GDPRの次はこれ、5分でわかるeプライバシー法
掲載:2018年09月07日
コラム
eプライバシー法(ePrivacy regulation)とはEU(ヨーロッパ連合)の法規制で、メールやCookie等を取り扱う民間企業等に対し、EU市民のプライバシーの遵守を義務付ける法案であり、2019年には施行予定です。EU市民といいながらも、2018年5月に施行されたGDPR(EU一般データ保護規則)同様、日本企業にも大きな影響を及ぼす可能性がある法規制です。なぜなら、eプライバシー法では、企業の所在地がEU域外であっても、EU域内の個人に対して商品やサービスの提案をする場合や、その行動や趣味嗜好を監視する場合に、「域外適用」として対象となるからです。欧州向けにeコマースなどを展開する企業は、メールやCookieを取扱うため自ずと対象となります。
「指令」と「法」では何が大きく変わるのか
現在も類似の規制であるeプライバシー指令(2002年施行)が存在するのですが、これは主に電話を対象としたもので、インターネットや欧州以外の企業/組織は対象外となるなど、現代のグローバルなデジタル社会に合わない側面があり、今回のeプライバシー法施行に至ります。
まとめると、現状の「指令」と新たに施行される「法」では以下のような変更が生じます。
| 項目 | eプライバシー指令(Directive) | eプライバシー法(Regulation) |
|---|---|---|
| 目的 | 意図しない傍受や記録、盗聴などからEU市民を守るため | |
| 対象組織 | EU域内の通信事業者 | メールやCookie等を取り扱う民間企業等 |
| 施行日 | 2002年5月12日 | 2019年施行予定 (当初はGDPRと同じ2018年5月25日施行を予定していた) |
| 拘束力 | 指令自体に具体的な規制はない。 指令を達成するための、法の制定、追加、修正は加盟国に委ねられる。 |
規則の内容自体がすべての加盟国に直接、影響する。 (加盟国ごとに採択せずとも、国内体系法の一部となる) |
| 個人情報の取扱い | 本人の明確な同意が必要 | |
| サービス設計段階のプライバシー保護設計 | 記載なし | プライバシー設計の義務化 |
| 個人データ侵害時の監督機関への通知義務 | 記載なし | 72時間以内に通知義務 |
| 個人データ侵害時のデータ主体への通知義務 | 記載なし | 通知義務あり (程度による) |
| 懲罰金 | 記載なし | 違反した場合、最大で2,000万ユーロ 又は 年間売り上げの4%の高い金額が課せられる |
上の表はすべてではないものの、ほとんどの条項が厳しくなっているのがわかります。
eプライバシー法はEU法における規則(Regulation)に該当するので、GDPRと同様に、個人データ侵害時の監督機関への72時間以内の報告義務や、最大2,000万ユーロの懲罰金など非常に厳しいものとなっています。
eプライバシー法とGDPRとの違い
eプライバシー法とGDPRはどちらもEU発であり、個人情報について言及している点等で共通していますが、具体的にどういった違いがあるのかは現段階ではイメージするのが難しいところです。
明確な差異としては、eプライバシー法はインターネットなどの電子通信を中心に展開している規則ですが、それに対してGDPRは電子・紙を問わず個人データの取り扱いについての規則である点があげられるでしょう。eプライバシー法はGDPRでカバーしきれなかったメールやCookieなどの同意について、さらに厳格に明確化する規則でもあります。
【表:eプライバシー法とGDPRとの差異】
| 項目 | eプライバシー法 | GDPR | |
|---|---|---|---|
| 目的 | アプリケーションやインターネットサービスを通しての連絡における傍受、記録、盗聴を防ぐため | EEA圏内の各人が個人データを自由にコントロールできるようにするため | |
| 対象組織 | メールやCookieを取り扱う民間企業者 | 実質全世界の企業や組織 (EEA域内の個人データを取り扱う組織) |
|
| 施行日 | 2019年施行予定 (当初はGDPRと同じ施行日を予定していた) |
2018年5月25日 | |
| 個人データ侵害時 | 監督機関への通知義務 | 72時間以内に通知義務あり | |
| データ主体への通知義務 | 通知義務あり (程度による) |
||
| 懲罰金 | 最大で2,000万ユーロ 又は 年間売り上げの4%の高い金額が課せられる | ||
| 保護される対象 | コミュニケーションのプライバシーと機密性 | 個人データ | |
日本企業が対応すべきことは
eプライバシー法の施行に伴い、日本企業が早急に対応すべきことは以下の確認になるでしょう。
自社が対象となるか
電子情報の取り扱いについて、EU議会はMicrosoftのskype、FacebookのWhatsapp、messenger、GoogleのGmail、楽天のViberなどを直接名指ししています。これらの企業が今後eプライバシー法の規制対象となることは間違いないですが、EEA(欧州経済領域)圏内のユーザーに対してメール等の配信を行う日本企業も規制の対象になります。まず自社がEEA圏内のユーザーを対象としたウェブサイトを持っているか、そのウェブサイトでCookieを取得し追跡型広告等の活用をしているかを確認しましょう。Cookieの取得に同意を得ているか
メールやCookieをもとに利益を上げるような行動追跡型マーケティングを活用する企業をはじめ、ECサイト等を展開し、EEA圏内に顧客ユーザーが存在し、メールやCookieを利用する企業は対象となります。
メールやCookie等の取得に関してGDPRよりどれほど厳格になるかはモニタリングが必要ですが、いずれにしてもユーザ―からの明確な同意を得る必要があります。ウェブサイトからメールやCookie等の情報を取得する際に、かならず注意メッセージなどを表示し、明確な同意を得る仕組みを導入しましょう。
最後に
eプライバシー法の施行は、GDPRと同様に、2018年5月25日を目標としていました。しかしながら、調整が遅れ、2019年まで遅延することが見込まれており、日本国内における注目度は低いかもしれません。
しかし、eプライバシー法が施行された際は、世界中の企業/組織が準拠を求められる可能性があるため、GDPRと同様、対応が必要となります。また、EEA圏内の個人データを利用しない企業でも、今まで無料で利用していたネットサービスが有料になるなど、何かしらの影響を受ける可能性が高いです。
いずれにせよ、GDPRを補完するような位置づけでもあるeプライバシー法ですので、企業/組織にはメールやCookieをはじめとする個人データやプライバシー遵守のあり方、取り扱いに対する仕組みの構築が求められています。
