Googleは2026年8月3日以降、欧州経済領域(EEA)・英国・スイスのユーザーを対象に、IPアドレスを広告計測およびパーソナライズの目的で活用することを広告主に通知した。技術的にはこれまでもIPアドレスの受信は行われていたが、それを「デバイスの識別」に転用するのは今回が初めてとなる。

何が変わるのか

Googleはすでに、トラフィックルーティングや広告配信の過程でユーザーのIPアドレスを受信している。カスタマータグ、SDK、HTTPリクエスト、アップロードなど複数の経路を通じてだ。

8月3日以降に変わるのは、その利用目的である。同じIPアドレスをデバイスの識別・広告パーソナライズに使用するという新たな目的が追加される。これはEU・英国の法律上、ユーザーの同意取得が必要なトリガーとなる行為だ。

あわせてGoogleは、IABヨーロッパの透明性・同意フレームワーク(TCF)におけるFeature 3——「自動的に送信される情報に基づくデバイスの識別」——に登録することも明らかにした。Feature 3自体はユーザーへの同意画面を直接意味するものではなく、パーソナライズ目的と組み合わさる形でユーザー同意が必要となる仕組みだ。

IPアドレスを広告識別に使うことは、プライバシー保護的技術(PET)——オンデバイス処理、信頼実行環境(TEE)、マルチパーティ計算——を活用した取り組みと説明されている。ただしIP利用を前提とした一部のパーソナライズ機能は、今年後半から来年初頭にかけて段階展開される予定だ。

なぜGDPR上で問題となるのか

IPアドレスを広告に使う行為は、米国など他の地域ではすでに一般的だ。しかし欧州では話が異なる。GDPRの下ではIPアドレスは個人データに該当するため、それを使ったデバイス識別はフィンガープリンティングの基礎技術と見なされる。

フィンガープリンティングとは、クッキーが無効または削除された状態でもデバイスを追跡できる技術だ。クッキーと異なりユーザー自身が「消去」できない点で、プライバシー保護の観点から長年問題視されてきた。

Googleはかつて「不正」と断言していた

ここで見逃せないのが、Googleの方針転換の経緯だ。

2019年、当時ChromeエンジニアリングディレクターだったJustin Schuh氏は「フィンガープリンティングはユーザーの選択を損なうものであり、不正だ」と明言していた。その根拠も明確で、「ユーザーがクッキーのように消去できないから」というものだった。

ところが2024年12月、Googleは広告主向けのフィンガープリンティング禁止ポリシーを自ら撤廃している。英国の情報コミッショナー(ICO)はこの方針転換を「無責任だ」と即座に批判した。

今回の8月からの展開は、その延長線上にある。

ICOは規制強化の検討中、タイミングが最悪

タイミングも不運だ。ICOは2026年5月18日、英国のオンライン広告における同意ルール見直しに関する助言を政府に提出したばかり。ICOが推奨するアプローチでは、「閲覧中のコンテキストに基づく広告」は同意不要とする一方、「ユーザーの行動履歴をもとにサービスをまたいでプロファイリングする広告」については同意を必須のまま維持する方針だ。

IPアドレスを使ったクロスサービスのパーソナライズは、この「同意が必要な側」に該当する。ICOは「現時点ではルールは変わっていない」と強調しており、既存の規制はそのまま適用されるとしている。

また、Googleが広告主に送った通知の文面では、コンプライアンス責任を広告主側に押しつける記述も見られる。「EU User Consent Policyへの準拠義務は引き続き広告主が負う」という内容だ。

ユーザーができること

ユーザー向けにIPベースのパーソナライズを制御できる選択肢は、今後のロールアウトで提供予定とされているが、8月3日の適用開始時点では未整備だ。

当面は従来どおり、Googleアカウント設定の広告パーソナライズ画面(myadcenter.google.com)での設定変更や、ブラウザの非必須クッキーを拒否することが主な対策となる。ただしIPアドレス自体は「ブロック」できない性質のデータであるため、根本的な対策には限界がある。

実務への影響——日本のエンジニア・マーケターへ

日本企業にとっての直接的な影響は、Google広告を使って欧州・英国向けにマーケティングを行っている場合だ。8月3日以降、欧州ユーザー向けのキャンペーンでは、TCF Framework下での同意収集が改めて問われる可能性がある。

実務上の確認ポイントは以下のとおりだ:

  • 同意管理プラットフォーム(CMP)の設定確認: TCF Feature 3に関する同意フローが適切に設定されているか
  • プライバシーポリシーの更新: IPアドレスを広告目的で利用することへの言及が必要になる可能性
  • Google広告の設定確認: 欧州ユーザー向けの広告キャンペーンで、どの同意シグナルが有効になっているか
  • 今後のICO動向のウォッチ: 英国では規制ルール自体の変更が検討中であり、2026年後半に方針が確定する可能性がある

日本国内だけの展開であれば今回の変更は直接関係しないが、欧州データ保護法の動向はグローバルスタンダードに影響するため、無関係とは言いきれない。

筆者の見解

「フィンガープリンティングは不正だ」と明言していた組織が、数年後に自らそれを解禁する。この一連の経緯は、プライバシー保護への姿勢がビジネス上の都合によって変わりうることを示した事例として記憶されることになるだろう。

より気になるのは、ユーザーが選択できるUI提供を後回しにしたまま適用だけが先に走る構造だ。「選択肢は後から提供する」というアプローチは、「禁止より安全に使える仕組みを先に整備すべき」というプライバシー設計の基本からズレている。技術的には優れた取り組み(TEEやMPC)を並べながら、ユーザー側の制御が追いついていない状態でのロールアウトは、信頼構築の順序として逆ではないかと感じる。

ICOが「無責任」と評した方針転換の直後にこの展開が来るタイミングも、規制当局との関係において賢明とは言いがたい。Googleには十分な技術力とリソースがある。ユーザーコントロールと事業要件を両立させる設計は不可能ではないはずで、その点で今回の進め方はもったいないと率直に感じる。

プライバシー規制の観点では、EU・英国での動向が今後の国際標準に影響を与える可能性がある。日本でも個人情報保護法の改正議論は続いており、IPアドレスの広告利用に関する解釈が問われる日が来るかもしれない。今のうちに同意管理の仕組みを整備しておくことが、長期的には最善の「道の真ん中」を歩く選択になるだろう。

出典: この記事は Google to use UK and EU user IP addresses for ad personalization の内容をもとに、筆者の見解を加えて独自に執筆したものです。