GoogleアナリティクスやMetaピクセルタグをウェブサイトに設置しているだけで、EUの個人データ保護規制「GDPR」の対象になる可能性があります。GDPRは、EU・EEA域内の個人に関する個人データの取扱いを包括的に定めた法規制で、2018年5月25日に施行されました。「EUと取引がないから関係ない」と考えていても、ウェブサイトの設計や運用によっては日本企業にも直接適用されます。
本記事では、GDPRとは何か、自社サイトが対象かどうか、そして何をすればいいかを順を追って解説します。

目次
GDPR(EU一般データ保護規則)とは、EU・EEA内での個人データの収集・利用・保護に関する包括的な法規制のこと
GDPRとは、General Data Protection Regulationの略称で、日本語では「EU一般データ保護規則」と訳されます。EUが2016年に採択し、2018年5月25日に施行した個人データの収集・利用・保護に関する包括的な法規制です。
対象地域はEU27か国に加え、ノルウェー・アイスランド・リヒテンシュタインの3か国を含むEEA(欧州経済領域)全域で計30か国です。GDPRはEU規則(Regulation)であり、EU加盟国では国内法化を待たず直接適用されます。EEA3か国についても、EEA協定に組み込まれる形で適用されるため、実務上はEEA全域を前提に対応を検討する必要があります。

GDPRで定義される「個人データ」とは
GDPRにおける「個人データ」は、日本の個人情報保護法と比べて広い範囲をカバーしています。氏名・住所・生年月日といった特定の個人を識別できる情報にとどまらず、以下のような情報も個人データに含まれます。
GDPRにおける個人データの種類
- 電話番号・メールアドレス
- 識別番号(パスポート番号など)
- 位置データ
- オンライン識別子(IPアドレス・CookieのID・広告IDなど)
- 遺伝子データ・生体データ
重要なのは、これらが単独で特定の個人を識別するかどうかではなく、個人の識別につながりうるかどうかで判断される点です。たとえばCookie IDは、それ単体では個人を特定できませんが、閲覧履歴や位置情報と結びつくことで特定の個人の行動を追跡できます。そのためGDPRはCookie IDを個人データとして扱い、特にトラッキングやターゲティング広告等については同意の取得を求めています。
ウェブサイトにGoogleアナリティクスやMetaのシェアボタン等を設置すると、訪問者のIPアドレスやCookie ID、閲覧情報などが各プラットフォームに送信されます。この場合、設置したウェブサイト運営者も個人データの共同管理者としてGDPR上の義務を遵守する必要があります。
GDPRが企業に求めること
GDPRは、7つの基本原則・データ主体(個人)の権利保障・データ保護責任者(DPO)の任命・EEA域外へのデータ移転規制など、多岐にわたる対応を企業に求めています。本記事ではこのうち、ウェブサイト運営者が特に押さえておくべき点を中心に解説します。
7つの基本原則
GDPRは個人データの取り扱いに関して、以下の7原則を定めています。
- 適法性・公正性・透明性:明確な法的根拠に基づき、データ主体(個人)に対して透明性のある方法で取り扱うこと
- 目的の限定:特定の明確な目的のためにのみ収集し、その目的の範囲を超えて利用しないこと
- データの最小化:目的達成に必要な範囲のデータのみを収集すること
- 正確性:データを正確かつ最新の状態に保つこと
- 保存の制限:目的を達成するために必要な期間を超えて保存しないこと
- 完全性と機密性:適切な技術的・組織的措置により保護すること
- 説明責任:上記原則の遵守を証明できるよう管理すること
ウェブサイト運営の観点で特に意識したいのは「透明性」と「説明責任」です。訪問者に対してどのような個人データをどの目的で収集しているかを明示し、求められたときに遵守を証明できる状態を整えておく必要があります。
データ主体(個人)に保証される主な権利
GDPRは、個人データを取り扱われる本人(データ主体)に対して、以下の権利を保障しています。
- アクセス権:自分のデータがどのように取り扱われているか確認できる権利
- 訂正権:不正確なデータの修正を求める権利
- 消去権(忘れられる権利):一定の条件下でデータの削除を求める権利
- 取扱いの制限を求める権利:一定の条件下で個人データの利用を一時停止させる権利
- データポータビリティの権利:自分のデータを別のサービスに移せる権利
- 異議申立権:特定の取り扱いに異議を申し立てる権利
GDPRが適用される処理について、EEA域内のデータ主体からこれらの権利行使の申請が届いた場合、企業は遅滞なく、原則として受領から1か月以内に対応する必要があります。請求が複雑または多数の場合は、理由を通知したうえで最長2か月延長できます。
問い合わせ窓口の整備と、社内の対応フロー構築が必要です。
DPO(データ保護責任者)の任命
DPO(データ保護責任者)の任命が義務付けられるのは、主に次の3つの場合です。
- 公的機関による取扱い
- 中核的業務として大規模かつ定期的・体系的にデータ主体を監視する場合(例:行動ターゲティング広告のためのインターネット上の追跡・プロファイリングを主要業務とする場合など)
- 中核的業務として特別カテゴリーの個人データ(人種・健康情報など)や犯罪歴等のデータを大規模に取り扱う場合
DPOはGDPR遵守の監督、監督機関への窓口、社内教育などを担います。
すべての企業に義務付けられているわけではありませんが、GDPRの対象になる可能性がある場合は、自社が任命要件に該当するかどうかを確認しておくことが必要です。
EEA域外へのデータ移転規制への対応
個人データをEEA域外の国や組織に移転する場合は、移転先で適切な保護水準が確保されるよう、十分性認定、標準契約条項(SCC)、拘束的企業準則(BCR)などの移転根拠を確認する必要があります。
日本については、欧州委員会が2019年1月23日にGDPR45条に基づく十分性認定を採択しており、個人情報保護法と補完的ルール(要配慮個人情報の範囲拡大や保有個人データの開示対応など、GDPRとの差異を埋めるための上乗せ規律)の枠組みのもと、一定の条件でEUから日本の民間事業者への移転は追加的措置なしに行えます。
ウェブサイト運営者が押さえておきたいのは、Googleアナリティクスなどの利用が、設定やデータフローによっては「EEA域外へのデータ移転」に該当し得る点です。Google LLCはEU・米国データプライバシーフレームワーク(EU-US DPF)に参加しており、同フレームワークは認定参加企業へのEUからの移転根拠になり得ます。ただし、これでCookie同意やGDPR上の法的根拠、データ処理契約、各サービス設定の確認が不要になるわけではありません。利用するツールがどのデータをどこへ送信・保存するかを把握しておくことが、GDPR対応の基本です。
GDPRの適用範囲とは?日本企業が対象になる2つの基準
GDPRの適用範囲は、EU・EEA域内に拠点を持つ企業だけにとどまりません。拠点を持たない日本企業であっても、一定の条件を満たす場合は適用対象となります。その判断基準は大きく2つあります。
1.拠点基準
EEA域内に「拠点」を有する管理者または処理者の活動に関連して行われる個人データの取扱いには、取扱い自体がEEA域外で行われる場合でもGDPRが適用されます。
拠点とは法人格のある子会社に限らず、支社・支店・営業所など、実質的かつ安定した活動を行う体制も含まれます。EEA加盟国のいずれかに拠点がある場合、その拠点の活動と関連した個人データの取扱いにはGDPRが適用されます。
2.ターゲット基準
EEA域内に拠点がなくても、以下のいずれかに該当する取り扱いを行う場合はGDPRの対象となります。
- EEA域内のデータ主体(個人)に対して物品またはサービスを提供すること(有償・無償を問わない)
- EEA域内のデータ主体(個人)の行動を監視すること
重要なのは、「物品・サービスの提供」と「行動の監視」とで判断基準が異なる点です。「物品・サービスの提供」では、EEA域内の個人に向けた意図的なターゲティングがあるかどうかが問われます。EDPBガイドラインでは、気づかずに、または偶発的にEEA域内の個人へサービスが利用されたにすぎない場合は、通常この基準には該当しないと説明されています。
一方「行動の監視」では、意図的なサービス提供がなくても、EEA域内の個人を特定の目的で追跡・分析・プロファイリングしているかが問題になります。同ガイドラインの事例を参照すると、ターゲット基準の考え方をより具体的に理解できます。
事例8:ターゲットしていない場合は対象外
オーストラリアの企業がオーストラリア在住者向けにモバイルニュースサービスを提供していたところ、そのユーザーが休暇中にドイツを訪問してサービスを利用したケースです。サービスはEEA域内の個人をターゲットにしておらず、登録時にオーストラリアの電話番号が必要なため、GDPRの対象にはならないとされています。
事例9:EEA域内の個人を具体的にターゲットにしている場合は対象
米国のスタートアップ企業がパリやローマなど複数都市に対応した観光向け地図アプリを提供し、位置情報に基づいたターゲット広告を配信していたケースです。EEA域内にいる個人に対して具体的にサービスを提供し、かつ行動を監視していることから、GDPRの対象となるとされています。
事例14:EEA対応の言語・通貨・配送設定は「意図」の証拠となる
トルコの企業が英語・フランス語・オランダ語・ドイツ語でサービスを提供し、ユーロ払いに対応、フランスやベネルクス諸国への配送も行っていたケースです。EEA向けに意図的にサービスを設計していることが証明されているとして、GDPRの対象とされています。
事例16:活動単位での判断が必要
スイスの大学が通常の修士課程をEU向けに特に宣伝していない場合、その選考プロセスはGDPRの対象外とされました。一方、同じ大学がドイツ・オーストリアの大学で特別に宣伝したサマーコースについては、EEA域内の個人をターゲットにしていると判断され、そのコースに関する処理にはGDPRが適用されました。企業・組織全体ではなく、個々の活動ごとに判断する必要があります。
事例18:サービス提供がなくても行動のモニタリングで対象になる
EEA域内に拠点を持たないカナダのアプリ開発会社が、EEA域内のデータ主体の行動をモニタリングしていたケースです。物品・サービスの提供を意図的にEEA向けに行っていなくても、EEA域内にいるユーザーの行動をモニタリングしている場合は、その処理についてGDPRの対象になるとされています。
EEA域内の訪問者について、Cookieや広告IDなどにより行動追跡・プロファイリングを行う場合、この「モニタリング」に該当する可能性があります。ただし、EDPBは「EU内個人データのオンライン収集・分析のすべてが自動的にモニタリングになるわけではない」とも説明しています。「EEAに向けてサービスを売っていないから関係ない」と断定せず、処理目的と実装を確認することが重要です。
物品・サービス提供のターゲティングや、行動監視の有無を判断する材料として、EDPBガイドラインには以下のようなシグナルが挙げられています。
適用の判断シグナル
- EEA加盟国の言語や通貨(ユーロなど)を使用している
- EEA域内にサービスを提供している
- EEA域内への物品の配送に対応している
- EEA加盟国のトップレベルドメイン(.de、.frなど)を使用している
- EEA向けのマーケティング・広告キャンペーンを実施している
- EEA域内のユーザーの行動をトラッキング・プロファイリングしている(Cookieや広告IDによる追跡など)
英語対応のサイトや、訪問者のアクセスを制限していないサイトには、EEA域内から偶発的に流入が発生することがあります。単なる閲覧可能性や偶発的な利用だけでは通常GDPRの適用根拠になりませんが、上記のシグナルが複数重なる場合や、Cookie等により行動追跡・プロファイリングを行う場合は、適用リスクが高まります。
GDPRに違反した場合の罰則
GDPRの制裁金の上限は、違反の内容によって異なります。手続き上の義務違反と、基本原則や同意に関わる本質的な義務違反とで、それぞれ上限が設定されています。
| 制裁金の上限 | 主な適用対象 |
|---|---|
| 1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方 | DPO任命義務違反、処理記録義務違反など、管理者・処理者の手続的義務違反 |
| 2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方 | 基本原則違反、同意要件違反、データ主体(個人)の権利侵害、EEA域外移転規制違反など |
たとえば、広告・分析タグなどを通じて非必須Cookieを有効な同意なしに発火させていた場合、各加盟国のCookie規制(ePrivacy Directiveの国内法)や、GDPR上の適法性・透明性・同意の有効性の問題として、高額制裁や是正命令の対象となる可能性があります。
制裁金の事例として、2025年9月、フランスのデータ保護機関(CNIL)はGoogleに3億2,500万ユーロ、SHEINに1億5,000万ユーロの制裁金を命じました。Googleについては、Gmail上の広告表示に関する同意欠如と、アカウント作成時の広告Cookieに関する有効な同意の欠如が問題とされました。SHEINについては、Cookieの事前同意欠如、情報提供の不備、拒否・撤回メカニズムの不備などが問題とされました。これらは主にフランス国内法(ePrivacy Directiveを国内法化したCookie規律等)に基づくもので、Cookie対応が各国当局の重点監督対象であることを示す事例です。
また、制裁金以外にも以下のようなリスクが伴います。
- 取扱いの禁止を含めた個人データの取扱いに対する一時的または恒久的な制限命令
- データ主体(個人)による損害賠償請求
- 報道による企業ブランドへのダメージ
- 顧客・取引先からの信頼失墜
罰則の重さだけでなく、事業継続そのものに影響するリスクとして、GDPR対応を早期に進めることが重要です。

日本の個人情報保護法とGDPRとの違い
日本の個人情報保護法とGDPRは、同じ「個人データの保護」を目的としながら、規制の厳格さにおいて大きく異なります。主な違いを3点で整理します。
1.個人データの定義の範囲
日本の個人情報保護法における「個人情報」は、特定の個人を識別できる情報(他の情報と容易に照合することで識別できるものを含む)が基本です。GDPRは、IPアドレスやCookie IDなどのオンライン識別子も、個人を直接または間接に識別し得る場合は個人データとして扱います。ウェブサイト運営の文脈では、この違いが実務上の対応範囲に直接影響します。
2.同意取得の厳格さ
日本では、Cookie等の端末識別子は、他の情報と容易に照合して特定の個人を識別できる場合には個人情報に該当します。個人情報に該当しない場合でも、通常は個人情報保護法上の「個人関連情報」に該当します。そのため、「Cookieだから常に個人情報ではない」「自由に使える」とは整理できません。
ウェブサイト上のCookie等を通じた外部サービスへのデータ送信については、外部送信規律の対象事業者であれば、電気通信事業法上の対応も問題になります。同規律では、送信される情報の内容、送信先、利用目的について、利用者が確認できる機会を付与することが基本であり、通知・公表、同意取得、オプトアウト措置などの対応が検討されます。
EUでは、非必須Cookie等の端末への保存・読み取りについて、ePrivacy Directiveを国内法化した各国Cookie規制により事前同意が必要となるのが原則であり、Cookieを通じて個人データを処理する場合はGDPRの透明性・法的根拠・有効な同意の要件も満たす必要があります。
3.罰則の規模
日本の個人情報保護法には、個人情報保護委員会による命令や、命令違反等に対する罰金・刑事罰がありますが、GDPRの制裁金と比べると金額規模は大きく異なります。GDPRの「全世界年間売上高の4%」という上限は、グローバルに事業を展開する大企業にとって数百億円規模になりうる金額です。
日本の個人情報保護法への対応だけでは、GDPRの要件を満たせない点が多くあります。自社サイトがGDPRの対象になる可能性がある場合は、次のセクションで解説する実務対策を参考に、追加の対応を検討しましょう。
ウェブサイト運営者が取るべきGDPR対策
GDPRの対象になると判断した場合、ウェブサイト運営者として最低限取り組むべき対策が3つあります。第三者タグの管理・Cookie同意バナーの実装・プライバシーポリシーの整備です。それぞれ何が求められるかを解説します。
第三者タグの管理
ウェブサイトに設置しているタグを洗い出し、どのタグがどのような個人データをどの組織に送信しているかを把握することが出発点となります。
Googleアナリティクス・Google広告・Metaピクセル・LinkedInインサイトタグなど、マーケティングや分析目的で設置されているタグの多くは、訪問者のIPアドレス・Cookie ID・行動履歴などを外部サービスに送信します。送信先や設定によっては米国などEEA域外へのデータ移転にも該当します。
非必須Cookieや広告・分析タグについては、同意前に発火しない設計を基本とし、送信先の法的役割(処理者・共同管理者・第三者等)や移転根拠(十分性認定、EU-US DPF、SCCなど)も確認する必要があります。
同意が得られていない訪問者に対しては、該当する非必須タグの実行を停止する仕組みが必要です。同意の有無に応じてタグの発火を制御する「タグ制御」は、GDPR・Cookie規制対応の実務において中心的な課題の一つです。
Cookie同意バナーの実装
EU向けのCookie同意バナーの実装では、「表示する」だけでなく「同意前に非必須Cookieやトラッカーを発火させない」「拒否や撤回を同意と同等に容易にできる」という2点が特に重要です。
同意取得前にCookieを発火させない
ページが読み込まれた時点で、同意を得る前にGoogleアナリティクスやMetaピクセル等の非必須タグが自動的に発火すると、EUのCookie規制が求める事前同意の要件を満たさないおそれがあります。訪問者が同意バナーを操作するまでの間、すべての非必須Cookieやトラッカーをブロックした状態でページを表示すること、いわゆるゼロクッキーロードが求められます。同意バナーを表示するだけでなく、同意が得られるまでタグの実行を制御する仕組みが必要です。
同意の拒否を同意と同じ操作でできるようにする
「すべて許可」ボタンを大きく目立たせ、「拒否」のリンクを小さく表示する、あるいは拒否や撤回のために何度もクリックが必要になる設計は、自由意思に基づく同意の要件を満たさないおそれがあります。同意・拒否・撤回が同等に容易に選択できるUIが必要です。
プライバシーポリシーの整備
GDPRが求めるプライバシーポリシーには、少なくとも以下のような情報を記載する必要があります。
- 管理者・代理人(該当する場合)・DPO(該当する場合)の身元または連絡先
- 個人データの収集目的と法的根拠(正当な利益を根拠にする場合はその内容)
- 第三者への提供先(取得者または取得者の類型)
- EEA域外へのデータ移転を行う場合はその旨、十分性認定の有無、適切な安全措置
- 個人データの保存期間(または保存期間の決定基準)
- データ主体の権利(アクセス権・削除権等)とその行使方法、同意を根拠にする場合は撤回できる権利
- 監督機関への苦情申立権、法的・契約上の提供義務、該当する場合は自動意思決定・プロファイリングに関する情報
日本の個人情報保護法に準拠したプライバシーポリシーがあっても、GDPRの要件をすべて満たしているとは限りません。GDPR対応を前提とした記載内容の見直しが必要です。
個人データ保存期間の記載でよくある誤解
なお、Cookieの有効期限をプライバシーポリシーに記載すれば保存期間の開示要件を満たせると考えるケースがありますが、これは誤りです。GDPRが求める「個人データが記録保存される期間」の開示とは、Cookieがブラウザにセットされている期間ではなく、収集した個人データをデータ管理者やデータ処理者がいつまで利用・保存するかを指します。
たとえば自社サイトにMetaのシェアボタンを設置している場合、設定によっては、訪問者の閲覧情報がボタンの読み込み時点でMeta側に送信されることがあります。このように外部サービスへ送信されたデータの保存・利用期間は、自社のCookie有効期限とは別に確認する必要があり、Cookieの有効期限を記載するだけでは十分とはいえません。自社の説明として、送信されるデータ、送信先、利用目的、保存期間またはその決定基準を可能な範囲で記載し、詳細情報として各プラットフォームのプライバシーポリシーにも案内する形が実態に即した対応です。
CMPツールでGDPR対応を効率化しよう
CMPツール(同意管理プラットフォーム)とは、ウェブサイトにおけるCookie同意の取得・記録・管理を一元的に行うためのツールです。Consent Management Platformの略称で、同意管理プラットフォームとも呼ばれます。
GDPR対応を手動で行おうとすると、以下のような課題に直面します。
- Cookie同意バナーのUI設計と実装(要件を満たすかどうかの判断を含む)
- 同意の有無に応じたタグ制御の実装
- 同意記録のログ保存(「いつ・誰が・何に同意したか」の証拠保全)
- 同意の撤回や再選択への対応
- 複数ページ・複数言語への対応
これらを個別に実装・管理するには、相応の技術的リソースと継続的な運用コストがかかります。CMPツールを導入することで、同意取得のUI提供・タグ制御・ログ管理をまとめて対応できるようになります。
webtruなら最短即日で導入可能
webtru(ウェブトゥルー)は、GDPRをはじめ、CCPA/CPRA(カリフォルニア州消費者プライバシー法および同改正法)、日本の個人情報保護法・電気通信事業法の外部送信規律を踏まえたCookie同意管理を一元的に行えます。主な機能は以下の通りです。
外部サービスの自動検知・分類

ウェブサイトに設置されている広告・アクセス解析などの外部サービスを特許技術で自動検知・分類します。自社サイトにどのような外部通信(外部サービスへのデータ送信)が発生しているかを効率的に把握でき、GDPR対応の第一歩となるタグの棚卸しをサポートします。
GDPR対応のCookie同意バナーの実装

EU向けCookie規制が求める、同意前に非必須タグが発火しない設計(ゼロクッキーロード)に対応した同意バナーをかんたんにウェブサイトに設置できます。同意と拒否が同等かつ容易に選択できるUI要件にも対応しています。
多言語・地域別対応

ユーザーのブラウザ設定言語を自動で判別し、最適な言語の同意バナーを表示します。世界140か国以上の言語に対応しており、未対応言語の場合は英語で表示されます。またユーザーのIPアドレスから地域を自動判別し、EEA域内からのアクセスにはEU向けのCookie同意バナーを自動で表示するなど、地域ごとに適切な形式のバナーを出し分けできます。
webtruの機能詳細や導入事例については、無料のサービス資料をご確認ください。

GDPRは個人データの取扱いを一律に禁止するのではなく、適切な法的根拠なしに行うことを禁じています。具体的には、同意を法的根拠とする場面で有効な同意なしに処理すること、収集時に示した目的と相容れない目的で個人データを利用すること、適切な移転根拠や安全措置なしにEEA域外にデータを移転すること、削除・訂正等のリクエストに正当な理由なく応じないことなどが該当します。詳しくは「GDPRが企業に求めること」をご確認ください。
GDPRにおける個人データは、氏名・住所・電話番号などの基本情報にとどまりません。IPアドレスやCookieの識別子、位置情報、オンライン上の行動履歴なども、他の情報と組み合わせることで特定の個人の識別につながりうる場合は個人データに該当します。ウェブサイトにアクセスしてきた訪問者のデータも対象になりえます。詳しくは「GDPRで定義される「個人データ」とは」をご確認ください。
GDPRの制裁金は、違反内容により最大で1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方、あるいは最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方が上限となります。2025年9月にはフランスのCNILがGoogleに3億2,500万ユーロ、SHEINに1億5,000万ユーロの制裁金を命じており、GoogleではGmail広告や広告Cookieの有効な同意、SHEINではCookieの事前同意・情報提供・拒否/撤回メカニズムが主な問題とされました。これらは主にフランス国内法上のCookie規律等に基づく事例ですが、Cookie対応の不備が大きな制裁リスクになり得ることを示しています。詳しくは「GDPRに違反した場合の罰則」をご確認ください。
EEA域内に拠点がある場合は拠点基準により、拠点がなくてもEEA域内の個人に対して意図的に物品・サービスを提供している場合や、EEA域内の個人の行動を追跡・プロファイリングしている場合はターゲット基準により、日本企業にも直接適用されることがあります。EEAからのアクセスが偶発的・意図しないものであれば、通常それだけで対象になるわけではありませんが、多言語対応・ユーロ払い対応・EEA向け広告出稿・EEA域内ユーザーへのトラッキングなどのシグナルがある場合は、対象と判断されるリスクがあります。詳しくは「GDPRの適用範囲とは?日本企業が対象になる2つの基準」をご確認ください。