eプライバシー規則案が与える日本企業の実務への影響

IT・情報セキュリティ

目次

  1. 一般データ保護規則(GDPR)とeプライバシー規則との関係
  2. eプライバシー規則の適用を受ける場合
  3. 違反の場合の制裁金
  4. 規制の対象となるもの
  5. 規制の概要
    1. 通信の秘密
    2. 電子通信データ等を処理できる場合
    3. 消去の義務
  6. クッキー(Cookie)についての規制
    1. クッキー(Cookie)とは
    2. eプライバシー規則の規制
    3. GDPRとeプライバシー規則が日本企業に与える影響

 EUのeプライバシー規則(ePrivacy規則、ePrivacy Regulation (ePR) 1)の案が、2017年1月10日に欧州委員会により公表された 2。これは、2002年に発効したeプライバシー指令を置き換えるものとして制定されるものである。当初は2018年5月25日に一般データ保護規則(GDPR)が施行されるのに合わせて施行されることが予定されていたが、成立までに時間がかかり、未だ成立するに至っていない。現時点では2019年には施行されるのではないかといわれている。

 本稿では、2018年9月末時点でのeプライバシー規則の案について解説する。

一般データ保護規則(GDPR)とeプライバシー規則との関係

 eプライバシー規則は、電子通信サービスの提供と使用における秘密を保護するものである。従前のeプライバシー指令は、旧来からの電気通信事業者を対象とするものであり、Skype、WhatsApp、Facebook Messenger、Gmail、iMessage、Viberといった通信・通話サービスを十分に規制できていなかったため、使用されている技術に関係なく通信の秘密を保護するために制定される。
 また、eプライバシー規則は、個人データに該当する電子通信のデータについて、2018年5月25日に施行された一般データ保護規則(GDPR)の特別法(lex specialis)であり、GDPRを具体化し補完するものであるとされている(eプライバシー規則案提案文1.2、前文(5))。

 欧州委員会の「Fact Sheet(PDF)」によれば、GDPRとeプライバシー規則の違いは、以下のとおりである。

GDPR eプライバシー規則
1. 送信手段を問わず、全ての個人データを対象とする

1. 個人データであるか否かを問わず、電子通信、および機器上の情報の完全性を対象とする

2. 個人データ保護の権利を定める 2. 通信のプライバシーおよび秘密の権利を定める
3. 市民に新しい権利を付与し、企業に新しい義務を課す 3. あなたが通信を行うモバイル・アプリやインターネット・サービスが、あなたの通信の傍受、録音、聴取、または盗聴することができないようにする
4. 2018年5月25日に適用開始 4. 2017年1月10日に提案され、現在、欧州議会および評議会で立法手続が行われている

eプライバシー規則の適用を受ける場合

 eプライバシー規則は、以下の場合に適用される(規則案3条1項)。

  1. エンドユーザにとって有償か否かを問わず、EU域内のエンドユーザへの電子通信サービスを提供する場合(規則案3条1項(a))
  2. 電気通信サービスの利用(規則案3条1項(b))
  3. EU域内に所在するエンドユーザの端末機器に関する情報の保護(規則案3条1項(c))

 GDPRと同様、EU域内に拠点がない日本企業であっても、EU域内のユーザに電子通信サービスを提供する場合や、EU域内に所在するユーザの端末に情報を保存する場合などにはeプライバシー規則の域外適用があると考えられる。

 域外適用がある場合には、EU域内に代理人を置かなければならないから注意が必要である(規則案3条2項)。この点は、GDPRと同様である(GDPR 27条)。

違反の場合の制裁金

 eプライバシー規則に違反した場合、GDPR第7章の規定が適用され、全世界年間売上高の2%もしくは1,000万ユーロのいずれか高い方、または全世界年間売上高の4%もしくは2,000万ユーロのいずれか高い方を上限とする制裁金が課せられるとされている。

規制の対象となるもの

 eプライバシー規則の対象となる「電子通信データ」とは、「電子通信コンテンツおよび電子通信メタデータを意味する」とされている(規則案4条3項(a))。
 「電子通信コンテンツ」および「電子通信メタデータ」とは以下のとおり定義されている(同条項(b)、(c))。  

電子通信コンテンツ テキスト、音声、ビデオ、画像、音声などの電子通信サービスによって交換されるコンテンツ
電子通信メタデータ 電子通信コンテンツを送信、配布または交換する目的で電子通信ネットワークで処理されるデータ通信のソースおよび宛先をトレース及び識別するために使用されるデータ、電子通信サービスを提供する状況で生成されたデバイスの位置に関するデータ、および通信の日付、時間、継続時間および種類を含む。

規制の概要

通信の秘密

 電子通信データは秘密としなければならない(規則案5条)。これがeプライバシー規則の根幹である。

電子通信データ等を処理できる場合

 電子通信データは、以下のいずれかにあたる場合にのみ、処理することができる(6条1項)。

  1. 目的のために必要な期間、通信の送信を達成するために必要な場合(6条1項(a))
  2. 目的のために必要な期間、電子通信ネットワークおよびサービスのセキュリティを維持または回復するために必要な場合、または電子通信の伝送における技術的な欠陥および/またはエラーを検出するために必要な場合(6条1項(b))

 電子通信メタデータは、以下のいずれかに当たる場合にのみ、処理することができる(6条2項)。

  1. 目的のために必要な期間、[欧州電子通信コードの設定指令]またはEUの2015/2120 28規則に準拠した必須のサービス品質要件を満たす必要がある場合(6条2項(a))
  2. 電子通信サービスの課金、相互接続料金の計算、不正または濫用的な使用または購読を検出または停止するために必要な場合(6条2項(b))
  3. 当該エンドユーザが、当該エンドユーザへの特定のサービスの提供を含め、特定の目的のために通信メタデータの処理に同意した場合。ただし、匿名化された情報を処理する場合にはその目的には当たらない(6条2項(c))。

 電子通信コンテンツは、以下のいずれかに当たる場合にのみ、処理することができる(6条3項)

  1. エンドユーザが、自分の電子通信コンテンツの処理に同意を与え、当該コンテンツの処理の処理なしにはサービスが提供できない場合に、エンドユーザへの特定のサービスを提供するためだけの目的の場合(6条3項(a))
  2. 匿名化された情報を処理することによっては達成できない特定の目的のために、関係するすべてのエンドユーザが電子通信コンテンツの処理に同意し、プロバイダが監督当局と協議した場合。GDPR第36条2項および3項が、この監督当局の協議に適用される(6条3項(b))。

消去の義務

 電気通信サービスのプロバイダは、受信者が電気通信コンテンツを受信した後、電気通信コンテンツを消去するか匿名化しなければならない。エンドユーザまたはエンドユーザが委託した第三者は、GDPRに従って当該データを記録、保存その他の処理をすることができる(7条1項)。

クッキー(Cookie)についての規制

 eプライバシー規則は、エンドユーザの端末装置に保存する情報も保護している。クッキー(Cookie)はこの対象となるから、多くの日本企業に影響がある
 eプライバシー規則案のことを、「クッキー法」として紹介するメディアも一部に見られる。

クッキー(Cookie)とは

 クッキー(Cookie)とは、ウェブブラウザを使ってウェブサイトを閲覧した際に、ウェブサイトから送信されてウェブブラウザ内に保存されるテキスト形式の情報のことである。
 たとえば、ウェブサイトを閲覧すると、「GA1.3.264700448.14276796○○」といった単純な情報がユーザ側のウェブブラウザに保存される。これにより、次に同じウェブサイトを閲覧すると、ウェブサイト側が「GA1.3.264700448.14276796○○」という同じユーザが再訪問したということを認識することができる。インターネットショッピングのサイトに行くと「ようこそ○○さん」とユーザ名を覚えているのは、クッキーを使って実装されているケースが多い。
 eプライバシー規則は、以下のとおりエンドユーザの端末装置に保存するデータを規制しているので、クッキーは以下の規制の対象になることになる。

eプライバシー規則の規制

 eプライバシー規則8条は、エンドユーザ以外の者による、端末装置の処理および保存機能の使用、およびエンドユーザの端末装置からの情報の収集は、ソフトウェアおよびハードウェアに関するものも含め、以下のいずれかの根拠に基づく場合を除き、禁止している(8条1項)。

  1. 電子通信ネットワークを介した電子通信の送信を行う目的のためのみに必要である場合(8条1項(a))
  2. エンドユーザが同意した場合(8条1項(b))
  3. エンドユーザが要求した情報社会サービスを提供するために必要がある場合(8条1項(c))
  4. ウェブ視聴者測定のために必要である場合。ただし、当該測定がエンドユーザが要求した情報社会サービスのプロバイダによって実行されることを条件とする(8条1項(d))。

 また、端末装置が他の装置またはネットワーク機器に接続するために発信する情報の収集は、以下のいずれかの場合を除き禁止されている(8条2項)

  1. 接続を確立するためだけに、そのために必要な時間、その目的のみのために行われる場合(8条2項(a))
  2. 端末装置のエンドユーザが収集を停止または最小化できる手段とともに、少なくとも、収集の様式、目的、責任者、およびGDPR第13条が個人情報を収集する際に要求する情報を提供する、明確で目立つ通知が表示されている場合 そのような情報の収集は、GDPR第32条に定められているとおり、リスクに適切なレベルのセキュリティが適用されていることを確実にするための適切な技術的および組織的措置の適用を条件とするものとする(8条2項(b))。

 上記②の情報は、標準的なアイコン(欧州委員会が定めることができる)と組み合わせて提供することができるとされている(8条3項、4項)。

GDPRとeプライバシー規則が日本企業に与える影響

 GDPR第3条2項は、以下のいずれかの場合に、EU域内で設立されていない管理者・処理者にもGDPRが適用されるとしている。

  1. データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品またはサービスの提供(offering)が行われる場合(3条2項(a))
  2. データ主体の行動がEU 域内で行われるものである限り、その行動の監視(monitoring)をする場合(3条2項(b))

 ウェブサイトにおいてクッキーを利用することが、この3条2項(b)にあたるかどうかが、日本企業において大きな問題となっている。

 上記3条2項(b)がいうデータ主体の行動の監視(monitoring)」に該当するか否かの判断については、データ主体の嗜好、行動、態度を分析または予測するために自然人をプロファイリングする個人データ処理技術が後に使用される可能性を含め、インターネット上で自然人を追跡(トラッキング)しているかどうかについて確認する必要があるとされている(GDPR 前文(24))。

 そして、データ保護担当者(DPO:Data Protection Officer)のガイドラインにおいては、「『データ主体の行動のモニタリング』のコンセプトは前文24条で言及されており、behavioural advertisingの目的を含め、インターネット上のトラッキングおよびプロファイリングのすべての形態を明らかに含む。しかし、モニタリングの概念は、オンライン環境およびオンライントラッキングに限定されるものではなく、データ主体の行動のモニタリングのサンプルに過ぎない。」とされている。

 したがって、行動ターゲティング広告のサービスを提供しているAd-Tech企業がGDPR第3条2項(b)の適用を受けることは確実である。判断が難しいのは、単にウェブフォームのためのセッション管理のためだけにクッキーを利用しているケースや、ウェブサイトのトラフィック計測のためにクッキーを離礁しているようなケースにもGDPRが適用されるのか、またされるとしてどこまで対応すれば良いのかである。

 この点について、明確な示唆と要求を提供するのがeプライバシー規則である。上記eプライバシー規則案8条に関連して、前文21条は以下のとおり述べている。

たとえば、エンドユーザが明示的に要求した特定のサービスの利用を可能にする正当な目的のために厳密に必要かつ比例する技術的なストレージまたはアクセスを承認するための同意を求めるべきではない
これには、オンラインフォームを複数ページに渡って記入する際に、エンドユーザの入力を追跡するために、Webサイト上に確立された単一のセッションの間、クッキーを格納することが含まれる
クッキーは、たとえばウェブサイトへのウェブトラフィックを測定する場合など、正当で有用なツールとなり得る
エンドユーザのセッティングに従ったサービスを提供するために設定のチェックを行う情報社会のプロバイダ、およびエンドユーザのデバイスがエンドユーザによって要求されたコンテンツを受信できないという事実を単に記録することは、 デバイスへのアクセスまたはデバイス処理能力の使用を構成するとはされない。

 これと、規則案8条を合わせて考えれば、以下のとおりの対応とすることが合理的であろう。

日本企業で問題となって
いるケース
eプライバシー規則案の条文 本人の同意
ウェブフォームのためのセッション管理のためだけにCookieを利用しているケース 8条1項(c)
エンドユーザが要求した情報社会サービスを提供するために必要がある場合
不要
ウェブサイトのトラフィック計測のためにCookieを利用しているケース 8条1項(d)
ウェブ視聴者測定のために必要である場合、ただし、当該測定がエンドユーザが要求した情報社会サービスのプロバイダによって実行されることを条件とする。
不要(ただし、サードパーティのCookieの場合には必要)

 なお、いずれの場合も、そのクッキーが、会員情報と紐づけられているなど、個人を識別することができるものである場合にはGDPR第6条に従って処理の根拠(たとえば本人の同意)が必要となることには注意が必要である。もっとも、eプライバシー規則案8条1項(c)や(d)に該当する場合には、GDPR6条1項(b)の「データ主体が当事者となっている契約の履行のために取扱いが必要な場合」や同条項(f)の「管理者又は第三者によって追求される正当な利益のために取扱いが必要な場合」に当たり、同意がなくても処理できる場合も多いのではないかと考えられる。

 その上で、GDPR3条2項(b)について考えると、同条項および前文(24)の文言や、eプライバシー規則では同意が不要であるとされていることをあわせれば、そもそも上記のようなケースで個人を識別しないクッキーのみを利用している場合にはGDPR第3条2項(b)の適用がないのではないかと考えられるが、このあたりの微妙な解釈は、今後eプライバシー規則の施行に向けた議論の中で明確になっていくのではないかと期待される。


  1. 正式名称は、「"Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)."」(2002/58/EC指令を廃止し、電子通信における私生活および個人情報の保護に関する欧州議会および評議会の規則)(プライバシーおよび電子通信に関する規制))である。 ↩︎

  2. 原文は、https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:0010:FIN ↩︎

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する