いずれも下流の広告技術ではなく Cookie 同意 UX に関するもの — は、バナー自体を、その背後の Cookie だけではなく、規制上の責任にしました。

EU の大部分でアクセス解析をバナーなしで運用する合法的な道筋があります。これは 2009年に ePrivacy 指令が改正されて以来存在しています。フランスの CNIL は過去10年間それを洗練してきました。イタリアの Garante とスペインの AEPD は独自のバージョンを構築してきました。委員会の2025年11月19日のデジタルオムニバス提案は、採択されれば 27 の加盟国すべてでそれを調和させます。ドイツは厳格な例外として残り、達成可能なものを形作っています。

これは実務的なガイドです。2026年に「同意不要」が実際に何を意味するか、各規制当局がどう位置づけているか、ほぼすべての Google Analytics 4 設定を失格させるものは何か、運営者を免除のまま維持するものは何か、なぜ「匿名」トラッキングは見かけ通りでないか、そして、私たちが Statnive Live でほとんどの作業がバイナリ内で完了するように構築した設定。

「同意不要」が実際に意味すること

EU 法には、アクセス解析を規制する 2 つの層があり、両方が同時に適用されます。いずれかに失敗すれば、同意が必要になります。

層 1 — ePrivacy 指令 2002/58/EC 第5条第3項。 利用者の端末機器に情報を保存する、または既に保存されている情報にアクセスする前に同意が必要です — ただし 通信を伝達するため、または利用者が明示的に要求したサービスを提供するために厳密に必要な場合を除きます。EDPB のガイドライン2/2023 バージョン2.0（2024年10月7日採択）は、これを明示的に Cookie を超えて拡張しました — ピクセルトラッキング、URL トラッキング、デバイス上のフィンガープリント、API 経由でアクセスされるローカル生成データ、クライアントでハッシュ化された識別子、IoT レポート、運営者が情報を送信するようデバイスに指示する場合の IP のみのトラッキングは、すべて対象範囲です。訪問者のデバイスに 書き込むまたは読み取る ものはすべて、第5条第3項を発動させます。

層 2 — GDPR。 その後の個人データ処理には第6条の法的根拠が必要です。アクセス解析にとっては、第6条第1項a号（同意）、第6条第1項b号（契約）、または第6条第1項f号（正当な利益）を意味します。(f) は、2024年10月8日の EDPB ガイドライン1/2024 に従って文書化された正当利益評価が必要です — 利益の特定 → 必要性 → データ主体の権利および合理的期待に対する利益衡量。

これら 2 つの層は重なりあい、置き換わりません。EDPB 意見書5/2019 によって、また2026年4月に最終化された英国 ICO ストレージ・アクセス技術ガイダンスによって再確認されたとおり、ePrivacy 第5条第3項は端末機器上のストレージ/アクセスに関して GDPR に対する lex specialis です。GDPR 第6条第1項f号の正当な利益は、ePrivacy 第5条第3項の同意を置き換えることはできません。 イタリアの Garante はさらに進んで、Cookie およびトラッキング機構の根拠として正当な利益を 明示的に禁止 しています。

両層を満たす同意不要のアクセス解析には、正確に 2 つの経路があります：

経路 1: 第5条第3項をまったく発動させない。 Cookie なし、localStorage なし、フィンガープリントプローブなし、クライアント側の識別子読み取りなし。ブラウザはデフォルトで送信するもの（IP、User-Agent、Referer）のみを送信します。サーバーは受信時にそれらを読み取り、アクセス解析を計算し、デバイスに何も書き戻しません。これがドイツで § 25 TDDDG の下で利用可能な唯一の同意不要経路であり、本ガイドが前提とする厳格な基準です。
経路 2: 国別の視聴者測定免除に当てはまる。 フランスの CNIL シート 16、イタリアの Garante 2021年6月10日 Cookie ガイドライン、スペインの AEPD 視聴者測定 Cookie ガイド、オランダの AP の分析 Cookie 立場は、それぞれの ePrivacy 国内転換法の下で、厳密に設定された ファーストパーティ Cookie による同意不要の視聴者測定を許可します。各免除には独自の条件があります。いずれもドイツでは認められていません。

堅牢な設計は 既定で経路 1 とし、運営者が特定の国別免除の要件を満たすことを文書化した場合に限り経路 2 です。Statnive Live は consent-free モードで経路 1 を提供し、シート 16 対象国の運営者が経路 2 を上に重ねられるよう、管轄区域の列挙型を公開しています。

2026年マップ、一目で

各主要 EU/EEA 規制当局の同意不要アクセス解析に関する立場（2026年5月時点）。

管轄区域	視聴者測定免除	注記
フランス (CNIL)	はい — シート n°16 + 2025年7月4日の自己評価	EU で最も寛容。コンプライアンス期限 2026年1月1日。厳格な条件：単一サイト、≤3 イベントタイプ、IP 最終オクテット切り捨て、13か月のトラッカー有効期間、25か月のデータ保持。CNIL の詳細解析を参照。
ドイツ (DSK)	いいえ	§ 25 TDDDG はストレージ/アクセスの根拠として正当な利益を排除します。同意不要のアーキテクチャは純粋なサーバー側処理でなければなりません。TDDDG の詳細解析を参照。
イタリア (Garante)	はい — Cookie ガイドライン 2021年6月10日（2022年1月10日施行）	条件：直接の識別不可、IP マスク Cookie、単一サイト統計、第三者への送信なし。Cookie について正当な利益は明示的に禁止されています。
スペイン (AEPD)	はい — 視聴者測定ガイド (2024)	条件は CNIL に整合。LSSI 第22.2条 + LOPD-GDD。
オランダ (AP)	はい — 「分析 Cookie … は訪問者数を計測する目的のみに使用される場合、同意を必要としない」	第11.7a条 Telecommunicatiewet。AP はコンプライアンスについて年間 500 サイトを監視。
ベルギー (APD)	いいえ	「現行の法的枠組みでは、視聴者測定 Cookie は同意要件から免除されない。」
アイルランド (DPC)	公表された免除なし	EDPB ガイドライン5/2020 と整合。
イギリス (ICO)	いいえ — ただし執行優先度低	2026年4月の ICO ストレージ・アクセス技術ガイダンス：「分析 Cookie は『厳密に必要』の免除に該当しない。」ファーストパーティ、低侵入度分析については優先度低が認められているが、成文化されていない。
オーストリア (DSB)	独立した免除なし	NetDoktor 決定 2021年12月22日は、GA の EU→US 転送を Schrems II 理由で違法と認定。

国別リファレンスマップは、残りの EU/EEA 管轄区域および運営者の「OTHER-EU」「OTHER-NON-EU」バケットの質問をカバーします。

このマップの実務的な効果：ドイツ向けに設定する運営者 — 最も厳格なセル — は、EU の他のすべての場所向けに設定されています。フランスのシート 16 向けに設定する運営者は、フランス、イタリア、スペイン、オランダをすっきりとカバーしますが、ドイツのトラフィックがある場合、依然としてドイツ等級のアーキテクチャが必要です。ドイツ向けに設定すれば、上に積み上がります。

ほぼすべての GA4 設定を失格させる 7 つの「やってはいけない」

これは運営者の否定的チェックリストです。上記マップのいずれの管轄区域においても、これらのいずれかひとつによって、アクセス解析の展開は同意不要領域から「Accept と同等に簡単な Reject ボタンを備えたバナーが必要」に押し戻されます。

1. 同意なしにトラッキング Cookie を設定したり localStorage に書き込んだりしない。 視聴者測定のための Cookie はフランスのシート 16、スペインの AEPD ガイド、Garante 2021年ガイドラインで許可されていますが、厳格な国別免除条件の下でのみ許可され、既定では許可されません。localStorage と sessionStorage は Cookie と同じ第5条第3項のトリガーを持ち、視聴者測定の免除はどこにもありません。

2. 静的または単一のソルトを使わない。 IPv4 の静的ソルトハッシュは 仮名化 であり匿名化ではありません — イタリアの Garante は Google の IP 匿名化機能に対する 2022年6月9日 Caffeina Media 決定でまさにこれを判示しました。IPv4 空間はおよそ 43 億アドレスです。SHA-256(static_salt + IPv4) のレインボーテーブルは単一の GPU で簡単に作成できます。回転しないソルトは保護しないソルトです。

3. 生の IP や生の User-Agent 文字列を保存しない。 両方とも実務上の個人データです — CJEU の Breyer 判決 (C-582/14、2016年10月19日) が動的 IP についてこれを確定しました。CNIL の 2025年7月の自己評価によれば、IPv4 は /24 まで（IPv6 は /48 または /64 まで）切り捨てられ、User-Agent はメジャーバージョンのみに削減されます（「Chrome 126」、「Chrome/126.0.6478.127 Mobile Safari/537.36」ではなく）、いかなる保存の前にも。

4. 第三者のフィンガープリントライブラリを使わない。 Canvas、オーディオコンテキスト、WebGL パラメータ、フォント列挙、ハードウェア並列度 — これらは EDPB ガイドライン2/2023 によって すべて 第5条第3項の範囲です。FingerprintJS、ClientJS、および各種商用フィンガープリント SDK は EU のすべての管轄区域で同意を発動させます。Statnive の GDPR コードレビュースキルはそれらをトラッカーで禁止しています。

5. 顧客の CRM やその他のサイトデータと相互参照しない。 CNIL シート 16 条件は明示的です：「提供者は、複数の顧客から得た視聴者測定の生データを混合してはならない。」 提供者の顧客間のデータプーリングなし。クロスコンテキストプロファイルを構築する他の内部データセットとの結合なし。

6. 顧客サイト間で識別子を再利用しない。 2 つの異なるサイトの同じ訪問者は、互いに関連のない 2 つの署名を生成しなければなりません。CNIL シート 16：「複数のドメインにまたがるトラッキングを可能にする識別子は使用しない。」 これが、Fathom と Statnive の両方が サイトスコープ のソルト要素を使う理由です — 2 つの異なるサイトを訪れる同じ人物は、構造上、リンクできない 2 つのハッシュを生成します。

7. 検証済みの第V章カバレッジなしに、個人データを米国その他の第三国に転送しない。 2022年のオーストリア DSB NetDoktor、フランス CNIL、イタリア Garante、デンマーク DPA の Schrems II 理由による Google Analytics 禁止決定は、2024-2026年の判決によって覆されていません。現在の EU-US Data Privacy Framework（2023年7月発効）は暫定的なカバレッジを提供しますが、Latombe 並びに並行する noyb の異議申し立ての対象となっています。アーキテクチャ上耐久性のある答えは EU のみです。

GA4 は少なくとも点 1 （永続的識別子）、5 （Google のクロス顧客エコシステム）、6 （クロスサイト識別子）、7 （米国データ転送）で失敗します。CNIL のシート 16 における結論の verbatim：「ほとんどの大規模な視聴者測定オファリングは、その設定にかかわらず、免除の範囲に該当しない。」

免除のまま維持する 5 つの「すべきこと」

これらは、— ともに適用された場合 — ファーストパーティアクセス解析スタックが最も厳格な現行レジーム（§ 25 TDDDG）と最も寛容な国別免除（CNIL シート 16）の両方に同時に該当することを可能にする条件です。これらは、デジタルオムニバス第88a条第3項c号の提案がそのまま採択された場合に EU 全域で標準化するアーキテクチャでもあります。

1. 日次回転、サイトスコープのソルトと破棄。 訪問者署名は BLAKE3-HMAC(master_secret, site_id || YYYY-MM-DD) として導出されます。ソルトはプロセス内で計算され、保存されることはなく、前日のソルトは回転時に破棄されます。同じ訪問者が月曜と火曜 → 2 つの異なる署名。クロス日再識別は構造上不可能。同じ訪問者が 2 つの異なるサイト → 2 つのリンクできない署名。クロスサイト再識別は構造上不可能。これは Plausible の構造 (hash(daily_salt + website_domain + ip_address + user_agent)) にソルト削除保証を加えたものです。

2. 保存前の IP 切り捨て。 IPv4 の最終オクテットを少なくとも除去する (203.0.113.42 → 203.0.113.0/24)。IPv6 ではネットワークプレフィックス — 通常 /48 または /64 — のみを保持します。生の IP は GeoIP ルックアップのためにリクエストパスに短時間存在することが許されますが、バッチライターが行を見る前に破棄されなければなりません。地理位置は市/地域に劣化します — CNIL の上限です。

3. User-Agent の最小化とホスト限定リファラー。 UA をデバイス + メジャーブラウザバージョン + メジャー OS バージョンに削減し、サーバー側で解析し、生の文字列は破棄します。リファラーは保存前にホストのみに削減します（example.com、example.com/search?q=secret ではなく）— クエリ文字列内の偶発的な PII を排除します。両方とも CNIL シート 16 の条件であり、両方とも Statnive Live のサーバーでの受信時に行われます。

4. Cookie なし、localStorage なし、フィンガープリントなし。 端末機器のストレージやアクセスが発生しないため、第5条第3項 ePrivacy は発動しません。ブラウザの DevTools → Application → Storage で確認してください。クォータは 0 のままです。Canvas、WebGL、フォント列挙、オーディオコンテキスト、navigator.plugins プローブもありません — これらはすべて、EDPB ガイドライン2/2023 が第5条第3項の範囲に置くクライアント側の読み取りです。

5. 文書化された LIA を伴う制限された保持。 CNIL の 13 か月のトラッカー有効期間と 25 か月のデータ保持上限は、現在最も厳格な欧州基準です。ダッシュボード出力を 10 単位の最近値に集約してください（または WP29/EDPB の匿名化意見書を引用する匿名性分析を文書化）。EDPB ガイドライン1/2024 に従って正当利益評価を維持してください — DPO の関与、3 段階のテスト、毎年または重要な変更に応じて更新。大量、機微なバーティカル、または機能豊富な展開のための GDPR 第35条 DPIA。

これら 5 つの点がアーキテクチャです。デジタルオムニバスの採択に依存しません。最も厳格な現行加盟国レジームを生き延びます。そして、判例が変化するにつれて運営者が交換する必要のない単一の設定に構成されます。

なぜ「匿名」では不十分か — 仮名化の区別

アクセス解析ベンダーのマーケティングページを読んだことのある運営者は、「匿名」という言葉がハッシュ化された IP や Cookie 不要のトラッキングに適用されているのを目にしたことがあるでしょう。この言葉は、GDPR が許可しない法的作業を行っています。

草案 EDPB ガイドライン01/2025 仮名化について — 2025年1月16日の第101回プレナリーで草案として採択され、2026年2月28日まで公開協議が行われ、2026年5月時点でまだ開発中 — は、仮名化されたデータ（ハッシュ化された IP、Cookie ID、BLAKE3/HMAC 訪問者署名、TC 文字列を含む）は、管理者または任意の第三者が利用できる手段によって再識別が 合理的に可能 な場合、個人データ のままであることを明確にしています。CJEU の IAB Europe 判決 (C-604/22、2024年3月7日) は、これを TC 文字列を超えて、IP と組み合わされた いかなる 識別子にも拡張しました。

実務的に：

日次回転ソルトを持つ Cookie 不要のトラッキングシステムは 日内では仮名 であり、日をまたいで のみ匿名になります — そしてそれは前日のソルトが破棄されるからです。
静的ソルト IP ハッシュは無期限に仮名であり、GPU と候補 IP のリストを持つ誰によっても可逆です。
/24 IP 切り捨てから導出された「市レベル」の地理位置は Breyer に従って仮名です — ただし、切り捨てによりストレージ層から最も可逆な識別子が除去されます。これは GDPR 第5条第1項c号のデータ最小化原則と CNIL シート 16 条件の両方が要求するものです。

堅牢な姿勢：ハッシュ化された訪問者識別子を低リスクの個人データとして扱います。それらの処理に第6条第1項f号の正当利益根拠を適用します。LIA を文書化します。それらに対する第15条のアクセス要求と第17条の消去要求を、DSAR エンドポイントを介して尊重します。それらを「匿名」として市場展開しないでください。その言葉は、再識別が 誰によっても合理的に不可能 なデータのためです — そして国家の合法的アクセス権限によってクリアされたハッシュ化された IP は、その基準を満たしません。

これがイタリアの Garante が Caffeina Media 決定で Google の IP 匿名化機能を不十分と認定した理由でもあります：「この機能は IP アドレスの仮名化を構成し、匿名化ではない。… この機能は、Google LLC が保有する追加情報を通じてそのようなデータを充実させる能力を考慮すると、Google LLC が利用者を再識別することを妨げない。」この機能はそのマーケティングが言ったとおりのことをしました。ただ、GDPR の意味での匿名化ではなかったのです。

Statnive Live がこのためにどう作られているか

Statnive Live は上記の「すべき」と「すべきでない」に対して設計されました。アーキテクチャはニュルンベルクの Hetzner ホストサーバーが既定で実行するものです。同じバイナリは顧客のインフラストラクチャ上でも自己ホスト可能であり、その場合 Statnive によって何も処理されません。

構造上 Cookie 不要。 Cookie なし、localStorage なし、sessionStorage なし。端末機器のストレージやアクセスが発生しないため、第5条第3項 ePrivacy は発動しません。トラッカーは、運営者のサイトと同じドメインから提供される ~2.0 KB minified / ~0.9 KB gzipped のファーストパーティスクリプトです — 第三者の CDN なし、第三者のタグマネージャーなし。

日次回転 BLAKE3-HMAC 訪問者署名。 ハッシュは HMAC(master_secret, site_id || YYYY-MM-DD) として導出されます。ソルトはプロセス内にあり、前日のソルトは回転時に破棄されます。構造は Plausible/Fathom アプローチに一致し、サイトレベルの要素を追加することで、2 つの Statnive 追跡サイトにいる訪問者は 2 つのリンクできない署名を生成します。

安静時にハッシュ化された Cookie ID。 運営者が consent-required または hybrid モードで同意を得て Statnive Live を実行する場合、ブラウザに発行される Cookie ID は生の UUID です。サーバー側で保存される値は h: プレフィックス付きの SHA-256(master_secret || site_id || cookieID) です。ブラウザは生の UUID を見ますが、データベースは決して見ません。生の識別子を保存せずに、クロス日訪問者の連続性が保持されます。

サーバー側のホスト限定リファラー。 トラッカーは完全な document.referrer を保存します。受信時、サーバーは書き込み前にそれをホスト部分に削減します。クエリ文字列（検索語句や PII を運ぶ可能性がある）は永続ストレージに入りません。

保存前に生の IP を破棄。 IP は GeoIP ルックアップとハッシュ導出のためにリクエストパスに存在しますが、バッチライターが行を見る前に破棄されます。Statnive Live リポジトリの internal/enrich/geoip.go の統合テストで検証されています。

25 か月のロールアップ保持。 v1 AggregatingMergeTree ロールアップ (hourly_visitors, daily_pages, daily_sources) に 750 日 TTL が適用されます — 24.6 か月、CNIL 上限と余裕を持って一致。それを超えると、ロールアップは運営者の介入なしに自動的に期限切れになります。

4 つの同意モード、11 の管轄区域、ハードルール検証。 サイトポリシーは同意モード列挙型 (permissive / consent-free / consent-required / hybrid) と管轄区域列挙型 (DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU) を持ちます。ハードルールバリデーターは、ドイツの運営者が permissive を選択することを防ぎ (§ 25 TDDDG が禁じています)、アクティブな同意統合なしに consent-required を選択することを防ぎます。バリデーターは管理画面の保存時、およびすべての受信リクエストでのポリシーロード時に実行されます。TDDDG の詳細解析がドイツセルを詳細にカバーします。

GPC と DNT がハッシュ の前に 短絡。 Sec-GPC: 1 または DNT: 1 が設定され、サイトポリシーがこれらのシグナルを尊重する場合、訪問者識別子が計算される前にリクエストは破棄されます。拒否する訪問者のために仮名識別子は生成されません — 何も作成されないため、削除するものは何もありません。GPC とハイブリッドモードの記事がエンドツーエンドのテスト計画を網羅します。

DSAR エンドポイントが標準搭載。 POST /api/privacy/opt-out、GET /api/privacy/access、POST /api/privacy/erase — CSRF 保護、レート制限、監査ログ。8 つのプライバシー監査イベント (privacy.opt_out_received、privacy.dsar_access_requested、privacy.dsar_erase_requested、privacy.consent_given、privacy.consent_withdrawn、legal.lia_viewed、legal.dpa_viewed、legal.privacy_policy_viewed) が、第28条第3項h号アカウンタビリティ監査の準備が整った構造化ログを発行します。DSAR 記事が統合表面をカバーします。

バイナリに埋め込まれた公的法的開示ルート。 /privacy、/legal/privacy-policy/en、/legal/privacy-policy/de、/legal/lia、/legal/dpa は、トラッカーと同じ Go バイナリによって提供されます — CDN 依存なし、エアギャップ対応、Statnive Live を制限された送信環境で実行する運営者からアクセス可能。

その結果は、今日のドイツの厳格な基準を満たし、文書化された自己評価でフランスのシート 16 に該当し、デジタルオムニバスがそのまま採択された場合に提案された第88a条第3項c号に初日から該当する位置にある設定です。運営者は選ぶ必要はありません。同じサイトポリシーが進みます。

これから来るもの — 第88a条第3項c号

2025年11月19日の欧州委員会のデジタルオムニバス提案 — COM(2025) 837 final — は、同意不要目的の限定リストを持つ新しい GDPR 第88a条を導入します。アクセス解析の関連サブパラグラフは 88a 第3項点 c です：「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use.”

2026年5月中旬時点：このファイルは ITRE 報告者 Aura Salla (EPP/FI — Meta でのロビー活動の利益相反について 7 つの市民社会団体から指名異議) と LIBE 報告者 Marina Kaljurand (S&D/EE) を持ちます。EESC は 2026年3月18日にその意見を採択しました。Council Working Party はアクティブな議論中です (ファイル WK 3736/2026 INIT)。COM(2025) 837 に関する欧州議会のプレナリー投票はまだありません — 2026年3月26日のプレナリー投票は 別ファイル のデジタルオムニバス AI ファイルです。2026年2月11日の EDPB-EDPS 共同意見書2/2026 は、より広範なパッケージの個人保護と法的確実性への影響について重大な懸念を表明しました。現実的な採択は 2026年後半から 2027年。発効はおそらく 2027年から 2028年。第88a条は発効から 6 か月後に適用されます。

運営者にとっての 3 つの含意：

このガイドの設定は前方互換です。 ファーストパーティ、集約、管理者専用使用の視聴者測定は、第88a条第3項c号が記述する用途です。上記の「すべきこと」を展開する運営者は、存在する場所では国別免除の下で今日該当し、そのまま採択されれば EU 全域の第88a条の下で明日も該当します。
この提案は層の移行であり、並列の追加ではありません。 個人データの端末機器アクセスについて、GDPR 第88a条が支配し、ePrivacy 5(3) はこれらの操作に適用されなくなります。非個人データの端末機器アクセス (より狭い残余) については、ePrivacy 5(3) が引き続き支配します。2 つの枠組みは並列ではなく順次に動作します。最もクリーンな立場は依然として「そもそも端末機器ストレージやアクセスがない」です — これは両方の層を回避します。
このテキストはロードマップであり、現在の法的根拠ではありません。 デジタルオムニバスのためだけに 設計し、現在の加盟国法のためには設計しない運営者は、今後 12-18 か月を規制ギャップで過ごすことになります。

このガイドの展開方法

Statnive Live を採用する運営者（または自社ホストスタックでアーキテクチャを再現する）の実務的な展開シーケンス：

最も厳格な管轄区域を選ぶ。 トラフィックがドイツのものなら、DE / consent-free に設定。ハードルールバリデーターがこれを行い、寛容な設定を拒否します。
正当利益評価を公表する。 EDPB ガイドライン1/2024 のテンプレートが正典的な構造：利益の特定 → 必要性 → 利益衡量。Statnive Live の推奨表現の LIA テンプレートをダウンロードし、専門家とともに自社の処理コンテキストに合わせて調整してください。
プライバシー通知を公表する。 EN および DE 条項は Statnive Live の /legal/privacy-policy/en と /legal/privacy-policy/de に埋め込まれています。ドイツ語条項には、端末機器のストレージやアクセスがないという § 25 Abs. 1 TDDDG の verbatim 文言が含まれます。英語条項は第6条第1項f号の根拠と CNIL シート 16 の証明パターンをカバーします。
DSAR エンドポイントを配線する。 3 つのルート (/api/privacy/opt-out、/api/privacy/access、/api/privacy/erase) がバイナリで公開されています。DSAR 記事が統合をカバーします。監査ログ表面は既定で配線されています。
EU モードで GPC を既定で尊重する。 ドイツ、フランス、イタリア、オランダのすべてのサイトで consent.respect_gpc = true を設定してください。GPC 記事がクライアント側の短絡 + サーバー側の強制レイヤーを説明します。
イベント監査エンドポイントを毎月実行する。 GET /api/admin/event-audit?site_id=N は、CNIL の 3 イベント上限に対するサイトごとのユニークイベント名数を返します。ok ステータスを目指し、over があれば即座に調査します。
LIA を毎年見直す。 EDPB は毎年の更新と重要な変更時の更新を推奨します — 例：デジタルオムニバスの採択、DPF ステータスに影響する CJEU の付託、国家規制当局の新ガイダンスの公表など。

国別リファレンスマップが管轄区域固有の詳細のためのルックアップテーブルです。3 つの既存プライバシー記事 — 2026年にプライバシー優先のアクセス解析が重要な理由、2026年の GDPR 準拠のアクセス解析、アクセス解析データの所有：2026年のセルフホスト vs プライベート EU SaaS — がより広い状況と管理者対処理者の側面をカバーします。

すべきこと、避けるべきこと — 圧縮マップ

上記の本文セクションは「7 つのやってはいけない」と「5 つのすべきこと」の完全なリストを運びます。最初にスキャンする運営者のための圧縮版：

すべき	避けるべき
最も厳格な加盟国レジーム (ドイツの § 25 TDDDG) に設定する — 残りの EU は積み上がります。	トラフィックがある各加盟国ごとに別々に設定する — それが、決して更新されない 27 の異なる LIA への道です。
日次回転、サイトスコープのソルトを使う。前日のソルトを 1 日の終わりに破棄する。	静的ソルトを使う — 単一の GPU と IPv4 レインボーテーブルがそれを覆します。Garante は Caffeina Media でそう言いました。
保存前に IPv4 を /24、IPv6 を /48 に切り捨てる。User-Agent をメジャーバージョンに削減する。Referer をホストに削減する。	生の IP、生の User-Agent、または完全な referrer URL を保存する — すべて個人データです。生のクエリ文字列は PII を漏洩します。
EDPB ガイドライン1/2024 および国別の自己評価に従って文書化された正当利益評価を公表する。	「CNIL 認証」を主張したり、CNIL ロゴを使ったりする。CNIL は 2026年1月1日に評価プログラムを廃止しました — 運営者は自己評価します。
EU モードで GPC と DNT を既定で尊重する。永続的なオプトアウトリンクで第21条の異議権を尊重する。	ハッシュ化された訪問者 ID を「匿名」データとして扱う — 草案 EDPB 01/2025 ガイドラインでは仮名であり、Breyer では完全に個人データです。

結論

EU の同意不要アクセス解析は 2026年に達成可能です。偶然に達成可能ではなく、米国ベースのアクセス解析ツールを設定して IP を「匿名化」することで達成可能でもありません。ストレージ/アクセストリガーをシステムから設計し、自己破壊する署名を導出し、受信時に識別データを切り捨て、EDPB の 3 段階テストの下で正当利益根拠を文書化することで達成可能です。アーキテクチャがコンプライアンスです。契約は監査トレイルです。

ドイツ向けに設定すれば、他のすべての場所向けに設定されています。LIA を実行すれば、指し示すべき根拠があります。GPC を尊重すれば、提案された第88b条の下でコンプライアンスの推定があります。保持を 25 か月に制限すれば、努力なしに CNIL 上限内に収まります。Cookie を完全にスキップすれば、2025年9月に 4 億 7500 万ユーロの CNIL 制裁を生み出した Cookie バナー UX の規制責任をスキップします。

それが Statnive Live の用途です。Cookie 不要。EU のみ。日次回転ソルト。安静時にハッシュ化された Cookie ID。ホスト限定リファラー。25 か月の保持。4 つの同意モード、11 の管轄区域、ハードルール検証。DSAR エンドポイント、LIA テンプレート、プライバシーポリシーと DPA テンプレートをバイナリ内に、営業電話なしでダウンロード可能。

このガイドが現在のアクセス解析スタックの一部を引き締めるのに役立つなら、それがその用途です。それで切り替えに納得していただけたなら — それが statnive.com/live の用途です。いずれにせよ、上記の「すべきこと」と「すべきでない」は耐久性のあるアーキテクチャです。判例と提案はそれらの周りで変化し続け、ガイドは運営者が毎回再アーキテクチャする必要がないように構築されています。

これはデータ保護に関する調査研究であり、法的アドバイスではありません。 記載されている設定は、文書化された正当利益評価と関連する国別自己評価に基づいて展開された場合に、規制機関のガイダンスの下で適格とみなされます。Statnive の各顧客はデータ管理者のままであり、自身の設定と DPIA に対して責任を負います。発行前に、お住まいの管轄の適格な法律顧問にご相談ください。

規制参照の状況（2026年5月13日現在）：CNIL シート 16 + 2025年7月4日更新（コンプライアンス期限 2026年1月1日は過ぎ、評価プログラム廃止、自己評価レジームが運用中）；TDDDG § 25（2021年12月1日施行、2024年5月に改名）；イタリア Garante Cookie ガイドライン 2021年6月10日（2022年1月10日施行）；AEPD Cookie ガイド（2023年7月、2024年1月11日施行）；オランダ AP の分析 Cookie の立場（第11.7a条 Telecommunicatiewet）；英国 ICO ストレージ・アクセス技術ガイダンス（2026年4月29日）；EDPB ガイドライン2/2023 v2.0（2024年10月7日）；EDPB ガイドライン1/2024（2024年10月8日）；草案 EDPB ガイドライン01/2025 仮名化について（2025年1月16日に草案として採択、2026年2月28日まで公開協議、2026年5月時点で最終版未公表）；2026年2月11日付け EDPB-EDPS 共同意見書2/2026 デジタルオムニバスについて；デジタルオムニバス COM(2025) 837 final（2025年11月19日の委員会提案、2026年5月13日時点で COM(2025) 837 に関する欧州議会本会議採決なし）；CJEU C-582/14 Breyer（ECLI:EU:C:2016:779）；CJEU C-604/22 IAB Europe（2024年3月7日）；CJEU C-621/22 KNLTB（ECLI:EU:C:2024:857）；CJEU C-446/21 Schrems v Meta（2024年10月4日）。