久しぶりのGDPR関連ブログとなります。ePrivacy Regulation※が出てきたら書くぞ〜と思いつつ、一旦は合意したはず(2021年)なのにいつまで経っても音沙汰なく、と思っているうちに気付けば2025年2月11日、欧州委員会での2025年作業計画において撤回すると発表されておりました。

撤回の理由としては、合意が得られる見込みがなかった点と、技術面立法面から時代遅れとの理由となっておりました。

※GDPR を補完する法規制で、現行法令の ePrivacy Directive(クッキー法とも言います)はEU/EEA加盟各国で規制されるのに対して、ePrivacy Regulation は EU/EEA加盟国全てで適用される法規制です。

ePrivacy Regulation概要

ePrivacy Regulationとは、どのような規則なのか概要に触れておきたいと思います。また、私が要約しようとすると半年くらいかかってしまうので、ChatGPTにePrivacy Regulationに関するEU公式の初期提案文書(2017年1月10日提出)の要約をお願いしましたw原文はコチラとなります。

要約:主な構成とポイント

第1章:規則の目的と適用範囲

  • GDPRを補完し、電子通信の分野におけるプライバシー保護の水準を高める。
  • 通信内容やメタデータ、デバイス情報の取り扱いに関する共通ルールをEU全体に適用。

第2章:電子通信の機密性の確保

  • 通信データの傍受・盗聴・保存・スキャン等を原則禁止。
  • 通信の送受信者間の秘密保持を最重要視。

第3章:端末機器と情報の保護

  • Cookie、デバイスフィンガープリンティング、ローカルストレージなど、端末に関する情報の取得は明示的同意が必要
  • 例外:通信サービスの提供に不可欠な場合等。

第4章:迷惑通信(Unsolicited Communications)の防止

  • 電話、SMS、Eメールなどによる無断マーケティング行為を禁止
  • 明確な事前同意(opt-in)が必要。

第5章:実施および制裁

  • 各加盟国が規制機関(通常はデータ保護当局)を通じて執行。
  • 違反にはGDPRに準ずる制裁金(最大2%(補足 GDPRは4%)のグローバル年間売上)を科す可能性あり。

背景と政策的意図(文書冒頭より抜粋)

  • デジタル技術の進展により、従来の通信事業者以外(OTT※)も大量の通信データを処理している。
  • しかし、現行のePrivacy Directive(2002/58/EC)はこれに対応できていない。
  • EU市民の信頼を維持するには、通信の秘匿性に関する明確な保護規範が必要であり、そのための包括的規則を提案する。

※OTTとは Over The Topの略称(以降、OTTと省略)。インターネット回線を通じて提供されるサービス全般を指し、動画・音楽コンテンツ配信、SNS、メッセンジャーツールなどの様々なサービスが該当します。

通信の秘匿性に関して

E2EE(エンドツーエンド暗号化)

今回撤回の要因の1つともなった技術面の課題は小さくないのではないかと考えられます。AIの進化だけでなく、WEBミーティングや電子メールを取り上げても暗号化に関してはまだまだ広く一般化しておらず発展途上です。また、安心・安全な暗号化通信の普及が遅れていることで、迷惑通信の防止が立ち遅れ、セキュリティ面での喫緊の課題となっているかと思います。

EUの優先課題として

直近のニュースでも流れたNATO(北大西洋条約機構、外務省資料)の首脳会議で防衛費の目標としてGDPの5%が掲げられましたが、NATOの加盟国32カ国中23カ国はEUに加盟しており、EU内ではロシアによるウクライナ侵略は喫緊の課題となっています。

GDP比5%とは?(少し脱線)

GDP比5%とは?なんとなくピンときていない方も多いと思われるので2024年の日本の場合で数字を列挙します。2024年度の実質GDPは559.9兆円、この1%とすると防衛予算は約5.6兆円となりますが(2025年度の防衛予算は約7.7兆円)、5%となると約28兆円もの巨額になります。2024年度の一般会計税収は75兆2320億円(2025年7月2日発表数値)、ここに先ほどの防衛予算約28兆円を当てはめると実に一般会計歳入の約37%が防衛予算となります。いかに巨額の予算であるかこの数値を見ていただくだけでEUの中での重要課題か伝わると思います。

安全保障に関連する個人データの法的な建て付けは?

安全保障に関わる話のついでに、それに関わる法的な建て付けもわかる範囲でお伝えしたいと思います。GDPR23条では、安全保障などに関わる部分は権利が制限される対象となっています。ただし、無条件ではなく立法化が必要なので、各国の法制度で整備されています。ePrivacy Regulationの要約の中には「通信データの傍受・盗聴・保存・スキャン等を原則禁止」という文言もありますが、安全保障となると矛盾する部分もあるのではと感じてしまいます。この辺り米国との個人データの越境フレームワークDPFとの整合性は?と感じるのですが、英国の場合(EUからは離脱してしまいましたが)、諜報機関といえば007から連想するMI6ですね。英国はUK GDPRとセットでData Protection Act 2018により規制されておりMI6もその規制対象です。そして英国のICO(UK GDPRと同じ監督機関)により安全保障に関する領域も監督されています。この差異が越境フレームワークにつながっているように考えています。

登場する時期が合わなかった?

GDPRの施行が決まる前にはスノーデン事件があり、後押しする形となった理解ですが、今はどうでしょうか?少なくともGDPRもまだ消化不良の部分、例えばGoogle Analyticsなどを使用して適法化の上で計測するためには利用者の同意なしには困難で多くの課題があるのではないでしょうか?(私自身、GDPR対応時代にCookie同意を導入した結果、大半の方が同意せず(大雑把に半減したかと)計測できなくなりました)。また、優先課題を考えた場合、安全保障や経済など他の事案がプライオリティが上がった中で下地が整っていなかったとも考えられるかと思います。

GDPRとePrivacy Directive(現行法)の違い

ePrivacyに関する規制はGDPRの補完ともなるものですから重なっている部分もあり、異なる部分もあります。一例が、IPアドレスやCookieなどのオンライン識別子です。自社のみで運用するIPアドレスなどのログや、1stパーティCookie(ただし外部送信しているGoogle Analyticsなどは除く)は違反となるリスクは低い反面、3rdパーティCookieやGoogle Analyticsなど照合性の高いデータは個人を特定しうることで適法でない越境や同意取得は厳しく規制されてきました。これは「個人を特定しうる」ということでGDPRの範疇です。一方で、現行のePrivacy Directiveは個人を特定しないものであっても同意を必要とする厳しい規制となっております。ePrivacy DirectiveはEU全域に適用されるRegulationではなく加盟国各国による規制となるDirectiveである関係からEU内でも国によって規制の厳しさが異なり、とても厳しい運用をしている国もあります。ePrivacy Regulationの提案の一節では下記のような文面があります。ブラウザの進化と合わせて、同意取得もわかりやすく、透明性を保ちつつ簡素化して欲しいと願いつつ、そうしたePrivacy Regulationの登場を待ちたいと思います。

"Simpler rules on cookies: the cookie provision, which has resulted in an overload of consent requests for internet users, will be streamlined. The new rule will be more user-friendly as browser settings will provide an easy way to accept or refuse tracking cookies and other identifiers. The proposal also clarifies that no consent is needed for non-privacy intrusive cookies that improve internet experience, such as cookies to remember shopping-cart history or to count the number of website visitors."

(仮訳)クッキーに関するルールの簡素化:インターネットユーザーへの同意要求の過負荷を引き起こしていたクッキー規定が簡素化されます。新しいルールでは、ブラウザ設定でトラッキングクッキーやその他の識別子の承認または拒否を簡単に行えるようになるため、よりユーザーフレンドリーになります。また、この提案では、ショッピングカートの履歴を記憶したりウェブサイトの訪問者数をカウントしたりするクッキーなど、インターネットエクスペリエンスを向上させるプライバシーを侵害しないクッキーについては、同意が必要ないことが明確にされています。

電気通信事業法との共通点

ここでハッと気付いたのですが、日本の電気通信事業法とePrivacy Directiveには複数の共通点があります。

・OTTサービスも規制対象

・個人を特定しない情報も規制対象

・同意で対応する場合はオプトイン方式

なお、改正電気通信事業法の外部送信規律は、ePrivacy Directiveを参照したことは総務省サイトのFAQで明らかにされておりますが、内容を同じくしているものではありません。

今後の動向について

ここまで説明させていただきましたように合意には至っていないこと、時期的に内容が伴うまでに至っていないことからePrivacy Regulationは先送りはされてはおりますが、B2Bの領域もePrivacy Regulationで法整備される予定でしたから(実際にGDPR対応当初、それにより対応作業は半分になり軽減された記憶です)無くなったわけではなく、求められている役割はあるので、まだ時間はかかると思いますが各国で合意された形での再登場を待ちたいと思います。そしてこれは規制が強化されることだけを望むものではなく、誰でもが安全・安心に利用できる仕組みとして期待するものとなります。

※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。