【データ法】UK Privacy and Electronic Communications Regulations (PECR) #1
こんにちは。
お読みいただきありがとうございます。
本日は、英国のプライバシーと電気通信に関する法令であるPrivacy and Electronic Communications Regulations(通称「PECR」)について紹介したいと思います。
実は、PECRについては、かなり初期に書いたこちらのnoteでも触れました。
また、こちらのnoteでも少しだけ解説しています。
とはいえ、PECRが英国のデータ法の中では重要な地位を占めるにもかかわらず、これらだけだとちょっと記載が不十分だなと思っていたこともあり、今回もう少しまとまった形で書こうと思ったのが、本日、PECRをご紹介するきっかけです。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
PECRとは?
本題に入る前に、PECRの読み方ですが、「ペッカー」と呼ぶのが通常です。
元々はEU法
PECRとは、英国がEU加盟国時代に、EUのePrivacy指令(*1)を実施するために制定した法令です。Brexit後もPECRは基本的にそのままの形で残されており、Retained EU Law(Assimilated Law)の一つといえます。
この辺りの詳しい話は、上記ePrivacy指令の解説とともに、こちらも読んで頂けると分かりやすいかも知れません。
カバー範囲
事業者の目線だと、PECRは次の事項に関する法令です。
① 公共電気通信サービスのセキュリティ
② Cookie等の規制
③ 通信データ、位置情報などに係るユーザーのプライバシー
④ 電気通信及び電話によるマーケティング
お気づきのとおり、UK GDPRやData Protection Act 2018がカバーする領域と重なり合っています。このような事情もあり、これら二つとPECRの三つを合わせて、英国のデータ保護法と呼ばれることもあります。
構成
PECRは、全部で37条しかない比較的シンプルな法令であり、条文のグルーピングもされていません。なので、ぼくが勝手にまとめたもので恐縮ですが、次のように構成できるのではないかと思います。
PECRの構成:
第1~4条 総則的規定と定義
第5~5C条 公共電気通信サービスのセキュリティ
第6条 通信の秘密(Cookie等の規制)
第7~19条 通信データ、位置情報などに係るユーザーのプライバシー
第20~26条 電気通信及び電話によるマーケティング
第27~29条 適用除外など
第30~37条 附則など
公共電気通信サービスのセキュリティ
サービスプロバイダのセキュリティ確保
サービスプロバイダ(定義は後述します。)は、そのサービスのセキュリティを確保しなければなりません。まあ、自然に考えればそうなのですが、Reg. 5(1A)は、次のとおり、もう少しだけ詳しく述べています。
① 法的に許可された目的のために、許可された担当者のみが個人データにアクセスできるようにすること
② 保存又は送信された個人データを、偶発的若しくは違法な破壊、偶発的な逸失若しくは改変、又は権限のない若しくは不法な保存、処理、アクセス若しくは開示から保護すること
③ 個人データの処理に関するセキュリティポリシーの実施を確保すること
ここまで読んでお気づきのとおり、UK GDPRが求めるセキュリティ義務に似ています。そのため、ICOは、UK GDPRに関する以下のセキュリティガイドも、サービスプロバイダがPECRのセキュリティ義務を遵守するにあたって参考になるとも述べています。
サービスプロバイダとは?
サービスプロバイダ(service provider)とは、公共電気通信サービス(public electronic communications service)の提供者を意味します。電気通信サービスの定義は、Communications Act 2003のs. 151の定義を参照していますが、ICOの説明の方がより分かりやすいかと思います(*1)。
簡単に言えば、サービスプロバイダとは、一般市民が電子メッセージを送信できるあらゆるサービスを提供する者を指します。これには、テレコムプロバイダやインターネットサービスプロバイダが含まれます。
個人データ侵害の通知
サービスプロバイダは、個人データ侵害が発生した場合、遅滞なく、ICOに通知しなければいけません。
個人データ侵害(personal data breach)とは、「偶発的又は違法な、破壊、喪失、改変、無権限の開示又は無権限のアクセスを導くような、公共電気通信サービスの提供に関連して送信され、記録保存され、又は、その他の処理が行われる個人データの安全性に対する侵害」を言います。UK GDPRの定義と似ていますが、「公共電気通信サービスの提供に関連して」という文言が追加されていますね。
また、UK GDPRは、個人データ侵害の検知から72時間以内の通知を要求していますが、PECRでは、遅滞なくという時間枠になっています。
なお、この通知義務を遵守しなかったときは、1000ポンドの固定額の制裁金が課されうるとのことです(*2)。安いですね。
Cookie等の規制
規制の概要
PECRのReg. 6は、ユーザーの端末に保存された情報について、①明確かつ包括的な情報提供、及び、②ユーザーの同意の提供、が無い限り、これを保存したり、取得したりすることを禁じています。
Cookieは、ユーザーがウェブサイトにアクセスした際に、ユーザーのPCやスマートフォンにダウンロードされるテキストファイルです。ウェブサイトの運営者は、各ユーザーのCookieを参照することで、ユーザーの嗜好や過去の行動履歴に関する情報を得ることができます。
このCookieは、「ユーザーの端末に保存された情報」ですので、上記①及び②の要件を充足しなければ、サイトの運営者は、ユーザーのCookieを取得できません。英国のWEBサイトが、必ずクッキーポリシーを公表して、いちいちCookieの取得についてポップアップなどで同意の提供を求めてくるのは、このような理由からです。
ICOのガイダンス
Cookieについては、ICOが公表しているUK GPDRのガイダンスのパートの一つで、詳細に論じられています。
実は、このガイダンスを全編通して読めておらず、業務の際につまみ食い的に参照している状況です。いずれ時間をちゃんと取って、皆さまにも詳しくご紹介できればと思っています。
まとめ
いかがだったでしょうか。
次回は引き続き、通信データ、位置情報などに係るユーザーのプライバシーについて紹介し、できれば電気通信及び電話によるマーケティングも説明し終えて前後編の2回にまとめたいと思っています。
追記:後編です!
このエントリーが皆さまの参考となっていれば嬉しいです。
ここまでお読みいただきありがとうございました。
【注釈】
*1 こちらのWEBページです。
*2 Reg. 5C(2)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。