【データ法】UK Privacy and Electronic Communications Regulations (PECR) #2
こんにちは。
お読みいただきありがとうございます。
本日は、前回に引き続き、英国のプライバシーと電気通信に関する法令であるPrivacy and Electronic Communications Regulations(通称「PECR」)について紹介したいと思います。
前回はこちら。
前回は、PECRの概要、公共電気通信サービスのセキュリティ、及び、Cookie規制等について紹介しました。今回は、PECRがカバーしている残りのパートを見ていきます。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
通信データ、位置情報などに係るユーザーのプライバシー
トラフィックデータ
Reg 7, 8は、トラフィックデータについて規制しています。トラフィックデータの定義は以下のとおりです(*1)。
電気通信ネットワーク上での通信の伝達又はその通信に関する勘定を目的として処理されるデータ
これには、通信の経路、時刻に関するデータを含むと言われています。例えば、電話や電子メールに係る通信の経路やタイミングに関する情報は、トラフィックデータと呼べそうです。
PECRは、公共通信プロバイダ(public communication provider、定義は後述します。)のみが、トラフィックデータを処理することが出来ることを定めるとともに、次の事項を求めています。
・ 許可された目的のみに使用すること
・ 処理に関する情報を顧客に提供すること
・ データの特定の用途についてユーザーの同意を得ること
・ 処理が終わり次第、データを消去又は匿名化すること
公共通信プロバイダとは、公共通信ネットワーク又は公共通信サービスを提供する事業者を意味します。ざっくり言うと、前者は、電子信号の伝達のために使用される送信機又は送信システム(例:携帯電話のネットワーク)をいい、後者は、公衆が電子信号を送受信するために契約できるサービス(例:携帯電話の契約)をいいます。
上記の「許可された目的」は、公共通信ネットワークの提供者と公共通信サービスの提供者とで分けて定められており、たとえば、前者では、不正行為の防止又は検出が許可された目的の一つに挙げられています。
位置情報
Reg 14は、位置情報(trafic data)について規制しています。位置情報とは、要するに、電気通信ネットワーク・サービスによって収集された、ユーザーのデバイス(スマホなど)がどこにあるのかという情報です。この「電気通信ネットワーク・サービスによって」というところが意外とミソで、ICOは、GPSに基づく位置情報は、PECRにおける位置情報には該当しないと考えています。
PECRは、位置情報と取り扱える者を、公共通信プロバイダ及び付加価値サービスプロバイダ(value-added provider)に限定したうえで、次の場合に限って、利用を認めています。
・ データが匿名であること、又は
・ 付加価値サービスのためにデータを使用することについてユーザーの同意があり、その目的のための処理であること
付加価値サービスプロバイダとは、通信の送信やその送信に関する勘定に必要となる以上のトラフィックデータや位置情報の処理を必要とするサービス(付加価値サービス)を提供する事業者をいいます。
その他の規定
Reg 9は、公共電気通信サービスの提供者(*2)に対して、原則として細目の無い請求書を提供することを要求しています。また、項目別の請求書をユーザーが受け取る権利についても記載されています。なぜ、このような請求書に関する規定がわざわざ置かれているかというと、公共電気通信サービスの利用に関する請求書自体がプライバシーにかかわりの深い書面であるという配慮からです。
Reg 10-13は、CLI(通話回線識別:call line identification)について定めています。CLIとは、電話の受信者が発信者の電話番号を確認することができる仕組みを言います。公共電気通信サービスのプロバイダは、次の事項を求められます。
・ 非通知発信システムの提供
・ 受信者が発信者の番号を表示しないシステムの提供
・ 非通知受信を拒否するシステムの提供
・ 受信者が受信時に自分の接続回線識別情報を表示しないシステムの提供
・ CLIに関する情報を公開すること
電気通信及び電話によるマーケティング
PECRは、電気通信及び電話によるダイレクトマーケティングを規制する法令でもあります。
ダイレクトマーケティングとは、「特定の個人に向けられた広告又はマーケティングの資料の伝達(手段を問わない)」と定義されます(*3)。PECRには、規制されるダイレクトマーケティングの客体について、個人と法人の区別はありませんが、定義の「特定の個人に向けられた」のところから、個人を対象とした規制であると解されます。
詳細は以下で述べるとおりですが、基本的に、個人の同意の無いダイレクトマーケティングは、いかなる媒体によるものであっても禁止されます。
電子メール
Reg 22は、電子メール等によるダイレクトマーケティングを規制しています。「等」というのは、テキストメッセージのような電子メール類似の手段も含まれるという趣旨です。
具体的には、次のように規制されます。
次の場合を除いて、電子メール等によるダイレクトマーケティングは禁止される:
① その電子メール等の受信について具体的に同意している
② 受信者が過去に送信者から同様の製品又はサービスを購入(その交渉を含む。)した既存顧客であり、当初の受信者情報収集時と送信時にオプトアウトする方法を受信者に提供している
②に基づくダイレクトマーケティングは、ソフトオプトインとも呼ばれます。これは、他の媒体によるダイレクトマーケティングでは認められていない、電子メール等によるときに依拠できる特有の根拠です。
オプトアウトとは、要するに、そのようなダイレクトマーケティングを望まないことを本人が選択することであり、メールの末尾にある「配信を希望されない方はこちら」といったメッセージの提供がこれに当たり得ます。
個人事業主は、PECR上は個人という扱いであり、上記規制にかかります。他方で、企業の従業員のメールアドレス、たとえばtaro-yamada@xxx.comなどは、ICOは個人のメールアドレスとは考えていないようです。そのため、PECRでは規制されないのではないかと解されます。ただし、個人データには変わりないので、UK GDPRに準拠する必要はあります。
電話
Reg 19, 21, 21A, 21Bは、電話によるダイレクトマーケティングを規制します。
まず、一般的な電話によるダイレクトマーケティングについて、次の制限が課されています。
・ 電話によるダイレクトマーケティングを拒否している人に行ってはならない
・ TPS又はCTPSに登録されている番号に行ってはならない
・ クレーム管理サービスを目的とする電話によるダイレクトマーケティングは、原則として行ってはならない
・ 年金制度に関する電話によるダイレクトマーケティングは、原則として行ってはならない
ここで、TPS (Telephone Preference Service)及びCTPS (Companies TPS)とは、電話によるダイレクトマーケティングを予め拒否することを、公共の登録機関に登録しておくことです。こちらで詳細が確認できます。
電子メール等によるダイレクトマーケティングとの違いは、電話によるときは、予め拒否していたり、TPS等に登録されている電話番号宛でない限りは、ダイレクトマーケティングが許されうるという点です。なお、TPSの仕組み上、ダイレクトマーケティング実施に際しては、TPSの登録状況を確認する必要があります。
企業の電話番号宛のマーケティングは、CTPSがあることから、事実上、個人へのダイレクトマーケティングと同じ規制が課されることになります。
また、番号非通知でのダイレクトマーケティングは原則として許されておらず、電話口で尋ねられた際には、連絡先の住所又はフリーダイヤルの番号を伝えなければなりません。
次に、自動電話(録音されたメッセージを再生する自動電話通話)によるダイレクトマーケティングは、更に厳しい規制が課せられており、受信者がこの種の電話を受けとることを特に同意していない限り、認められません。
ファックス
Reg 20は、ファックスによるダイレクトマーケティングを規制します。ざっくり言うと、以下のとおりです。
次の宛先に対して、ファックスによるダイレクトマーケティングを行ってはならない:
・ 個人
・ 個人以外の者で、ファックスを希望しないと言った者
・ FPSに登録された番号の者
FPSは、Fax Preference Serviceのアクロニムで、TPSのファックス版と言えます。FPSの詳しい説明は、こちらのサイトにあります。
基本的に電話に近い規制内容ですね。
なお、送信するファックスには、氏名、連絡先住所(又はフリーダイヤル)を記載しなければなりません。
まとめ
いかがだったでしょうか。
かなり端折ってしまったところもありますが、前後編に分けて、英国の個人データ保護法の一つであるPECRについて解説しました。
この後編の後半に紹介したダイレクトマーケティングの規制は、事業者が知らず知らずのうちに違反してしまっていることが多い個人データ保護規制の一つです。ICOが法令違反を理由として事業者に制裁金を課した事例の中で最も多いのがダイレクトマーケティング規制の違反に係るものです。
その意味で、UK GDPRの陰に隠れがちですが、重要な法令と言えます。
このエントリーが皆さまの参考となっていれば嬉しいです。
ここまでお読みいただきありがとうございました。
【注釈】
*1 Explanatory note, PECR
*2 こちらのICOのガイダンスでは、公共通信プロバイダの義務であるかのように書かれています。しかし、Reg 9では、公共電気通信サービスのプロバイダのみ(つまり、公共電気通信ネットワークのプロバイダは除かれる)について言及しており、ちょっとどっちなのか分かりません。本記事では条文に基づき、公共電気通信サービスのプロバイダの義務であると整理しています。
*3 S. 122(5), Data Protection Act 2018
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。