2026 年の GDPR 準拠ウェブアナリティクス: ヨーロッパのサイト運営者のための実践ガイド

GDPR は今月で 8 歳になりました。第 5 条、第 6 条、第 7 条の条文は変わっていません。しかし判例、執行の優先順位、そして「準拠」とされるウェブアナリティクスの実務的な水準は、ここ 18 か月で劇的に動きました。2018 年から 2024 年の間にアナリティクススタックを構築して以来見直していないのであれば、本稿は規制当局が今実際に何を期待しているのか、そして最もリスクの高いパターンをごまかすのではなく設計段階で取り除くにはどうすればよいのかを示すガイドです。

これは、当社が WordPress プラグインと並行して立ち上げる独立アナリティクスプラットフォーム Statnive Live を紹介する短い連載の二本目です。一本目では、WordPress プラグインと Live のどちらを選ぶかの判断ツリーを通しました。Statnive Live はドイツ・ニュルンベルクでデータを処理し、すべてのプランで GDPR 第 28 条 3 項の DPA を提供し、以下の判例に対して設計されています。規制上の主張をする箇所には、決定番号、日付、当局を脚注として記しました。疑わしいものはどれでも検証してください。

2026 年の EU 規制環境

2026 年 4 月時点で、2 年前には真ではなかった 5 つの事実があります。

1. GA4 はドイツの執行において最も指摘されているトラッカーです

2025 年公表の活動報告書（Tätigkeitsbericht Datenschutz 2025）において、ハンブルク DPA (HmbBfDI) はハンブルク拠点のウェブサイト 1,000 件を監査しました。そのうち 185 件で、同意取得前の初回ページロード時にサードパーティトラッキングが発火していました。 その 185 サイトのうち 110 件 — 約 60 % — が Google Analytics を稼働させており、Google Maps（51 件）、Google Ads（42 件）、YouTube（20 件）、Facebook（15 件）が後に続きます。運営者には是正のために 6 か月の猶予が与えられました。

オーストリア DSB の 2021 年 12 月 / 2022 年 5 月の GA 決定（D155.027 / 2021-0.586.257）と、イタリア Garante の 2022 年 6 月 Caffeina Media 決定（措置 9782890）は、いずれも GA の EU→米国転送を Schrems II の根拠で違法と認定しており、2024 年から 2026 年のいかなる判断によっても覆されていません。2022 年の GA 先例は 2026 年でも有効な判例です。

2. EU-US データプライバシーフレームワークは決着ではなく係争中です

DPF は最初の司法挑戦を生き延びました。Latombe 対 Commission（T-553/23）は、EU 一般裁判所により 2025 年 9 月 3 日に判決されました（IAPP の報道）。2023 年 7 月 10 日付の委員会の十分性決定は維持されています。しかし Latombe は 2025 年 10 月 31 日に CJEU へ上訴しており、noyb も並行する挑戦を示唆しています（WilmerHale の分析）。本稿執筆時点での CJEU の手続上のステータスは係属中です。

新しい 2026 年の EU ローンチに対して建築的に堅牢な答えは、したがって 2020 年に Schrems II が示唆したものと同じです。EU の個人データを最初から第三国へ転送しないこと。 EU 限定のデータレジデンシーは、第 44 条から第 49 条をスコープから外します。

3. CNIL は「バナーを使っている」がもはや抗弁にならないと確認しました

2025 年 9 月 1 日、CNIL はクッキー同意 UX について 2 件の同時記録的制裁を、広告テクノロジー下流ではなくバナーそのものに対して発動しました。

Google: 3 億 2,500 万ユーロ、決定 SAN-2025-006 — Google LLC に対する 2 億ユーロと Google Ireland に対する 1 億 2,500 万ユーロ — Gmail の「メールの間に」同意なく広告を表示したこと、およびクッキー同意提示の不備に対して。
Shein: 1 億 5,000 万ユーロ、決定 SAN-2025-005 — 初回ページロードで広告および視聴者クッキーを設置したこと、広告目的の説明欠落、同意撤回時に 追加で 10 個のクッキーをトリガーしたこと、同意なく 10 年間有効な視聴者クッキーを設定したことに対して。

これらは EU で発動されたクッキー同意関連の制裁としては過去最大です。noyb の 226+500 苦情キャンペーン — 監査されたページの 81 % が初表示で「拒否」を欠き、73 % がダークパターンの色彩コントラストを使っていた — と合わせると、規制上の責任はその裏のクッキーだけでなく、バナー そのもの に移ったといえます。

4. ドイツのクッキー法は名前が変わりました（中身は変わっていません）

§ 25 TTDSG は 2024 年 5 月 14 日に § 25 TDDDG となりました。これはドイツのデジタルサービス法施行立法第 4 条が施行された日です（Robin Data の要約）。実質は不変で、端末機器上の非本質的な保存またはアクセスには引き続き事前同意が必要です。プライバシーノーティスにいまだに「TTDSG」とあるなら更新してください。任意の同意管理規則 (EinwV) は 2025 年 4 月 1 日に施行されましたが、§ 25 TDDDG を廃止するものではなく、不参加サイトは引き続きバナー同意を負います。

5. ハッシュ化された IP は依然として個人データです

EDPB は 2025 年 1 月 16 日の第 101 回プレナリーでガイドライン 01/2025 仮名化についてを採択しました。このガイドラインは、ハッシュ化された IP、クッキー ID、BLAKE3/HMAC 訪問者ハッシュ、TC 文字列を含む仮名化データが、管理者または第三者が利用可能な手段により再識別が「合理的に起こりうる」場合には依然として 個人データ であることを再確認しています。CJEU の IAB Europe 判決（C-604/22、2024 年 3 月 7 日）とブリュッセル控訴裁判所の2025 年 5 月 14 日のフォローアップは、これを TC 文字列を超えて、IP と組み合わされた あらゆる 識別子にまで拡張しました。

仮名化はリスクを下げる手段であって、GDPR の免除ではありません。Statnive Live の日次ソルト構成について後述する際にこの点へ戻ります。私たちは「匿名トラッキング」と過剰に主張するより、ハッシュを低リスクの個人データとして扱うほうを選びます。

アナリティクスの 4 つの法的ホットスポット

2026 年のアナリティクススタックは、4 つの問いに答えなければなりません。条文は短く、以下の分析が実務版です。

ホットスポット 1 — 越境転送（GDPR 第 44 条〜第 49 条）

GDPR 第 V 章は第三国への個人データ転送を規律します。DPF は米国向けの現行十分性決定であり、生きているが係争中です（上記参照）。建築的に最もきれいな答え、そして Statnive Live が出荷するものは、すべての処理を EEA 内に保つこと — これにより第 V 章はスコープから完全に外れます。条文本体は gdpr-info.eu/chapter-5/ を参照してください。

ホットスポット 2 — 適法な根拠（GDPR 第 6 条）

6 つの根拠が存在しますが、アナリティクスにとって現実的なのは同意 (a)、契約 (b)、正当な利益 (f) のみです。(f) は文書化された正当利益アセスメントを要し、DSK 2024 年 11 月版 v1.2 ガイダンスは第 6 条 1 項 (f) に基づくファーストパーティ利用アナリティクスのための狭い正当利益カーブアウトを認めていますが、それは § 25 TDDDG の端末機器アクセス要件が独立して満たされている場合に限ります（つまり厳格に必要な例外が適用されるか、保存／アクセスについて別途同意を得ている場合）。

ホットスポット 3 — 同意（GDPR 第 7 条 + ePrivacy 第 5 条 3 項 + § 25 TDDDG）

ここでは 3 つの層が積み重なります。ePrivacy 指令第 5 条 3 項は、訪問者の端末機器に対して 読み取りまたは書き込みを行う 一切のものを規律します。EDPB ガイドライン 2/2023 v2.0（2024 年 10 月 7 日採択）は、その範囲をクッキーを超えて URL/ピクセルトラッキング、IP のみのトラッキング、ユニーク識別子読み取りに明示的に拡張しました。ドイツはこれを § 25 TDDDG として実装しています。GDPR 第 7 条はその後 同意自体 を規律します。自由に与えられ、特定され、情報を与えられ、明確で、立証可能に文書化され、撤回可能でなければなりません。

きれいな出口は、保存／アクセスのトリガーをシステムから設計段階で取り除くことです。クッキーなし、localStorage なし、フィンガープリンティングプローブなし — そして第 5 条 3 項は発火しません。

ホットスポット 4 — 保管（GDPR 第 5 条 1 項 (e)）

"Kept in a form which permits identification of data subjects for no longer than is necessary." CJEU の Schrems 対 Meta 判決（C-446/21、2024 年 10 月 4 日）はこれを補強しました — 行動プロファイルを「時間の制限なく、データの種類による区別なく」無期限に保管することは、第 5 条 1 項 (c) に対する不均衡な違反です。

アナリティクスにとってこれが意味するのは、保管期間を明示し、なぜ必要かを文書化し、実際にスケジュール通りに削除することです。

バナーが計測の損失としていくらかかるか

Plausible のクッキーバナー調査 — バナー追加前後のトラフィックの差を測定 — は、同意バナーが計測アナリティクスの 訪問者の約 55.6 % を奪うことを発見しました。正確に言うと、訪問者は依然としてサイトに到達しますが、バナーを拒否または閉じてアナリティクスツールでカウントされなくなるのです。失っているのは収益の 55.6 % ではなく、自分自身のトラフィックへの可視性 の 55.6 % です。

これがバナーをアナリティクスから設計で外す実務的な理由です。コンプライアンス回避のためではなく、バナー疲れが年々増す中でバナーゲート型のアナリティクススタックがあなたのサイトについて教えてくれることが年々減るからです。

「アーキテクチャで準拠」とは具体的に何を意味するか

Statnive Live は上記の判例に対して設計されました。それが具体的に何を意味するかを以下に示します。

構成上クッキーレス。 クッキーなし、localStorage なし、sessionStorage なし — DevTools → Application で確認可能、ストレージクオータはゼロのままです。端末機器の保存もアクセスも発生しないため、第 5 条 3 項 ePrivacy は発火しません。canvas、WebGL、フォント列挙、navigator.plugins のプローブも一切なし。CI の gdpr-code-review ルールがトラッカー内でこれらを禁止します。

日次ローテーションする BLAKE3-HMAC ソルト。 訪問者ハッシュは HMAC(master_secret, site_id || YYYY-MM-DD) として導出されます。ソルトはプロセス内で計算され、保存されません。月曜と火曜の同じ訪問者は 2 つの異なるハッシュになり、日をまたぐ再識別は構成上不可能です。EDPB ガイドライン 01/2025 によれば、これらのハッシュは依然として個人データであり（私たちもそう扱います）、しかし日次ローテーションはそれをスペクトラムの低リスク端に置きます。

生 IP は保存前に破棄。 IP は GeoIP ルックアップのためだけにパイプラインに入り、バッチライターが行を見る前に破棄されます。internal/enrich/geoip.go の統合テストで保証されており、顧客 DPA はこれを文字通り文書化しています。

DNT と Sec-GPC はハッシュ計算 より前に ショートサーキット。 Sec-GPC: 1 または DNT: 1 がセットされている場合、訪問者識別子が計算される前にリクエストはドロップされます。拒否する訪問者に対して仮名識別子は生成されず、何も作られていないので削除する対象もありません。

ファーストパーティトラッカーによる EU 限定データパス。 Statnive Live SaaS は ドイツ・ニュルンベルクの Netcup VPS 2000 G12 NUE 上でデータを処理します — 第 V 章転送なし、第三国十分性の問題なし。トラッカー JS は同じニュルンベルクオリジンから Go の go:embed 経由で配信されます。サードパーティ CDN なし、サードパーティタグマネージャなし、TC 文字列なしのため、IAB Europe の「TC 文字列 + IP = 個人データ」パターンは構成上無効化されます。

これらは Statnive Live を「GDPR 免除」にするものではありません。コンプライアンス作業のほとんどがすでに済んでいるように設計されたスタックにするものです。プライバシーノーティスは短くなり、DPIA はシンプルになり、上記の項目は最もリスクの高い執行トリガーのほとんどを除去します。

セルフホスト vs プライベート EU SaaS — 契約面の角度

同じ Statnive Live バイナリは 2 つの形態で稼働し、管理者／処理者の姿勢は大きく異なります。

セルフホスト Statnive Live: あなたが自分のサーバーでバイナリを実行します。私たちはあなたの訪問者のデータを見ることも、保存することも、送信することもありません。あなたが管理者であり、Statnive ↔ あなたの DPA は存在しません — 私たちが処理者になるべきものがないのです。バイナリは統合テストで iptables -P OUTPUT DROP（必要なアウトバウンドはゼロ）下で稼働することが検証されており、エグレスなしの主張は再現可能です。

Statnive Live SaaS: トラッカーを当社の管理ニュルンベルクエンドポイントに向けます。あなたが管理者、私たちが処理者です。第 28 条 3 項 GDPR DPA がサインアップ時に締結され、Free を含むすべてのプランに適用されます。現行のドラフト DPA は第 28 条 3 項のすべての 8 つのサブパラグラフをカバーしています — 指示のみ (a)、機密保持 (b)、第 32 条セキュリティ (c)、サブプロセッサ承認 (d)、データ主体の権利支援 (e)、第 32 条〜第 36 条の管理者義務支援 (f)、終了時の削除または返却 (g)、監査権 (h)。

これは WP プラグイン vs Statnive Live 比較が詳しく扱う重要なトレードオフです。コンプライアンス姿勢が署名済み処理者契約を要求する場合 — 規制業界、ISO 27001 顧客アンケート、大規模調達 — SaaS パスがそれを提供します。姿勢が「サードパーティはデータに触れない、それで終わり」を要求する場合は、セルフホストパスがそれを提供します。

`statnive.live` で提供されるもの

Statnive Live SaaS が 2026 年に公開されるとき、契約上のベースラインは箱の中に同梱されます。

すべてのプランで第 28 条 3 項 DPA、Free を含み、2026-04-24 付で署名。
アップストリーム変更から 7 日以内にサブプロセッサリストを更新、新規サブプロセッサが有効になる前に 14 日前に事前通知 — 変更前に異議を申し立てられます（DPA § 5.4 に基づく）。
侵害通知 SLA: 認知から 48 時間、GDPR 第 33 条をミラー。
終了時 30 日間の顧客エクスポートウィンドウ、その後生テーブル、ロールアップテーブル、バックアップ（次回バックアップサイクル ≤ 24 時間）、監査ログをすべて削除 — 連邦法または加盟国法が保管を要求する場合を除く。
第 V 章転送なし。 EU 個人データのすべての処理はドイツ・ニュルンベルクで実施。

DPA、サブプロセッサ登録簿、プライバシーノーティスは、SaaS が公開される際に https://statnive.live/dpa（および同等の URL）で公表されます。それまでドラフトテキストは statnive-live リポジトリの docs/dpa-draft.md に置かれており、バージョン管理されレビュー可能です。

よくある質問

クッキーバナーは依然として必要ですか?

それは 2 つの問いに対する答え次第です: (a) あなたのスタックは訪問者の端末機器に対して読み取りまたは書き込みを行いますか (ePrivacy 第 5 条 3 項 / § 25 TDDDG)? (b) GDPR 第 6 条上の適法な根拠は何ですか?

訪問者の端末上で保存もアクセスも行わないクッキーレスのファーストパーティ利用アナリティクススタック — Statnive Live のような — は、DSK 2024 年 11 月 v1.2 のカーブアウトに基づいて、しばしば第 6 条 1 項 (f) の正当な利益で バナーなしで 進められます。しかし分析は管轄ごとに異なり、プライバシーに慎重な運営者はそれでもプライバシーノーティスを表示することを選ぶかもしれません — ただし同意ゲートではなく。私たちはあなたの DPO ではありません。バナーを変更する前に DPO に確認してください。

ケースバイケースです。正当利益アセスメント — 目的、必要性、データ主体の権利と合理的期待に対するバランステスト — を実施し文書化する必要があります。DSK 2024 年 11 月 v1.2 ガイダンスは ファーストパーティの非共有 利用アナリティクスのためのパスを認めています。Google や Meta とデータをサードパーティ自身の目的のために共有するサードパーティアナリティクスは、同じパスではありません。

イギリスとスイスのデータはどうですか?

イギリスは UK GDPR と DPA 2018 と PECR を執行しています。欧州委員会のイギリス十分性決定は2025 年中頃に更新されたため、EU→UK 転送は現在 SCC を必要としません — 正確な終了日は DPO に確認してください。スイスは revFADP（2023 年 9 月 1 日施行）を執行し、長らく委員会の十分性決定を有しています。スイス-米国 DPF は 2024 年 9 月 15 日付で発効が確認されました。実務的には、本稿のニュルンベルク限定の EU 枠組みは両者にとって同じ防御的な答えです — 転送なし、問題なし。

EU で GA4 を今使っても安全ですか?

いいえ。Schrems II の根拠で Google Analytics を禁じた 2022 年のオーストリア DSB / フランス CNIL / イタリア Garante / デンマーク DPA の決定は、2024 年から 2026 年のいかなる判決によっても覆されていません。ハンブルクのスイープ（同意前トラッキング違反の 60 %）は 2025 年で最も強いシグナルです。DPF の CJEU 上訴が法的な絵姿を最終的にどう変えるとしても、2026 年の執行の絵姿は依然として GA4 を高リスクのデフォルトとして扱います。

ハッシュ化された IP は匿名ではありませんか?

いいえ、EDPB はガイドライン 01/2025（2025 年 1 月 16 日）で明示的にそう述べました。仮名化データは、再識別が合理的に起こりうる場合には個人データです。日次ソルトローテーションは 日をまたぐ 再識別を減らします — それが私たちが実施する理由です — しかし結果として得られるハッシュは 1 日のうちは依然として個人データであり、私たちはそう扱います。

結論

2026 年において、GDPR 準拠のウェブアナリティクスはコピーデックの問題ではなく設計の問題です。4 つのホットスポット — 転送、適法な根拠、同意、保管 — それぞれに、契約による答えより厳密に擁護しやすいアーキテクチャ的な答えがあります。2025 年 9 月の CNIL の双子制裁は「バナーを使っている」という抗弁を閉じ、EDPB の仮名化ガイドラインは「IP をハッシュしている」という抗弁を閉じ、ハンブルクのスイープは pre-consent GA tag を典型的な違反に変えました。最もきれいな 2026 年スタックとは、最もリスクの高いトリガーがコードベースに存在しないために発火しないようなものです。

それが Statnive Liveの役割です。クッキーレス。EU 限定。すべてのプランで第 28 条 3 項 DPA。フィンガープリンティングなし、サードパーティ CDN なし、構成上バナー不要。近日 ja.statnive.com/live で公開。それまで、WordPress プラグインは WordPress.org で無料で、比較記事がどちらのプロダクトがどのサイトに合うかを説明し、元のプライバシーファースト概観が本稿のワンページャー版です。

ここに書いたことのどれかが間違っていると判明したら、私に書いてください — すべての規制引用には URL があり、磨き上げられた半真実を出荷するより脚注を訂正するほうがよいので。