eプライバシー規則とは？GDPRとの関係性と日本企業の注意点を解説

GDPRを具体化し、補完する「eプライバシー規則」をご存じでしょうか？ EU域内のエンドユーザーを対象としてサービスを提供する企業は、高確率でeプライバシー規則の適用対象となるため、その規則の内容にはしっかりとアンテナを張っておくことが重要です。

ここでは、eプライバシー規則の概要やGDPRとの関係性、日本企業に及ぼす影響を説明します。

1. eプライバシー規則とは？

eプライバシー規則は、電子通信におけるプライバシー保護を目的とした規則です。2018年5月から適用されたGDPR（EU一般データ保護規則）の特別法であり、別名「Cookie（クッキー）法」とも呼ばれます。

eプライバシー規則は2020年10月時点では正式に可決されておらず、規則案の状態です。そのため細部に変更の可能性があるものの、規則の大枠は以下のようになっています。

項目	概要
適用対象	あらゆる電子通信データ・端末上の情報
地理的範囲	EU域内のエンドユーザー（商品を使う人）を対象にサービスを提供したり、エンドユーザーの端末の情報を扱ったりする場合に適用
電子通信データの保護	電子通信データは秘密とし、eプライバシー規則により許容される場合のみ処理可能
電子通信データの保存と消去	通信伝達に不要になった場合に消去・匿名化
端末保存・関連情報の利用	当事者の同意が必要 ※ブラウザ設定による同意は可能
エンフォースメント （法執行）	制裁金は全世界年間売上の4％、あるいは2,000万ユーロ（違反内容によっては2％、あるいは1,000万ユーロ）。執行はGDPRと合わせ各国データ保護当局が担う。

参考：総務省「EU電子通信プライバシー規則案と関連する法政策の状況」

電子通信データへのエンドユーザー以外による干渉は、eプライバシー規則が許容するものを除き禁止されています。原則として、エンドユーザー本人以外は同意なしに電子通信データや端末の情報を閲覧・操作できません。

2. eプライバシー規則が定める「電子通信データ」とは？

eプライバシー規則が定める電子通信データとは、以下のような電子通信コンテンツや電子通信メタデータを指しています。

項目	概要
電子通信コンテンツ	文章・声・動画・画像・音声のような電子通信サービスによって交換されるもの
電子通信メタデータ	電子通信コンテンツの配信・交換のために電子通信ネットワーク内で処理されるデータや、電子通信サービスを提供する過程において生成されるデータ

なお、原則として電子通信データへの干渉は禁止されていますが、次章で解説するケースでは例外的に「必要な期間のみ」という条件のもと干渉が許容されます。

3. 電子通信データへの干渉が許容されるケース

eプライバシー規則案では、以下のケースにおける電子通信データへの干渉が許容されています。

出典：総務省「EU電子通信プライバシー規則案と関連する法政策の状況」

上記に該当する場合は「電子通信データは秘密とする」のルールから外れ、電子通信データへの干渉が可能となります。

一例としては、エンドユーザーに対してメッセージやデータを送信したり、エンドユーザーの同意のもと「e-Bookを（エンドユーザーが）ダウンロードする」など特定のアクションを実行したりする場合が該当するでしょう。

4. エンドユーザーの端末にまつわる情報の取り扱いについて

先ほど解説した電子通信データの規定とは別に、エンドユーザーの端末に保存された情報、および関連情報を保護する規定が存在します。この規定によって「エンドユーザーの端末に保存された情報」の一つであるCookieは活用が制限されます。

以下は端末の処理や記憶機能の使用、端末からの情報収集を例外的に認めるケースです。つまり、以下に該当する場合にはユーザーの端末に対するCookieの付与が可能となります。

出典：総務省「EU電子通信プライバシー規則案と関連する法政策の状況」

上記の通り、エンドユーザーが能動的に同意、あるいは要求しない限りCookieの付与はできません。そのため、eプライバシー規則の適用対象となる事業者は、WebサイトにCookieの利用に関して同意を求めるフォームを設置しなければなりません。

このほか、別のデバイスやネットワーク機器と接続するにあたり、エンドユーザーの端末から発信される情報の取得も、以下の場合を除いて禁じられています。

出典：総務省「EU電子通信プライバシー規則案と関連する法政策の状況」

なお、プライバシー侵害が存在しない、もしくはプライバシー侵害が極めて限定的なケースでは同意が必要ありません。

5. そのほかの規定について

ここまでに解説した事項のほかにも規定は多数あり、複数回の議論を経てeプライバシー規則案は追記・修正されています。企業に特に大きな影響を及ぼす事項として、以下も挙げられるでしょう。

• トラッキング・ウォール（トラッキングを許可しないユーザーをブロックする行為）の禁止
• BluetoothやWi-Fiによるオフライントラッキングは統計目的、または同意のある場合にのみ可能
• トラッキングやターゲティングからユーザーを保護する手段（広告ブロックなど）を禁じてはならない

eプライバシー規則は2019年の採択が目指されていたものの、同年11月に否決されており2020年10月時点では修正案の提出を待つこととなっています。

これまでのeプライバシー規則案に盛り込まれていた内容が変更される可能性もあるため、特に適用対象となる「EU域内のエンドユーザーを対象にサービスを提供したり、エンドユーザーの端末の情報を扱ったりする場合」に該当するならば、引き続き注意してアンテナを張っておく必要があります。

6. GDPRとeプライバシー規則の関係性

GDPRとeプライバシー規則はいずれもEUに深く関連したルールであり、両者ともに個人のプライバシー保護を目的としている点で類似しています。

どのような違いがあるのかはわかりづらいのですが、GDPRは「個人データ」を保護対象として規制を行い、eプライバシー規則は「電子通信・端末上の情報」を保護対象として規制を行っている点で異なります。

重複すると考えられる部分も多く見られますが、eプライバシー規則はGDPRにおけるインターネット通信の領域をより詳細化した規則だといえるでしょう。なお、eプライバシー規則は個人データだけでなく、法人による通信も保護対象とします。

7. eプライバシー規則に対して日本企業が注意すべきポイント

日本企業であっても、EU域内のエンドユーザーを対象にサービスを提供したり、エンドユーザーの端末の情報を扱ったりする場合はeプライバシー規則の適用対象となります。そのため、企業は以下の2点を実施すべきでしょう。

• 自社がeプライバシー規則の適用対象となるのか確認する
• 適用対象となる場合、必要となる対応を考案する

EU域内のユーザーに対して電子通信サービスやコンテンツを提供していないかを再確認し、それらがeプライバシー規則案に抵触する状態ではないことを確認してください。なお、eプライバシー規則の適用対象となる場合、GDPRにも配慮しなければなりません。

GDPRは以下記事で解説しているため、本記事とあわせてご参照ください。

＞＞GDPRとは？その定義と日本企業がとるべき対策をチェックしよう

8. まとめ

eプライバシー規則は、あらゆる個人データを保護対象とするGDPRを補完し、電子通信データや端末上の情報における保護範囲を具体的に規定するものです。

2020年10月時点では一部の反発があり採択はされていませんが、eプライバシー規則の適用対象となる事業を展開している企業にとっては、修正案の内容を含めて今後の動向を注視する必要がありそうです。