※ 日本の法整備は急速に進んでいます。この記事は随時アップデートします。
この記事のスコープ:CAPI(コンバージョンAPI)を使用していない、通常の広告タグ+GA4構成のサイトを対象としています。CAPIを使用している場合は個人データの取り扱いが異なるため、別途設計の検討が必要です。
「うちはEUには関係ない」と思っていませんか
日本国内だけにサービスを提供している。EU向けに広告も出していない。英語ページもない。そう思っているサイトオーナーの方でも、GA4を確認してみると、毎月数十〜数百セッションのEU流入が記録されているケースは珍しくありません。
検索エンジン経由、SNSのシェア、海外在住の日本人ユーザー。経路は様々ですが、インターネット上に存在するサイトである以上、EU居住者からのアクセスを完全に遮断することは現実的ではありません。
そして、GDPRが問うのは「意図」ではなく「結果」です。
まず確認する:GA4でEU流入を見つける方法
難しい設定は不要です。GA4の標準レポートで確認できます。
Step 1 GA4の管理画面を開く
Step 2 左メニューの「レポート」→「ユーザー属性」→「地域」を選択
Step 3 ディメンションが「国」になっていることを確認する
Step 4 ドイツ・フランス・オランダ・イタリア・スペイン・ポーランドなどEU加盟国のセッション数を確認する
Step 5 期間を「過去3ヶ月」に設定して傾向を把握する
判断の目安:EU加盟国からのセッションが合計で月10件以上あれば、GDPRの実務的な対象として検討する段階です。ゼロでない限り「ないもの」として扱うことは推奨しません。
GDPRが問うのは「意図」ではなく「結果」
GDPR(EU一般データ保護規則)は、EU居住者の個人データを取り扱う事業者に適用されます。「EU向けにビジネスをしている」かどうかは関係ありません。EU居住者がサイトを訪問し、Cookieによってデータが収集された時点で、GDPRの管轄下に入ります。
通常の広告タグが送っているもの
CAPI未使用の一般的な広告タグ構成(Meta広告・Google広告など)が送信するのは、主にCookieベースの識別子(_fbp、_gaなど)、クリックID(fbclid、gclid)、およびページビューやコンバージョンのイベントデータです。メールアドレスや電話番号などの明示的な個人情報は含みません。
ただしGDPRは、Cookieベースの識別子も「個人を特定しうるデータ」として広く解釈します。そのため、CAPI未使用であっても、EU居住者に対してはCookieを発火させる前に明示的な同意を得る設計が必要です。
GDPRが求める同意の水準
GDPRが要求するのは「明示的オプトイン」です。ユーザーが積極的に同意ボタンを押した場合にのみCookieを発火させる設計が必要で、バナーを閉じた時点で同意とみなす「オプトアウト型」は認められません。
日本の改正電気通信事業法が認めるオプトアウト方式とは、根本的に異なるルールです。
違反した場合のリスク
- 制裁金:全世界年間売上高の4%、または2,000万ユーロのいずれか高い方
- 各国データ保護当局(DPA)からの調査・警告・業務停止命令
- 「知らなかった」「意図していなかった」は免責事由にならない
中小規模サイトへの大規模制裁は現実的に多くはありませんが、2023年以降、欧州のDPAが越境サービスへの調査を強化している傾向があります。問題になってから対応するよりも、コストの低い今のうちに手を打つほうが合理的です。
日本ユーザーへの広告タグ:現状の法的位置づけ
CAPI未使用の広告タグ構成において、日本ユーザーへのバナー表示義務については、現時点では法的にグレーゾーンです。
改正電気通信事業法(2023年施行)は、外部送信規律として「利用者への情報提供または同意取得」を求めています。ただし同法の解釈では、プライバシーポリシーへの記載と、オプトアウト手段の提供で対応できる範囲があります。CAPIを使わない通常の広告タグは、現状この範囲に収まるケースが多いと考えられます。
ただし、この解釈は法整備の進展によって変わりえます。個人情報保護法の次期改正や、総務省・個人情報保護委員会のガイドライン更新が続いており、今後バナーによる同意取得が明示的に求められる可能性があります。
CAPIを使用している場合は、メールアドレスや電話番号のハッシュ値を広告プラットフォームに送信するため、個人データの第三者提供として明確に同意取得が必要です。この記事のスコープ外ですが、該当する場合は別途設計を検討してください。
現実解:CookieYes ProでEUにだけバナーを出す
EU流入がある日本サイトの最初の一手として、弊社がCookieYesパートナーとして推奨するのが、CookieYes Proの地域別同意設定です。
Proプランでできること
CookieYes Proの地域別設定では、特定の地域に対してのみ同意バナーを表示できます。EUを対象地域として設定することで、EU居住者にだけGDPR準拠の明示的オプトインバナーを表示し、それ以外の地域(日本を含む)にはバナーを表示しない構成が実現できます。
プランの制限について
CookieYes Proは地域設定が1箇所です。「EU向けGDPRバナー」と「日本向け別バナー」を同時に設定するには、さらに上位のプランへのアップグレードが必要になります。
まず優先すべきはGDPR対応です。EU流入があるにも関わらず同意なしでCookieが発火している状態を解消することが最初のステップです。日本ユーザー向けの同意設計は、法整備の動向を見ながら次のフェーズで検討する、という段階的アプローチが現実的です。
無料プランとの違い
CookieYesの無料プランで地域別設定ができない場合、GDPRに準拠しようとすると全世界に明示的オプトインバナーを表示せざるを得ません。
結果として日本ユーザーにも毎回同意を求めることになり、同意率の低下でGA4データが欠損します。計測精度とコンプライアンスの両立ができない構造になります。
Consent Mode v2との組み合わせ
CookieYes ProとConsent Mode v2を組み合わせることで、EUユーザーが同意を拒否した場合でもGA4の計測精度を一定程度維持できます。さらにsGTMと合わせた構成については別記事で詳しく解説しています。
mare internoからの実務的な判断軸
以下の条件が揃っている場合、対応を急ぐことを推奨します。
- GA4でEU加盟国からの流入が月10セッション以上ある
- GA4・GTM・広告タグなどのCookieが設置されている
- CookieYesを使っていないか、無料プランのまま
逆に、EU流入がゼロに近く、今後もEUユーザーを対象とするコンテンツを発信しない場合は優先度は下がります。まずGA4で現状を確認することが最初のステップです。
まとめ
- GDPRはEU向けに発信していない日本サイトにも適用されうる
- EU居住者がアクセスしCookieが発火した時点で対象になりえる
- GDPRが求めるのは「明示的オプトイン」。日本のオプトアウト方式とは別のルール
- CAPI未使用の広告タグ構成であれば、日本ユーザーへのバナー義務は現状グレーゾーン
- CookieYes ProでEUにだけバナーを出すことが、現時点の現実解
- 日本側の同意設計は、法整備の動向を見ながら次フェーズで対応する段階的アプローチが合理的
「うちには関係ない」と思っていたサイトに実はEU流入があったというケースは少なくありません。5分あればGA4で確認できます。まずそこから始めてください。
※ 日本の法整備(個人情報保護法改正・総務省ガイドライン等)は現在進行中です。本記事の内容は随時アップデートします。法的判断が必要な場合は専門家にご相談ください。