フランス情報処理および自由に関する国家委員会(CNIL)は2025年9月3日、クッキー同意違反によりGoogleに3億2500万ユーロ、Sheinに1億5000万ユーロの制裁金を科すと発表した。これはCNIL史上最大のクッキー関連制裁である。
Googleは5300万人のフランス人に影響を与え、Sheinは毎月1200万人のユーザーに影響を与えた。
Googleは2020年の1億ユーロ、2021年の1億5000万ユーロに続く3回目の制裁である。両社は適切な同意を得る前にトラッキングクッキーを設置し、透明性を欠く情報提供、機能しない拒否メカニズム、ダークパターンという操作的インターフェース設計を行った。
CNILは6ヶ月以内の是正措置実施を命じ、違反時は1日10万ユーロの追加処罰を科すとした。
From: 
CNIL Imposes Record Fines on Google and Shein for Cookie Violations
【編集部解説】
今回のCNILによる制裁は、単なるプライバシー違反の処罰を超えた重要な意味を持っています。この事案を深く理解するために、いくつかの重要な観点から解説いたします。
史上最高額の持つ意味
GoogleとSheinに科された制裁金の総額は4億7500万ユーロ(約763億円)に達し、これはCNIL史上最大のクッキー関連制裁となりました。特にGoogleの3億2500万ユーロという金額は、同社が過去に受けた制裁(2020年1億ユーロ、2021年1億5000万ユーロ)の倍以上であり、規制当局の強いメッセージが込められています。
ダークパターンの実態が白日の下に
今回の制裁で特に注目すべきは、両社が採用していた「ダークパターン」の手法が詳細に暴露されたことです。これは意図的にユーザーを誤解させるインターフェース設計のことで、例えばクッキーの「拒否」ボタンを目立たなくしたり、拒否のために複数のクリックを要求したりする手法を指します。カールスルーエ工科大学の研究によると、ウェブサイトの72%が何らかのダークパターンを使用しており、これは業界全体の構造的問題となっています。
技術的背景の複雑さ
クッキー問題は単純に見えますが、その背後には複雑な技術的・法的構造があります。今回の違反は主にeプライバシー指令(フランスデータ保護法第82条)に基づくもので、GDPRとは異なる法的枠組みが適用されています。この区別により、CNILは「ワンストップショップ」メカニズムを経由せず、直接執行できたという点も重要です。
グローバル企業への波及効果
この制裁は欧州域内だけでなく、グローバルに事業を展開する日本企業にも大きな影響を与えます。特に注目すべきは、SheinのようにEU域外に本社を置く企業でも、EU内での事業活動を理由に厳格な制裁を受けている点です。これは「デジタル税」問題と同様に、国境を越えたデジタルビジネスの新たな規制モデルを示しています。
消費者意識の変化とビジネスへの影響
CNILの調査によると、2022年時点でフランス人の95%がクッキーの存在を認知し、52%が関連規制の変更を理解しているとのデータがあります。この消費者意識の向上により、企業は「形式的なコンプライアンス」から「実質的なプライバシー保護」への転換を迫られています。実際に、規制強化により6つ以上のサードパーティクッキーを設置するサイトは24%から12%に減少したというデータも報告されています。
AI時代における新たな課題
2025年という時点でこの制裁が科された背景には、生成AIの普及によるデータ収集の拡大があります。GoogleのGeminiやChatGPTなどの大規模言語モデルが大量のユーザーデータを学習に使用する中で、従来のクッキー規制だけでは対処しきれない新たなプライバシーリスクが浮上しています。今回の制裁は、そうした新時代のデータガバナンスに向けた布石とも読み取れます。
規制執行の新段階への移行
この事案は、ヨーロッパの規制当局が「警告段階」から「本格執行段階」に移行したことを示しています。CNILが2019年から開始したクッキー規制強化計画の集大成として位置づけられており、今後も厳格な執行が続くと予想されます。企業は「バレなければ大丈夫」という発想から、「確実にコンプライアンスを実現する」という姿勢への根本的な転換が求められています。
【用語解説】
クッキー(Cookie)
ウェブサイトがユーザーのブラウザに保存する小さなデータファイルで、ユーザーの行動や設定を記録する。広告配信やサイト解析に使用されるが、プライバシー保護の観点から規制強化が進んでいる。
ダークパターン(Dark Pattern)
ユーザーを意図的に誤解させたり、望まない行動を取らせるよう設計されたインターフェース手法。クッキー同意画面では「拒否」ボタンを見つけにくくしたり、受諾に比べて拒否を複雑にしたりする手法が該当する。
eプライバシー指令
EU域内での電子通信におけるプライバシー保護を定めた法令で、クッキーの使用について事前同意を義務付けている。GDPRとは異なる法的枠組みで、今回の制裁もこれに基づいて実施された。
ワンストップショップメカニズム
GDPR執行において、企業の主要拠点がある国の当局が中心となって調査・制裁を行う仕組み。ただし今回はeプライバシー指令違反のため、フランス当局が直接執行できた。
トラッキングクッキー
ユーザーのウェブサイト間での行動を追跡し、広告ターゲティングなどに使用されるクッキー。プライバシー侵害のリスクが高いため、厳格な同意取得が求められている。
【参考リンク】
CNIL(フランス情報処理・自由委員会)(外部)
フランスのデータ保護機関で、今回の制裁を科した規制当局。GDPR執行やプライバシー保護に関する指導・監督を行う。
Google プライバシーポリシー(外部)
Googleの個人情報取扱方針を記載した公式ページ。同社の情報収集と使用方法を詳細に説明している。
SHEIN Group 公式サイト(外部)
中国発のファストファッション企業Sheinの企業情報サイト。ビジネスモデルや持続可能性への取り組みを説明。
SHEIN 日本版サイト(外部)
日本市場向けのShein公式サイト。日本のユーザー向けに最適化されたサービスと製品情報を提供。
【参考記事】
Cookies placed without consent: SHEIN fined 150 million euros by CNIL(外部)
CNIL公式サイトによるSheinへの制裁発表。1億5000万ユーロの制裁金とその理由について詳細に説明している。
Cookie regulation: CNIL continuing the action plan initiated in 2019(外部)
CNILによる2019年から継続しているクッキー規制強化計画の説明。GoogleとShein両社への制裁が同計画の一環であることを明示。
Cookies and advertisements inserted between emails: Google fined 325 million euros(外部)
CNIL公式によるGoogle制裁の発表。Gmailサービスでの広告挿入とクッキー使用の問題点について具体的に説明している。
France’s CNIL Slams Google and Shein with Record Fines for Cookie Violations(外部)
第三者メディアによる制裁内容の詳細分析。両社の違反内容とその技術的背景について専門的な解説を提供している。
【編集部後記】
皆さんは日常的にGoogleやSheinのようなサービスを利用されていると思いますが、今回の制裁をどのように感じられましたか?私たち編集部も、このニュースを通じてダークパターンという操作手法の存在を改めて実感しました。
ウェブサイトでクッキーバナーを見かけた時、「拒否」ボタンがなかなか見つからなかったり、複雑な手順を踏まされた経験はありませんか?CNILが2025年9月1日に決定したこの制裁は、決して他人事ではありません。皆さんのデジタルプライバシーを守るためにも、こうした規制動向にさらに注目していけたらと思います。
