2002年
・EUにおいて、ePrivacy指令が制定。クッキーをはじめとする端末への読み書き技術の利用について、拒否権を与えることが義務づけられた
2009年
・ePrivacy指令が改正されクッキーに関する同意取得義務が課せられた
・同意要件についてはGDPRの前身であるデータ保護指令に基づくとされていたが、当指令の元では厳密なルールは存在しなかった
2018年5月
・EUでGDPR(一般データ保護規則)が施行され個人データの取扱いに関する同意要件が明確になった→同意要件の厳格化、制裁金も高額に
2019年夏
・英・仏・独各国の監督機関がクッキー規制に関する取締り強化を表明、次々と制裁や警告の事例が出始める
2020年
・7月1日米国カリフォルニア州においてサードパーティクッキーの利用をはじめ商業的な利益を目的とする個人データの開示を規制対象とするCCPAの執行が開始される

-2019年2月ドイツ：バイエルン州内大企業40社へ警告、情報提供や同意取得の要件を満たしていなかった
-2019年12月スペイン：IKEAへ制裁、同意取得前にすでにクッキーがセットされており、有効な同意を取得していなかった
-2020年6月スペイン：Twitterへ制裁、情報提供や同意取得の要件を満たしていなかった
-2020年10月スペイン：イベリア航空へ制裁、ユーザーにクッキーを拒否するオプションを提供せず、ユーザーが閲覧を継続したい場合はクッキーを受け入れるように求めていた
-2020年12月フランス：Googleへ制裁、事前の同意なく広告目的のクッキーが端末に自動的に設定されていた
-2021年5月フランス：大手IT20社にクッキー・ガイドライン違反是正指示

例え法的に問題がなかったとしてもユーザーが「気持ち悪い」と思う時点で企業の信用とブランドを棄損することになる。そのため、法律に従い義務として最低限の情報を開示するだけという消極的な姿勢ではなく、積極的な情報開示の姿勢が信用獲得の第一歩になる。きちんと情報開示をしていて、好感が持てる企業は、ユーザーからの評判が高まり、結果としてブランド価値が高まる。このような姿勢は法的義務への対応を行う狭義のコンプライアンスではなく、企業の社会的責任として積極的に情報開示を行っていく広義のコンプライアンスに相当する。プライバシー保護への対応は、最低限の法的義務対応のための「コスト」から、企業の社会的責任として、また自社の信用、ブランド価値を高めるための未来への「投資」へとシフトしていく。