【データ法】ePrivacy指令 ーGDPRの陰に隠れがちなもう一つのデータ保護法ー
こんにちは。
お読みいただきありがとうございます。
気分転換にこちらの記事を書いたのですが、人様に見せる文章としてアウトプットすると、自分の知識の確認に役立つことに気づきました(笑)
味を占めたので、今回は、ePrivacy指令という、GDPRの陰に隠れてあまり知られていない、けれど、とても重要なデータ法について紹介します。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
ePrivacy指令とは何か?
EUの「指令」です。EUの法令なので、正式名称はめっちゃ長いです。
Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)
「指令」とは、EUの立法府が、各加盟国に対して、一定の目的を達成するために法律の定立を求めるものです。つまり、ドイツ、フランスを始めとするEU加盟国は、ePrivacy指令に従って、各々法令を制定しているわけです。
イギリスでは、"PECR"。
イギリスも、EU加盟国であった時代にePrivacy指令に基づき法令を制定しており、それが、The Privacy and Electronic Communications Regulations、通称PECR(ペッカー)です。
そして、PECRは、現在もイギリス国内で有効な法令です。(詳しくは、上にリンクを貼っている「Retained EU Law」の記事をご覧ください!)
ePrivacy指令がカバーするエリアは?
さて、ePrivacy指令(*1)は何を規律するためのものなのでしょうか。
イギリスのデータ保護当局であるICOは、PECRのカバー領域について、次のように説明しています。
・ Marketing by electronic means, including marketing calls, texts, emails and faxes.
・ The use of cookies or similar technologies that track information about people accessing a website or other electronic service.
・ Security of public electronic communications services.
・ Privacy of customers using communications networks or services as regards traffic and location data, itemised billing, line identification services (eg caller ID and call return), and directory listings.
既によくまとまっていますが、あえて更にまとめると、ePrivacy指令は、①電子的なマーケティング、②Cookieの使用、③公共の通信、④位置情報などのプライバシーについて、規律をするものと言えそうです。
どういう時にePrivacy指令を意識すべきか?
上記のように、ePrivacy指令の守備範囲は、GDPRと重なりつつも微妙に異なります。法務担当の方が事業部の人から相談を受けた際に、EU(又はUK)が関与しており、かつ、データが絡んでいれば、GDPRはパッと頭に浮かぶと思います。しかし、ePrivacy指令の方は、忘れられがちです。
ePrivacy指令の適用に気を付けるべき場面として、以下の二つを挙げたいと思います。
① ダイレクトマーケティングを行うとき
簡単な事例:
園芸品の通信販売を行うA社は、新たに化粧品ブランドを立ち上げたため、顧客リストに基づき、電子メールで化粧水のプロモーションを行いたいと考えている。
顧客リストに基づく電子メールの送信は「個人データ」の「取扱い」に当たるため、GDPRが適用されます。そのため、第6条に基づき、顧客の同意を得たり、正当な利益(legitimate interest)に基づいたりしなければ、プロモーションは行えません。
もっとも、この点に関して、GDPRのリサイタル47の第7文は、次のように述べてます(太字はぼく)。
The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.
GDPRもこう言ってくれてるのだから、顧客の同意を得ずに、正当な利益に基づいてプロモーションを実施しようと考える人も多いはず。
しかし、これは罠です!!
ICOは、電子メールでのダイレクトマーケティングに関して、PECRが次のように適用されると述べています。
You must not send marketing emails or texts to individuals without specific consent.
つまり、GDPR上は、顧客の同意が不要でも、ePrivacy指令上、顧客の同意が要求されることになります。したがって、GDPRのみを確認してプロモーションにGOサインを出してしまった場合、法令違反となってしまいます。
ただし、ePrivacy指令は、電子メールでのダイレクトマーケティングに限り、例外を定めています(太字はぼく)。
You can also email or text an existing customer who has bought (or discussed buying) a similar product or service from you in the past – but only if you gave them a clear chance to opt out of getting marketing emails or texts when you collected their details, and in every message.
ここまで来ると細かい話なので、「ダイレクトマーケティングの話が出てきたら、ePrivacy指令にも気を付ける」とだけ頭に入れておけばOKかなと思っています。
② Cookieを使用する
ウェブサイトは、Cookieを使用することで、アクセスしたユーザーのデバイスを認識し、その嗜好や過去の行動に関する情報を保存することができます。ウェブサイトを運営する場合、ほぼ確実に使用しているのではないでしょうか。
GDPRでは、Cookieは個人データに当たると考えられていますので、その取扱いに際しては、第6条に基づき、ユーザーの同意を得たり、正当な利益に依拠したりしないといけません。
勘の鋭い方は、ここで気づくと思います.
GDPR上、ユーザーの同意が不要となり得るからといって、正当な利益に依拠するのは罠です!!
ePrivacy指令は、Cookieの使用に関して、ユーザーの同意を得なければならないと定めています。ユーザーの同意を得ずにCookieを使用してしまうと、ダイレクトマーケティングの事例と同様に、法令違反となる恐れがあるということです。
ePrivacy指令は、同意が必要とされない例外的な場面を定めているものの、「Cookieを使用するときはユーザーの同意が要る」と覚えておいた方がいいかもしれません。
まとめ
長くなってしまいました。まとめると、今回、ぼくがお伝えしたかったのは、次の二点です。
・ EU(UK)のデータ保護法は、GDPRだけではなくePrivacy指令もある!
・ ダイレクトマーケティングを実施するとき、及び、Cookieが絡むときは、ePrivacy指令の定めに気をつける!
最後までお読み頂きありがとうございました。
【注釈】
*1 正確には、ePrivacy指令に基づくEU加盟国各国の法令、及び、英国のPECRということになりますが、読みやすさのため、これ以降は、単にePrivacy指令と呼んでいます。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。