Copyright © 2026 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
本ドキュメントは、HTTPおよびDOMを通じて送信されるシグナルを定義します。このシグナルは、個人がウェブサイトやサービスに対して、自身の個人情報を第三者に販売または共有しないよう要求するものです。本標準は、そのような要求に法的拘束力を与える既存および今後の法的枠組みと連携することを目的としています。
このセクションは、本ドキュメントが公開された時点での位置付けを説明します。現在の W3C の出版物や、この技術レポートの最新版は、 W3C 標準・草案インデックス で確認できます。
本ドキュメントは プライバシーワーキンググループ により、 勧告トラック を用いて作業草案として公開されました。
作業草案としての公開は、W3C およびそのメンバーによる承認を意味するものではありません。
本ドキュメントはドラフトであり、随時更新、差し替え、廃止される可能性があります。進行中の作業以外の目的で引用することは適切ではありません。
本ドキュメントは W3C 特許ポリシー の下で活動するグループによって作成されました。 W3C は 関連成果物に関する特許開示の公開リスト を管理しています。 そのページには特許開示の手順も記載されています。ある特許が 必須クレーム を含むと考える場合、その情報は W3C特許ポリシー第6節 に従って開示する必要があります。
本ドキュメントは 2025年8月18日版 W3C プロセスドキュメント に準拠しています。
このセクションは規範的ではありません。
今日のウェブサイト構築では、多くの場合、利用者が直接やり取りする企業以外の 事業者が提供するサービスに依存することがよくあります。この結果は、Web 技術の 複雑化と異なるサービス間の役割分担の帰結です。こうしたアーキテクチャはより良い Web 体験のために利用され得ますが、同時に プライバシー を侵害するために悪用されることもあります([privacy-principles])。一方、データは 限定的な運用目的のために サービス 提供者 と共有されることがありますが、また共有・利用されて 行動ターゲティングに用いられることもあり、多くの利用者が不快に感じる場合があります。
この問題に対処するために、世界各地の法域でいくつかの異なる法的枠組みが提案または制定されています。 あるモデルは追跡に対する利用者の同意に依拠します。データ最小化の原則に基づく他の モデルは、特定のデータ共有やデータ処理を完全に禁止する場合もあります。
一部の法律や提案は、利用者が自分のプライバシーを保護するよう求める権利を付与しており、 例えば「"opt out"」の要請により、自分のデータが やり取りする予定の事業者を越えて販売または共有されないよう求めることができます。しかし、 人々に訪問するすべてのサイトごとに手動で権利を表明させることは実際的ではなく、 人々に対する「"privacy labor"」の 負担を強いることになります([privacy-principles])。
本仕様はこの最後のカテゴリの法律を念頭に置いて設計されており、利用者の選好をスケールさせる 難しさという問題に対処します。具体的には、HTTP ヘッダや DOM を通じて、利用者が自分のデータの販売 の防止、第三者へのデータ共有の防止、およびクロスコンテキストのターゲティング広告への利用を 防ぐ適用される権利を、すべてのウェブサイト公開者に普遍的に信号として伝える手段を提供します。 この信号により、例えば米国カリフォルニア州の California Consumer Privacy Act における 「opt out preferences signals」に関する規定のような、これらの global opt-out ベースの法律の特定の規定([CCPA-REGULATIONS])や、コロラド州や他の州における 「universal opt-out mechanisms」に関する類似の規定を利用して、利用者が自らの情報の販売や クロス組織的なターゲティング広告への利用をオプトアウトできるようにします。
ただし、Global Privacy Control は、共有およびクロスコンテキストのターゲティング広告からの オプトアウトの表明を可能にするよう設計されていますが、すべての可能なプライバシー権や すべての広告/ターゲティングのオプトアウト権を行使することを意図したものではありません。 たとえば、GPC は削除権の行使を目的として設計されたものではありません。GPC は同一の コンテキスト 内でのデータ収集や広告ターゲティングに対処するためのものでもありません。 詳細については、法的および実装に関する考慮事項ガイドを参照してください。
本仕様は、オプトアウトモデルの規制(あるいはより広くはクロスコンテキスト追跡)を是認するものと 解釈されるべきではなく、また同意やデータ最小化に基づく他のモデルを否定するものでもありません。 代わりに、本仕様は特定の法域で利用者に付与された積極的な権利を行使可能にすることを目的として設計されています。
ある do-not-sell-or-share interaction は、 ウェブサイトとのやり取りで、その 人が、自分のデータがやり取りの相手以外の者に販売されたり共有されたりしないことを求めているか、 あるいは自分のデータがクロスコンテキストの広告ターゲティングに使用されないよう求めていることを指します。 W3C の プライバシー原則 に関して、その人は 少なくとも 一つの データコントローラ しか存在しないことを要求しており、 またそのデータが別の コンテキスト で広告ターゲティングに使用されないことを要求しています。たとえ その コンテキスト が 同じ事業体によって所有されている場合でも。
販売・共有拒否プリファレンスとは、例えばユーザーエージェントでGlobal Privacy Control設定を有効にしたり、その設定がデフォルトのツールを利用したりすることで、「自身のデータを販売・共有しないでほしい」と要求することです(この設定は、そのツールのユーザーの一般的な期待に合致する場合があります)。このプリファレンスが有効な場合、ユーザーは販売・共有拒否インタラクションを伴ってウェブを閲覧することを期待していることを示します。
サイトは、少なくとも必要な場合にGPCリクエストを遵守していることを示すために、.well-known URLでリソースを提供してもよいです。GPCサポートリソースの目的は、サイトがGlobal Privacy Controlを認識しサポートしていることを伝えることです。サポートリソースは、リソースへアクセスしているユーザーエージェントのGPCリクエストにサイトが従うかどうかを示すものではありません。デフォルトでは、オリジンのサポート状況は不明です。
GPCサポートリソースは、オリジンサーバーのURLに対して/.well-known/gpc.jsonというwell-known識別子を持ちます [RFC8615]。
GPCサポートリソースを対象とする有効なGETリクエストを受信したオリジンサーバーは、下記で定義されるサイト全体のトラッキングステータスを機械可読な表現で含む成功レスポンス、またはそのような表現に導くリダイレクトの連続(サーバーが他オリジンの場合もありうる)のいずれかで応答します。
オリジンサーバーは、GPCサポートリソースをapplication/jsonメディアタイプ [RFC8259]
で有効な表現として返さなければなりません。そうでなければ、オリジンのサポート状況は不明です。
GPCサポート表現はJSONオブジェクトでなければなりません。そうでなければ、オリジンのサポート状況は不明です。下記にないメンバーはこの仕様では意味を持たず無視しなければなりません。メンバーには以下が含まれます:
gpcメンバー。gpcメンバーの値は、サーバーが少なくとも法的義務の範囲でGPCリクエストを遵守する意思がある場合はtrue、そうでなければfalseでなければなりません。他の値の場合、オリジンのサポート状況は不明です。
lastUpdateメンバー。lastUpdateメンバーの値は、RFC3339
full-date(YYYY-MM-DD)またはdate-time(YYYY-MM-DDTHH:mm:ss.sssZ) [RFC3339] でなければなりません。これはサポート表明が行われた時刻を示し、GPC標準の後の変更が法的解釈に影響しないようにします。有効なRFC3339形式でない場合、最終更新日時は不明となります。
このセクションは規範的ではありません。
GPCシグナルは、ユーザーが自身のデータの特定の共有や処理を停止する法的権利を行使できるように設計されました。そのため、GPCシグナルの送信と受信は、シグナルを送る個人の所在地、適用される法律の範囲、シグナルの受信者と個人との間の個別の合意などの要素によって、法的な効果を持つ場合があります。ただし、GPCはすべての法域におけるすべての新しいプライバシー権を必ずしも発動させることを意図していません。法的効果の詳細については、法的および実装上の考慮事項ガイドを参照してください。
例えば、個人がGPCシグナルを利用することで、以下のような権利を発動する意思を伝えることが想定されています(該当する場合):
規制当局および実装者で、GPC 信号を特定の法域においてどのように適用するのが最良かを理解しようとする者は、 指定された法域に関しては、グローバルオプトアウト メカニズムに関する意味論を 詳細に記述している W3C の プライバシー原則 を参照することが勧められます。具体的な点は ウェブ上でユーザーエージェントに課される期待に不慣れな人々には馴染みがない可能性があるためです。
GPCはもともと米国で新たに成立したオプトアウト型プライバシー法を活用するために作られました。2018年にカリフォルニア消費者プライバシー法が施行されて以降、複数の州で消費者が自身のデータの販売や共有、または企業横断的なターゲティング広告への利用をオプトアウトする法的権利を得る法律が制定されています。多くの州法では、GPCのようなユニバーサルオプトアウトメカニズムを通じてこれらの権利を行使できることが明記されています。少なくとも4つの州が、GPCを合法的なオプトアウト権行使手段として特定しています。一部の州はユニバーサルオプトアウトリクエストの遵守方法の詳細を規定するルール制定手続を設けており、他の州では非公式なガイダンスや執行措置によりGPCシグナルの法的義務の範囲を明確にする場合があります。
GPCは他の法域における権利を示すためにも利用され得ます。例えば、次のように、 GDPRは第7条および第21条の下で個人情報の共有を制限する権利をデータ主体に与える可能性があります。 世界の多くの国は、しばしばGDPRをモデルとした積極的なプライバシー 法を採用しており; これらの国のいずれかの規制当局が、GPCが受領者に何らかの対応を要求する 法的権利を呼び起こすと判断することがあり得ます。
バージニア州やユタ州のような他の米国の州プライバシー法は、データ販売や組織間のターゲティング広告に関する 新たなオプトアウト権を利用者に与えていますが、グローバルなオプトアウト信号の法的効力については 明言していません。これらの法令を執行する規制当局は、GPCのような信号を有効化することが、 当該法域においてオプトアウト権を法的に行使するのに十分であると判断する場合があります。
しかし、GPCが必ずしもすべての法域におけるすべての新しいプライバシー権を呼び起こすことを意図している わけではありません。例えば、GPCはユーザーが訪問するすべてのウェブサイトでデータ削除権を全球的に行使する ことを意図していません。GPCはまた、同じ ファーストパーティ の 個人情報の利用を制限することを意図していません(例えば、出版社が同じ コンテキスト における当該ユーザーの 以前の行動に基づいて自サイトでユーザーに広告を配信する場合など)。
既存の同意フレームワークが抱える複雑さを踏まえ、GPC信号を受け入れるパブリッシャは、その法域において GPC信号をどのように扱うか、および当該信号と利用者がパブリッシャと直接行った他の特定のプライバシー選択との 競合をどのように扱うかを開示すべきです。これには、サードパーティ の共有が許容される場合(例えば サービス提供者/プロセッサへの共有、 法令に基づく共有、または個人の指示による共有など)も含まれます。
本ドキュメントは、GPCを有効化する前にユーザーにどのような情報を提示しなければならないかについては規定しません。ユーザーエージェントがプライバシー機能を宣伝したりプライバシー設定を提供したりする際、ユーザーに何を開示したかに基づいてGPCを送信するか判断できます。 ユーザーエージェントは、Global Privacy Control値に関してユーザーのプリファレンスを最善と信じる内容を表現するよう努めるべきです。多くの人が自身のデータが販売・共有されることを望まないことが調査で示されていますが、一部の法域では消費者がデータ共有やターゲット広告利用を制限するプリファレンスを積極的に表明しなければならない「オプトアウト」型の法制度が採用されています。GPCはこうした法律をユーザーが簡単に活用できるよう設計されています。
法域ごとに、GPCのようなユニバーサルオプトアウトをプラットフォームが有効化する前提条件が異なります。多くの米国州では、「デフォルト」でユニバーサルオプトアウトシグナルをユーザーエージェントが送信してはならないとされていますが、少なくとも1つの州ではプライバシー重視のユーザーエージェントを選択するだけでユーザーの意思表示として十分だとされています。
法域ごとに、企業が普遍的なオプトアウトシグナルを上書きまたは無視できる場合(例:ユーザーから同意を得ている場合)に関する規則も異なります。
グローバルオプトアウトに関する法的状況も変化しています。すでに複数の州でグローバルオプトアウトの遵守義務を含む法律が成立しており、各州の条項にはかなりの違いがあります。さらに、カリフォルニア州が2018年に可決したCCPAを改正したように、他州でも法的要件が見直される可能性があります。
アメリカ合衆国に加えて、他の法域でもユニバーサルプライバシー信号を認識する場合があり、それらの信号が法的拘束力を持つと見なされる前に独自の要件を課すことがあります。
最新の法的要件については、法的および実装上の考慮事項ガイドを確認してください。グローバルオプトアウトを巡る最新の法的ガイダンスについてより詳しい情報が得られます。
ユーザーエージェントは、必要な場合、利用者が自身の権利を有効に行使できるよう、適切な通知をすべて提示することが期待されます。
ユーザーのプリファレンスを(HTTPヘッダーフィールドやnavigator
オブジェクトで)公開することは、ユーザーを2つのグループに分け、ブラウザやデバイスのフィンガープリント情報を増やす可能性があります。この追加情報は、シグナルが他のシグナルと完全に相関するか、設定変更不可の状態で有効になっていない限り利用可能となります。したがって実装によっては、GPCシグナルがプライバシーコストを課す場合がありますが、それはシグナル送信によるプライバシー利益によって正当化されることを意図しています。
本仕様の機能に起因する既知のセキュリティ影響はありません。
| HTTPメソッド | URIテンプレート |
|---|---|
| POST | /session/{session id}/privacy |
グローバル・プライバシー・コントロールの設定 拡張コマンドは、現在のセッションの販売・共有拒否プリファレンスを変更します。
リモートエンド手順は、session、URL variables、parameters を与えられたとき:
gpc を parameters の gpc プロパティとする。
gpc が未定義またはブーリアンでない場合、エラーコードinvalid argumentでエラーを返す。
gpcがtrueなら、このsessionのユーザーのプリファレンスを記録し、ブラウザは販売・共有拒否インタラクションを行う。falseなら行わない。
success を data
null で返す。
| HTTPメソッド | URIテンプレート |
|---|---|
| GET | /session/{session id}/privacy |
グローバル・プライバシー・コントロールの取得 拡張コマンドは、現在のセッションの販売・共有拒否プリファレンスを返します。
リモートエンド手順は、session、URL variables、parameters を与えられたとき:
このsessionのユーザーのプリファレンスによってブラウザが販売・共有拒否インタラクションを行う場合、gpc=trueとする。
そうでなければ、gpc=falseとする。
resultを、プロパティ"gpc"がgpcに設定されたJSON Object
とする。
success を data
result で返す。
規範的でないと明示されたセクションの他、本仕様中のすべての著者向けガイドライン、図、例、注記は規範的ではありません。それ以外のすべては規範的です。
本ドキュメント中の MAY、MUST、MUST NOT、SHOULD というキーワードは、 BCP 14 [RFC2119] [RFC8174] で示される通り、大文字すべてで現れる場合にのみその意味で解釈されます。
GPCシグナルは、特定のサイトへのすべてのHTTPリクエストに付与されることを考慮する価値があります。ウェブページのレンダリングには、しばしばこのようなリクエストが数十回発生します。そのため、GPCシグナルがすべてのGPCインタラクションごとにコストのかかる監査証跡を伴う本格的なオプトアウト手続きを発動させると、CDNから配信されるリソースも含め、可能な限り効率的に実行されるべき処理に多大な負荷がかかり、非現実的となる可能性があります。
GPCをサポートする意図のある規制は、そのような実装上の困難も考慮することが推奨されます。対策の一例として、サイト上に販売・共有拒否インタラクション プリファレンスを永続化するためのユーザーインターフェースと、ユーザーエージェントが状態を管理する 販売・共有拒否インタラクションシグナルの提供を区別する方法があります。後者の場合、そのインタラクションは、ユーザーが以前に販売・共有拒否インタラクション プリファレンスを要求し、すでにその プリファレンスが有効な状態であるかのように処理できます。
Referenced in:
Referenced in: