コンプライアンス2026年4月2日 | FlexyConsent

GDPRクッキーバナー要件:2026年版コンプライアンス完全チェックリスト

法的基盤

クッキー同意の義務は、GDPR(Regulation 2016/679)およびePrivacy Directive(2002/58/EC)に由来します。ePrivacy Directiveは、ユーザーのデバイスに情報を保存する前に同意を求めることを要求しており(Article 5(3))、GDPRは有効な同意を定義しています(Article 4(11)、Article 7、Recital 32)。

14の要件

1. 事前同意

非必須クッキーは、ユーザーが同意するまで発火してはなりません。ePrivacy DirectiveのArticle 5(3)は明確です。CNILは、ユーザーの操作前にクッキーを読み込んだとしてGoogleに1億5,000万EURの罰金を科しました(2022年)。

2. 自由に与えられた同意

同意はアクセスの条件にしてはなりません(GDPR Article 4(11))。クッキーの同意を利用規約と一括にすることはできません。

3. 目的ごとの個別選択

ユーザーは各目的に個別に同意する必要があります — 分析、広告、機能(GDPR Recital 43)。カテゴリー選択なしの「すべて同意」ボタンだけでは不十分です。

4. 同意と拒否の同等の目立たせ方

拒否は同意と同じくらい見やすくなければなりません。CNILは、最初のレイヤーに同等の視覚的比重を持つ「すべて拒否」ボタンを求めています。Microsoftは、拒否オプションを隠していたことも理由の一つとして6,000万EURの罰金を科されました(2022年)。

5. 事前チェックされたボックスの禁止

CJEU Planet49判決(C-673/17、2019年):事前チェックされたボックスは有効な同意ではありません。すべてのカテゴリーはデフォルトでオフでなければなりません。

6. クッキーウォールの禁止

同意が得られるまでサイトへのアクセスをブロックすることは、一般的に非準拠です。EDPBおよびオランダのDPAがこれを確認しています。

7. 明確で平易な言葉

GDPR Article 7(2) — 同意の要求は明確で平易な言葉を使用する必要があります。「体験向上のためにクッキーを使用しています」では不十分です。

8. 言語の一致

GDPR Article 12(1) — 情報は理解可能でなければなりません。バナーはウェブサイトの言語に合わせる必要があります。

9. クッキーポリシーへのリンク

GDPR Articles 13-14は包括的な情報を求めています。バナーには、すべてのクッキーを記載した完全なクッキーポリシーへのリンクが必要です。

10. 簡単な撤回

GDPR Article 7(3) — 撤回は同意を与えるのと同じくらい簡単でなければなりません。常時表示されるウィジェットやフッターリンクで同意インターフェースを再度開けるようにする必要があります。

11. 同意の記録保持

GDPR Article 7(1) — 同意が得られたことを証明する必要があります。タイムスタンプ、選択内容、バナーのバージョンを記録してください。

12. 第三者への開示

GDPR Article 13(1)(e) — すべての第三者データ受領者を開示する必要があります。TCF 2.3では、ベンダーリストが同意インターフェースからアクセス可能でなければなりません。

13. データ保持の透明性

GDPR Article 13(2)(a) — クッキーの保持期間を開示する必要があります。

14. モバイル対応

モバイルに対するGDPRの免除はありません。ボタンはタップ可能で、テキストは読みやすく、インターフェースはすべての画面サイズで機能する必要があります。

クイック監査チェックリスト

自動化しましょう:FlexyConsentはすべての要件に対応 — Google認定CMPでIAB TCF 2.3、Consent Mode V2、43以上の言語、月額0 EURからのプラン。panel.flexyconsent.comで始めましょう。
← ブログ すべて読む →