14 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回はePrivacy指令によるCookie規制について解説します。^[1]

Q1：ePrivacy指令とは何ですか？

A1: 電子通信（電話、インターネット等）の秘密保護等を通じプライバシーを保護する指令です。

【解　説】

(1) 「ePrivacy指令」の正式名称

正式名称は“Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector”[2]です。一部省略して訳せば、「電子通信分野における個人データの処理およびプライバシー保護に関する指令」となるでしょう。

(2) 「指令」(directive)の意味

EUで最も重要な法（加盟国間の条約）は、「欧州連合条約」(Treaty on European Union)（略称「TEU」)と「欧州連合運営条約」(Treaty on the Functioning of the European Union)（略称「TFEU」）です（本Q&A第3回Q1の解説参照）が、これら「一次法」(Primary Legislation）を根拠に、「規則」（Regulation）、「指令」（Directive）等の二次法（Secondary Legislation）が制定されます。「指令」(directive)はEUの各加盟国に対し指令に定める内容を実現するための立法（国内法制定・改正）を要求するものです。この点、EU全加盟国に直接適用される「規則」(regulation)とは異なります。

(3) ePrivacy指令の法目的

電子通信分野における個人データの処理に関し、EU域内における基本権および自由（特にプライバシーの権利）の均等な(equivalent)保護等のためEU加盟国間の法を調和する（harmonise）ことを目的としています(1(1)）。

すなわち、電子通信（電話、インターネット等）における通信の秘密の保護（A2参照）等を通じたプライバシー保護に関し、どのEU加盟国でも同様の保護が図られるよう指令に基づいた国内法の制定・改正・維持を加盟国に義務付けることが、ePrivacy指令の目的です。

(4) ePrivacy指令の制定・改正・加盟国における国内法化

ePrivacy指令は、2002年に制定、2009年に改正され、現在に至っています。従って、EU全加盟国で国内法化（改正も2011年5月の期限までに完了）されています。2020年1月31日にEUから離脱した英国でもePrivacy指令の英国国内法[3]が離脱の影響を受けずに従来通り存続しています。

(5) 「ePrivacy規則」案

規則であるGDPRの前身は「データ保護指令」で、ePrivacy指令も、当初、GDPR施行と同時に、規制強化および適用対象が拡大された「ePrivacy規則」に置き換えられる予定でした。しかし、それにより予想されるオンライン広告事業者（例：Google, Facebook）等への影響の大きさ等から議論がまとまらず、未だ「ePrivacy規則」最終案は未確定で、現在でもePrivacy指令が有効です。なお、このePrivacy規則の改正があまりに注目されたせいか、現行のePrivacy指令で既に十分厳格なCookie規制となっている（A2参照）ことが見落とされがちでした。

(6) ePrivacy指令とGDPRの関係

EU基本権憲章[4]には、「何人も、私的生活、家庭生活および住居[に関するプライバシーの保護]ならびに通信（communications）[の秘密の保護]を受ける権利を有する」(7)と規定されています。

この内、(i) 私的・家庭生活および住居に関するプライバシーの保護については主にGDPRにより、(ii) 通信の秘密の保護については主にePrivacy指令により、それぞれ保護され、両者は個人のプライバシー保護に関し相互に補完し合うものです。なお、GDPRは「個人データ」を保護しますが、ePrivacy指令はそれが個人データであるか否かを問わず個人の「通信」の秘密を保護します。

(7) ePrivacy指令の他の規制対象

プライバシー保護の観点から見ると、ePrivacy指令で最も重要な規定は通信の秘密の規定(5)ですが、ePrivacy指令には他にも以下のような規制があります。

(a) 位置データの処理に対する規制(9)

(b) 迷惑電話に関する、電話加入者の発信回線表示請求権(10)

(d) ダイレクトマーケティング（売り込み・広告）の電話・通信(例：電子メール・SMS)等の「未承諾通信」（Unsolicited communications）に関する、事業者の事前同意取得義務 (13)

Q2:　ePrivacy指令における通信の秘密の保護とはどのようなものですか？

A2: Cookieまたはこれと同様のテクノロジーの利用規制を通じた電子通信の秘密保護です。

【解　説】

(1) ePrivacy指令5条3項

同項は、EU加盟国に次の要旨の規定を国内法上設けることを義務付ます（[ ]内は筆者。以下同じ）。

ネットワーク契約者またはユーザ（以下「ユーザ」と総称）の端末機器（terminal equipment）[例：パソコン、スマートフォン、スマートスピーカー]への情報の保存または当該情報へのアクセスは、ユーザが「データ保護指令」に従い明確かつ十分な情報（特に当該情報の処理目的）が提供された上で同意した場合にのみ許される。

但し、これは、次のいずれかの場合における技術的保存またはアクセスを妨げない。

(i) 電子通信ネットワーク上での通信の伝達（transmission of a communication）を行うことのみを目的とする場合

(ii) オンラインサービスの提供者がユーザから明示的に（explicitly）要求されたサービスを提供するために必須である（strictly necessary）場合

【「データ保護指令」から「GDPR」への読み替え】

上記規定中「データ保護指令」は「一般データ保護規則」(GDPR)と読み替えられます。これは、GDPRはその正式名称にある通り「データ保護指令を廃止する規則」ですが、GDPR　94条2項に、廃止される指令[データ保護指令]への言及はGDPRへの言及として解釈される旨規定されているからです。なお、このことは、WP29がGDPR上の同意に関し2018年4月10日に公表した"Guidelines on Consent under Regulation"でも明記されていました（個人情報保護委員会訳ではp 6,7)。

(2) Cookieの意味・機能

Cookieとは、Webサイト等のサーバ（コンピュータ）からサイト訪問者のパソコン等にブラウザ等を通じ自動的に書き込まれおよび読み込まれるID（Cookie ID）およびこのIDと紐づけられたデータまたはその仕組みを意味します。

Cookieは、WebサービスにユーザがIDやパスワードを毎回入力せずに利用できる等ユーザの利便性目的、サイト閲覧等ユーザのオンライン上の行動履歴に基づくターゲティング広告目的等で企業・公的機関を問わず非常に広く利用されています。

(3) CookieとePrivacy指令5条3項

Cookieは、正にePrivacy指令5条3項で規制される保存またはアクセスを行うための技術の一つです。同項の適用を受ける、Cookieと同様のテクノロジーとしては、他に、スマートフォン等の広告ID、アプリ[5]等があります。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第7回はここまでです。次回も今回に引き続き、ePrivacy指令によるCookie規制について解説します。

著者GDPR・Cookie規制関連本

^[6]

【注】

^[1] 【本稿の参考資料】　(1) 浅井敏雄　「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　I-C-3, (2)「GDPR関連資格CIPP/E準拠詳説GDPR (下) - GDPRとCookie規制」　III-D-3　(3) 「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号(Vol. 48, No.2) p 222-225

[2] 【2009年改正後ePrivacy指令】　条文

[3] 【ePrivacy指令に基づく英国国内法】　"The Privacy and Electronic Communications (EC Directive) Regulations 2003”（2019年3月最終改正）（PECR）

[4] 【EU基本権憲章】 ”Charter of Fundamental Rights of the European Union”（The Charter)

[5] 【Cookieと同様のテクノロジーの例】

（広告ID）デスクトップパソコン等では、Cookieを利用し、ユーザの同一のブラウザ上での全行動度履歴の収集が可能であったが、モバイル機器のアプリで用いられるCookieはそのアプリでしか利用できないから、ユーザのオンライン上の全行動度履歴に基づくターゲティング広告は困難となった。

そこで、これに対応する手段として、iOS 端末（iPhone, iPad等）については「IDFA」、Android OS端末（Androidスマートフォン、タブレットPC等）については「AAID」という各端末固有のID（以下「広告ID」という）がそれぞれのOSにより自動的に付与されるようになった。

これらの広告IDによりアプリがダウンロードされた際に各端末からアプリ運営者のサーバに自動的に送信され、各端末におけるユーザ行動をトラッキングすることが可能となる。

これらの広告IDもユーザの端末機器へのアクセスにより取得されることなるから、ePrivacy指令上、ユーザに当該情報の処理目的その他について情報が提供された上でユーザが同意した場合にのみ許される(5(3))。

（スマホアプリ）　同様に、アプリがユーザの機器に保存されている連絡先情報、写真またはその他のメディアにアクセスする場合も、ePrivacy指令上、ユーザの事前の同意が必要となる(5(3))。

[6]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録