コラム

GDPRの次はこれ、5分でわかるeプライバシー法

2018年09月07日

コンサルタント

成瀬 法彦

コンサルタント 成瀬 法彦

eプライバシー法(ePrivacy regulation)とはEU(ヨーロッパ連合)の法規制で、メールやCookie等を取り扱う民間企業等に対し、EU市民のプライバシーの遵守を義務付ける法案であり、2019年には施行予定です。EU市民といいながらも、2018年5月に施行されたGDPR(EU一般データ保護規則)同様、日本企業にも大きな影響を及ぼす可能性がある法規制です。なぜなら、eプライバシー法では、企業の所在地がEU域外であっても、EU域内の個人に対して商品やサービスの提案をする場合や、その行動や趣味嗜好を監視する場合に、「域外適用」として対象となるからです。欧州向けにeコマースなどを展開する企業は、メールやCookieを取扱うため自ずと対象となります。

「指令」と「法」では何が大きく変わるのか

現在も類似の規制であるeプライバシー指令(2002年施行)が存在するのですが、これは主に電話を対象としたもので、インターネットや欧州以外の企業/組織は対象外となるなど、現代のグローバルなデジタル社会に合わない側面があり、今回のeプライバシー法施行に至ります。

まとめると、現状の「指令」と新たに施行される「法」では以下のような変更が生じます。

【表:eプライバシー指令とeプライバシー法との差異】
項目 eプライバシー指令(Directive) eプライバシー法(Regulation)
目的 意図しない傍受や記録、盗聴などからEU市民を守るため
対象組織 EU域内の通信事業者 メールやCookie等を取り扱う民間企業等
施行日 2002年5月12日 2019年施行予定
(当初はGDPRと同じ2018年5月25日施行を予定していた)
拘束力 指令自体に具体的な規制はない。
指令を達成するための、法の制定、追加、修正は加盟国に委ねられる。
規則の内容自体がすべての加盟国に直接、影響する。
(加盟国ごとに採択せずとも、国内体系法の一部となる)
個人情報の取扱い 本人の明確な同意が必要
サービス設計段階のプライバシー保護設計 記載なし プライバシー設計の義務化
個人データ侵害時の監督機関への通知義務 記載なし 72時間以内に通知義務
個人データ侵害時のデータ主体への通知義務 記載なし 通知義務あり
(程度による)
懲罰金 記載なし 違反した場合、最大で2,000万ユーロ 又は 年間売り上げの4%の高い金額が課せられる

 

上の表はすべてではないものの、ほとんどの条項が厳しくなっているのがわかります。

eプライバシー法はEU法における規則(Regulation)に該当するので、GDPRと同様に、個人データ侵害時の監督機関への72時間以内の報告義務や、最大2,000万ユーロの懲罰金など非常に厳しいものとなっています。
 

eプライバシー法とGDPRとの違い

eプライバシー法とGDPRはどちらもEU発であり、個人情報について言及している点等で共通していますが、具体的にどういった違いがあるのかは現段階ではイメージするのが難しいところです。

明確な差異としては、eプライバシー法はインターネットなどの電子通信を中心に展開している規則ですが、それに対してGDPRは電子・紙を問わず個人データの取り扱いについての規則である点があげられるでしょう。eプライバシー法はGDPRでカバーしきれなかったメールやCookieなどの同意について、さらに厳格に明確化する規則でもあります。


【表:eプライバシー法とGDPRとの差異】

項目 eプライバシー法 GDPR
目的 アプリケーションやインターネットサービスを通しての連絡における傍受、記録、盗聴を防ぐため EEA圏内の各人が個人データを自由にコントロールできるようにするため
対象組織 メールやCookieを取り扱う民間企業者 実質全世界の企業や組織
(EEA域内の個人データを取り扱う組織)
施行日 2019年施行予定
(当初はGDPRと同じ施行日を予定していた)
2018年5月25日
個人データ侵害時 監督機関への通知義務 72時間以内に通知義務あり
データ主体への通知義務 通知義務あり
(程度による)
懲罰金 最大で2,000万ユーロ 又は 年間売り上げの4%の高い金額が課せられる
保護される対象 コミュニケーションのプライバシーと機密性 個人データ

日本企業が対応すべきことは

eプライバシー法の施行に伴い、日本企業が早急に対応すべきことは以下の確認になるでしょう。

自社が対象となるか
電子情報の取り扱いについて、EU議会はMicrosoftのskype、FacebookのWhatsapp、messenger、GoogleのGmail、楽天のViberなどを直接名指ししています。これらの企業が今後eプライバシー法の規制対象となることは間違いないですが、EEA(欧州経済領域)圏内のユーザーに対してメール等の配信を行う日本企業も規制の対象になります。まず自社がEEA圏内のユーザーを対象としたウェブサイトを持っているか、そのウェブサイトでCookieを取得し追跡型広告等の活用をしているかを確認しましょう。 
Cookieの取得に同意を得ているか

メールやCookieをもとに利益を上げるような行動追跡型マーケティングを活用する企業をはじめ、ECサイト等を展開し、EEA圏内に顧客ユーザーが存在し、メールやCookieを利用する企業は対象となります。

メールやCookie等の取得に関してGDPRよりどれほど厳格になるかはモニタリングが必要ですが、いずれにしてもユーザ―からの明確な同意を得る必要があります。ウェブサイトからメールやCookie等の情報を取得する際に、かならず注意メッセージなどを表示し、明確な同意を得る仕組みを導入しましょう。
 

最後に

eプライバシー法の施行は、GDPRと同様に、2018年5月25日を目標としていました。しかしながら、調整が遅れ、2019年まで遅延することが見込まれており、日本国内における注目度は低いかもしれません。

しかし、eプライバシー法が施行された際は、世界中の企業/組織が準拠を求められる可能性があるため、GDPRと同様、対応が必要となります。また、EEA圏内の個人データを利用しない企業でも、今まで無料で利用していたネットサービスが有料になるなど、何かしらの影響を受ける可能性が高いです。
いずれにせよ、GDPRを補完するような位置づけでもあるeプライバシー法ですので、企業/組織にはメールやCookieをはじめとする個人データやプライバシー遵守のあり方、取り扱いに対する仕組みの構築が求められています。
 

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる