EUでは、長年ウェブ担当者を悩ませてきたCookie(クッキー)規制のルールが大きく変わろうとしています。2025年11月に欧州委員会が提案した「デジタル・オムニバス」は、EU域内ユーザーにサービスを提供するすべてのサイトに影響しうる包括的な法改正パッケージです。まだ成立前とはいえ、方向性はすでに固まりつつあります。
本記事では、デジタル・オムニバス法案の概要やCookie規制への影響のほか、今後求められるクッキーバナーについてもわかりやすく解説します。
目次
EUデジタル・オムニバス法案とは、GDPRやePrivacy指令、データ法などのデジタル規制を統合・簡素化する法案
EUデジタル・オムニバス法案は、EU域内のデジタル関連規制を横断的に見直し、整合性を高めることを目的とした包括的な法改正パッケージです。GDPR(一般データ保護規則)、ePrivacy指令(ePrivacy Directive)、NIS2指令(ネットワーク・情報セキュリティ指令)、データ法(Data Act)など複数の法令にまたがる改正提案が一括して盛り込まれています。
法案は「データ・サイバーセキュリティ・プライバシー規則に関するデジタル・オムニバス」と「AIに関するデジタル・オムニバス」の2つで構成されており、ウェブ担当者にとって特に影響が大きいのは、前者の「データ・サイバーセキュリティ・プライバシー規則に関するデジタル・オムニバス」です。
ePrivacy指令とGDPRの二重構造で運用されてきたCookie規制がGDPRに一本化され、それに伴い、クッキーバナーに求められる設計が変わります。
EUデジタル・オムニバス法案策定の背景
法案策定の起点となったのは、イタリア前首相で欧州中央銀行(ECB)前総裁も務めたマリオ・ドラギ氏が2024年9月に公表した「ドラギ・レポート」です。同レポートでは、EUの規制環境が、特にデジタル分野におけるイノベーションを阻害する一因になっていると示しました。
Cookie規制においては、現行のePrivacy指令が事業者とユーザーそれぞれに課題を引き起こしてきました。事業者側では、ePrivacy指令が各国の国内法化に委ねられているため、加盟国間でルールの解釈や運用にばらつきが生じやすく、対応コストが膨らむ要因となっていました。ユーザー側では、複雑なバナー設計による「同意疲れ」が深刻化していました。EU市民がクッキーバナーの対応に費やしている時間は年間約3億3,400万時間、労働損失コストに換算すると年間約112億ユーロ(約2兆160億円)に上るとされています。
欧州委員会はこれらの課題に対応するため、「規制の簡素化」への取り組みを開始し、2025年11月に具体的な法案としてデジタル・オムニバスを公表。さらに2026年2月には、ePrivacy規則案を正式に撤回し、Cookie規制がGDPRに完全統合されるという方向性が事実上確定しました。
ここでいう「規制の簡素化」とは、事業者のコンプライアンス負担を軽減し、ユーザーの権利保護を損なわないことを目指しています。
EUデジタル・オムニバス法案の対象事業者
デジタル・オムニバスはGDPRの改正という形をとるため、適用範囲はGDPR第3条の域外適用規定に基づきます。そのため、EU域内に拠点を持つ事業者に限らず、EU在住ユーザーに対して商品・サービスを提供している事業者が対象となります。
日本のサイトであっても、以下に当てはまる場合は対応が必要になる可能性があります。
EUデジタル・オムニバス法案における日本の対象サイト
- EU在住ユーザーに向けてサービスや商品を提供しているサイト
- 広告配信・リターゲティング目的のCookieを使用しているサイト
- 訪日観光向けコンテンツや越境ECを運営しているサイト
一方、EU在住ユーザーを明確に対象としておらず、日本国内のみを対象としたサービスやCookieを一切使用していないサイトであれば、対象外となる可能性が高いといえます。ただし、サイトの言語や内容だけで判断が難しいケースもあるため、社内の法務担当へ確認しておくとよいでしょう。
EUデジタル・オムニバス法案がCookie規制に与える4つの影響
現行のCookie規制はGDPRおよびePrivacy指令(各国の国内法に委ねられた指令)を根拠としており、加盟国ごとの運用に差が生じていました。デジタル・オムニバス法案では、ePrivacy指令をGDPRの枠組みへ統合・移行させることで、EU全体でCookie規制が統一されます。ウェブサイトの設計・運用において確認しておきたいポイントは、主に以下の4点です。
1.クッキーバナーの「拒否」ボタンはワンクリック設計が必須
現行のクッキーバナーは、「すべて同意」ボタンは目立つ位置に大きく配置されている一方、「拒否」や「設定変更」は小さなリンクや複数のステップを経なければたどり着けない設計になっているケースがあります。このような「ダークパターン」と呼ばれる設計が、ユーザーの実質的な選択の自由を奪っているとして、すでにGDPRのもとで違反とされています。
デジタル・オムニバス法案(GDPR新88a条)では、端末へのデータ保存・アクセスを同意に基づいて行う場合、同意の拒否をワンクリックボタンまたは同等の手段で行えるようにすることが明文化されます。「すべて同意」ボタンと同じ階層・同じ視認性で「すべて拒否」ボタンを設置することが求められる点を、改めて確認しておきましょう。
2.Cookie同意の再要求禁止が明文化、拒否後は6か月間禁止
デジタル・オムニバス法案では、ユーザーのCookieに対する意思表示について同意した場合と拒否した場合において、それぞれ再要求の禁止ルールが法令として明文化されます。
ユーザーが一度Cookie同意を拒否した場合、同じ目的での再同意要求を少なくとも6か月間禁止することが義務付けられます。再要求の禁止自体は従来のガイドラインでも求められていましたが、新88a条により6か月という具体的な期間がEU全体で法令上統一される点が大きなポイントです。
ユーザーが一度同意した場合も、その同意が有効な期間中は同じ目的での再要求が禁止されます。同意を得ていても、期間中に繰り返し同意を求め直すことはできません。
ウェブサイト側への実務的な影響としては、ユーザーの拒否・同意履歴を正確に記録・管理する仕組みの構築です。すでにCMPツール(同意管理プラットフォーム)を利用している場合は、拒否履歴を6か月間適切に保持・参照できる設定になっているか、また同意履歴についても有効期間中の再要求を防ぐ管理ができているかの確認が必要です。
3.プライバシーシグナルによるCookie同意の一括管理
デジタル・オムニバス法案では、ブラウザやアプリの設定を通じて、ユーザーの同意・拒否の意思を自動で読み取り可能な形(プライバシーシグナル)で送信できる仕組みの導入が求められます。
この仕組みが普及すれば、ユーザーはブラウザ上で一度、同意・拒否を設定するだけで、訪問するすべてのサイトに対してCookieの同意状態を自動で伝えられるようになります。
ただし、サイト側にプライバシーシグナルを尊重する義務が課されるのは採択から24か月後、ブラウザ・OS提供者全般への義務は採択から48か月後です。即効性のある変更ではありませんが、サイト側がプライバシーシグナルを正しく受け取り尊重するためには、利用しているCMPツールがシグナルに対応している必要があります。義務化のタイミングに合わせて、CMPツールの対応状況を事前に確認しておきましょう。
4.同意不要Cookieの範囲を明文化・整理
現行のePrivacy指令でも「通信の送信に必要な技術的Cookie」と「ユーザーが明示的に要求したサービスに必要なCookie」は同意不要とされていました。デジタル・オムニバスではCookie規制がGDPRに統合されることで、以下の目的に必要なCookieについては、ユーザーの同意なしに使用できる「ホワイトリスト」として明文化・整理されます。
同意不要(ホワイトリスト)に該当するCookie
- セキュリティ維持のためのCookie
- 自社サイトの利用状況に関する集計・測定用のCookie(自社利用のみのアクセス解析)
- ユーザーが明示的に要求したサービスに必要なCookie(ログイン維持・カート保存など)
- 通信の送信に必要なCookie
特に注目すべきは、アクセス解析目的のCookieです。自社サイトのアクセス解析のみを目的としており、第三者に共有しない場合は同意不要となる見込みです。アクセス解析ツールしか使っていないシンプルなサイトであれば、クッキーバナー自体が不要になる可能性があります。
一方、Google広告やMeta広告などの広告配信・リターゲティング目的のCookieは引き続き同意が必要です。広告関連のCookieを1つでも使用しているサイトでは、クッキーバナーは引き続き必要です。ただし、現行の「同意しやすく拒否しにくい」設計は認められないため、クッキーバナーの設定変更やデザインの見直しは避けられません。
対応しないとどうなる?Cookie同意違反が招くリスク
デジタル・オムニバスが成立すれば、Cookie規制の執行根拠がePrivacy指令からGDPRに完全移行します。GDPRには全世界年間総売上高の最大4%の制裁金を科す枠組みがあり(GDPR第83条)、Cookie同意違反にも直接適用されることになります。また、現行のルール下でもCookie関連の制裁事例はすでに存在しています。
| 企業名 | 制裁金 | 制裁理由 |
|---|---|---|
| 2億ユーロ(約361億円) | パーソナライズ広告Cookieへの誘導、Cookie同意がサービス利用条件であることの不明示 | |
| Meta | 6,000万ユーロ(約78億円) | Cookie利用を拒否するプロセスが同意するプロセスに比べて複雑 |
| American Express | 150万ユーロ(約2億円) | 同意前、拒否後もCookieの読み取りを継続 |
「日本のサイトだから関係ない」という認識も危険です。EU在住ユーザーを対象としたサービスを提供している場合、事業者の所在地を問わず適用されます。今後、Cookie規制がGDPRに統合されることで執行根拠がより明確になる点には注意が必要です。
EUデジタル・オムニバス法案の採択・適用開始スケジュール
2026年3月の時点では採択までの正確なスケジュールは公表されていませんが、2026年7月以降に最終採択の見込みと考えられます。
正式に成立するためにはEU理事会・欧州議会・欧州委員会による「三者対話(トリローグ)」を経て、EU理事会と欧州議会の共同採択が必要です。現在は修正案の議論がなされています。
採択後、Cookie規制の新ルールは6か月以内に適用開始となる予定です。
| 時期 | 内容 |
|---|---|
| 2026年3月現在 | 欧州議会の関係委員会による修正案の議論・提出 |
| 2026年4月以降 | 欧州議会委員会での修正取りまとめ・三者協議開始 |
| 2026年7月以降 | 最終採択の見込み |
| 採択から6か月以内 | Cookie規制(88a条)適用開始 |
| 採択から24か月以内 | ブラウザのプライバシーシグナル義務(88b条)適用開始 |
最終的な条文は変わる可能性もありますが、「ワンクリック拒否」など、これまで問題視されてきた内容が盛り込まれる方向性は大きくは変わらないと見られています。
サイト側での設定変更やバナーデザインの見直し、法務担当との連携調整など、対応には一定のリードタイムが必要です。法案の動向を継続的にウォッチしながら、今から自社サイトの現状把握と準備を進めておくことが重要です。
CMPツールの導入・見直しで、法改正への備えをスムーズにしよう
今回のEUデジタル・オムニバス法案が成立すれば、クッキーバナーに求められる設計要件は大きく変わります。ワンクリックでの拒否対応、6か月間の再表示禁止、プライバシーシグナルへの対応など、これまでの設計をそのまま使い続けることは難しくなる可能性が高いといえるでしょう。そのため、早い段階から「今の設定で新しい要件を満たせるか」を確認しておくことが重要です。
特に優先度が高いのは、プライバシーシグナルへの対応です。 CMPツールの選定・移行には時間がかかるケースも多く、義務化のタイミングを待ってからでは準備が間に合わない可能性があります。早めに対応の検討を始めることをおすすめします。
国産CMPツールシェアNo.1 ※1の『webtru(ウェブトゥルー)』では、GDPRに対応しているだけではなく、ウェブアクセシビリティに準拠しており、ワンクリックでの拒否対応が可能な設計になっています。
また、日本人スタッフによるサポートを何度でも無料で利用できる点※2も、継続的な対応を考えると心強いポイントです。EU法令を含むプライバシー・セキュリティ関連の最新動向は、YouTubeチャンネル「プラセキラボ」でもわかりやすく解説しています。法改正のウォッチにもぜひご活用ください。
自社に合ったCMPツールを活用して、法改正へのスムーズな対応を目指してみてはいかがでしょうか。
※1:2026年3月時点 当社調べ。
※2:ベーシックプラン・プラスプランのみが対象です。
※本記事はEUのデジタル・オムニバス法案(2025年11月提案)の内容をもとに執筆しています。法案はまだ成立前であり、最終的な内容は交渉過程で変更される可能性があります。
