2018-05 [Kenta Mochizuki, Esq.] EU's draft ePrivacy Regulation

Copyright © 2018 Kenta Mochizuki. All Rights Reserved.
プライバシーと電子通信に関する
EU規則案
ニューヨーク州弁護士
望月健太
2018年5月1日

P2
免責事項
 本資料は、法律的またはその他のアドバイスの提供を目的としたもので
はありません。本資料の内容(第三者から提供された情報を含む)の正確
性･妥当性の確保に努めておりますが、本資料の利用によって利用者等に
何らかの損害が生じた場合にも、一切の責任を負うものではありません。
 本資料の内容については、予告なしに変更または削除されることがあり
ます。
 本免責事項は、予告なしに変更されることがあります。本免責事項が変
更された場合、変更後の免責事項に従っていただきます。
 本資料がベースにしている「eプライバシー規則」案は、2017年12月に
公表された統合版「eプライバシー規則」案です。そのため、今後最終版
の規則採択に向けて大幅に変更される可能性があります。
 実際、2018年3月22日に、閣僚理事会（Council of the European
Union）が、特に第8条、第10条、第15条、第16条、および関連する前
文条項につき新たな規則案を発表しましたが、混乱を避けるため、本ス
ライドではAppendixにて更新のあった点につきご紹介しています。

P3
目次
はじめに
1. これまでの経緯
2. eプライバシー指令（2002/58/EC）
3. eプライバシー規則案：概要
4. eプライバシー規則案：定義と適用範囲
5. eプライバシー規則案：電子通信の保護
6. eプライバシー規則案：端末機器
7. eプライバシー規則案：同意
8. eプライバシー規則案：プライバシー設定
9. eプライバシー規則案：救済と執行
10. eプライバシー規則案：現状と今後
Appendix
参考文献

P4
はじめに
 2017年1月10日、欧州委員会は、「プライバシーと電子通信に関
する規則（Regulation on Privacy and Electronic
Communications）」案（「eプライバシー規則」案）を発表。
 この規則案は、「プライバシーと電子通信に関する指令（Directive
on Privacy and Electronic Communications（2002/58/EC）」
（「eプライバシー指令」）に代わるもの。
 EUが推し進めている「デジタル単一市場（Digital Single
Market）」戦略の一環であり、デジタルプライバシーを強化する法
的な枠組みの一つ。一般データ保護規則（GDPR）の「特別法（lex
specialis）」とされている。
 これまでは、各加盟国が「eプライバシー指令」に沿った国内法を
制定していたが、EU域内で統一的な保護水準を成し遂げるため、
各加盟国に直接適用される「規則」案が提示。

P5
1. これまでの経緯
2002年7月 eプライバシー指令（2002/58/EC）制定
2016年5月一般データ保護規則（GDPR）の採択
2016年4～6月欧州委員会、ワークショップやオンラインのパブリック・コンサル
テーション実施
2016年12月報告書を発表
2017年1月欧州委員会、eプライバシー規則案を発表
2017年4月第29条作業部会の意見（WP247）発表
2017年9月閣僚理事会（Council of the European Union）、
修正版eプライバシー規則案を発表
2017年10月欧州議会の市民の自由・司法・内務委員会（LIBE）は、僅差の投票
により、議会修正版eプライバシー規則案を承認
2017年12月閣僚理事会、統合版eプライバシー規則案を発表
2018年3月閣僚理事会、第8条、第10条、第15条、第16条、および関連する前
文条項についての新たな規則案を発表
【今後のスケジュール】
 2017年12月のSplittgerber氏およびSchonhofen氏の記事によれば、閣僚理事会
（Council of the European Union）がeプライバシー規則の最終提案を決定しなけ
ればならず、それは2018年の夏までかかるのではないかとの事。
 もし閣僚理事会が欧州議会の修正に合意できない場合、欧州議会、閣僚理事会、そし
て欧州委員会の3者間の非公式協議（Trilogue）が行われる予定との事。

P6
2. eプライバシー指令（2002/58/EC）
• 2002年7月制定
• 目的
1) 基本的権利および自由の保護；
・私的生活の尊重
・通信の秘密
・電子通信セクターにおける個人データの保護
2) EU域内における電子通信データ、機器（equipment）
やサービスの自由な移動の保障
※技術や経済の発展とともに、消費者や事業者がインターネットベースのサー
ビス（VoIP、インスタントメッセージ、ウェブメールサービス等のOTT
（Over-the-Top）通信サービス）をより使うようになった一方、こうした
OTT通信サービスは、eプライバシー指令の適用対象外となっていた。
eプライバシー「規則」の検討へ

P7
 2017年1月10日に欧州委員会が提出、その後EU内で審議が続けられている「プ
ライバシーと電子通信に関する規則（Regulation on Privacy and Electronic
Communications）」案の略称。
 EU域内統一水準で電子通信データの保護を強化するとともに、電子通信データ
を活用したビジネスの促進を図ることを目的。
 GDPRの「特別法（lex specialis）」。ただし対象は個人データに限られない。
主なポイント（eプライバシー「指令」から「規則」へ）
OTTサービスやM2M通信等への適用拡大
EU域内における電子通信データの保護水準の統一
通信コンテンツとメタデータの保護を確保
Cookiesに関するルールの簡素化
スパムからの保護
効果的な執行
 eプライバシー規則案とは？

P8
 主なポイント
（1）EU域内において通信データの統一的な保護水準を確保するた
めに、各国による立法手続が原則不要で加盟国に直接適用される
「規則」とした。
（2）eプライバシー規則（案）は単なる個人データの処理よりも広
く、GDPRの特別法（lex specialis）という位置付け。
（3）eプライバシー指令が対象としていた従来の電子通信サービス
に加え、VoIP、メッセージングサービス、ウェブメール等のOTT
（Over-the-Top）サービス，さらにはM2M通信等にまで適用範
囲を拡大。
（4）通信の秘密がかかる「電子通信データ」には、通信内容のみ
ならず、通信機器の場所や通信の日時・場所・種類といったメタ
データも含む。

P9
 eプライバシー規則案の全体像
項目具体的なポイント
1. 定義
「電子通信データ」は、①画像や動画、音声やテキストといった「電子通信コンテンツ」と、②
通信の日時や場所、種類といった「電子通信メタデータ」からなる。
2. 適用対象
IP電話等従来の電子通信サービスに加え、VoIP、メッセージングサービス、ウェブメールと
いったOTTサービスも対象。M2Mの電子通信も今後対象となる可能性。
3. 通信の秘密
電子通信データは秘密であり、原則的に処理禁止。ただし、電子通信コンテンツ・メタデータと
もに、エンドユーザーからの同意取得を含む例外事由がある場合、処理が可能。
4. 保存・削除
電子通信コンテンツは受信後、電子通信メタデータは不必要となった時に、消去するか匿名化す
る必要。ただし、エンドユーザーから委託を受けた第三者が記録・保存することは可能。
5. 端末機器
端末機器の処理・記憶機能の利用、エンドユーザーの端末機器からの情報取得は原則禁止。ただ
し、エンドユーザーからの同意取得を含む例外事由がある場合や、プライバシーリスクがゼロま
たは低い場合は処理が可能（Cookieもプライバシーを侵害しないものを除き原則同意が必要）。
6. 同意取得要件
GDPRの同意に関する規定が自然人・法人に準用されるため、エンドユーザーからの同意の取得
要件が非常に厳しい。また、通信の秘密の例外としてエンドユーザーの同意が援用された場合、
エンドユーザーに対し同意の撤回可能性を原則定期的にリマインドする必要。
7. プライバシー設定
電子通信のためのソフトウェアに関し、インストール時または最初の利用時に、プライバシー設
定オプションを通知し、エンドユーザーから同意を取得する必要。プライバシー設定もエンド
ユーザーにとって使いやすいものにする必要。
8. その他
①発端末識別情報の表示や制限、②緊急サービスへのアクセス、③着信ブロック、④公開ディレ
クトリ、⑤ダイレクトマーケティングに関する事業者のさまざまな義務が規定。

P10
 主な定義
（2）「端末機器」の定義は、指令（2008/63/EC）に従う。
⇒情報を送信、処理、または受信するために、公衆通信網のイン
ターフェースに接続された機器。
（1）以下の定義については、2016年9月に欧州委員会が提案した、
現行の4指令を一本化する新たな電子通信指令案（Directive
establishing European Electronic Communication Code）
に従う。
・電子通信ネットワーク
・電子通信サービス
・個人間の通信サービス
・番号ベースの個人間の通信サービス（Skype等）
・番号に依存しない個人間の通信サービス（他OTTサービス）
・エンド・ユーザー（自然人、法人）
・電話

P11
 主な定義
（3）「電子通信データ」の定義には、以下の2つが入る。
① 電子通信コンテンツ
• テキスト、音声、動画、画像、サウンド等、電子通信サービスによって交換される
コンテンツ
② 電子通信メタデータ
• 電子通信コンテンツを送信、配布、または交換するために電子通信サービスによっ
て処理されるデータ。以下のものを含む。
・通信元や通信先を追跡・特定するために使用されるデータ
・電子通信サービスの提供時に生成される通信機器の場所に関するデータ
・通信の日時、期間、そして種類
※よって、別のコンテクストで生成された位置データは通信メタデータとはな
らない。

P12
 対象となる電子通信サービスの範囲拡大
（1）IP電話等の従来の電子通信サービスに加え、OTT
（Over-the-Top）サービスにも適用拡大
• VoIP、メッセージングサービス、ウェブメール等。具体的には、WhatsApp、
Facebook Messenger、Skype等。
（2）さらなる適用拡大の可能性（前文（12）項）
• M2M（machine-to-machine）の電子通信が電子通信サービス経由で行わ
れる場合、特に通信の秘密に関する要件が同通信に適用されるべきとしており、
人が限定的に介在するか、あるいは全く介在しないような、デバイスやアプリ
ケーション間の電子通信にもeプライバシー規則が適用される可能性。

P13
 適用対象 ※自然人であるか法人であるかを問わない。
【適用外】
・非公開の電子通信サービスや、犯罪の予防、捜査、検知、訴追等に関する権限
ある当局の活動等には適用されない。
具体的項目（第2条）
①電子通信コンテンツ・メタデータの処理（電子通信サービスの提供・使用に関連して実施されるもので、
かつ送信中（in transmission）のもの）
②端末機器によって処理、送信、または保存される情報（端末機器はEU域内に所在するエンドユー
ザーが所有するもの）
③電子通信を可能とするソフトウェアの販売（インターネット上の情報の検索・表示を含む）
④公開ディレクトリの提供（EU域内に所在する電子通信サービスのエンドユーザーに関するもの）
⑤ダイレクトマーケティングに係る情報の送信・表示（EU域内に所在するエンドユーザーに対するも
の）

P14
 適用範囲（域内適用・域外適用）
具体的項目（第3条1項）
①電子通信サービスの提供（EU域内に所在するエンドユーザーに対するもの）
②電子通信コンテンツ・メタデータの処理（EU域内に所在するエンドユーザーのデータであって、送信
中（in transmission）のもの)
③端末機器によって処理、送信、または保存される情報の保護（EU域内に所在するエンドユーザー
が所有する端末機器）
④電子通信を可能とするソフトウェアの販売（インターネット上の情報の検索・表示を含む）
⑤公開ディレクトリの提供（EU域内に所在する電子通信サービスのエンドユーザーに関するもの）
⑥ダイレクトマーケティングに係る情報の送信・表示（EU域内に所在するエンドユーザーに対するも
の）
 処理の場所やサービスプロバイダーの所在地にかかわらず適用！
【域外適用（第3条2項）】
• 第3条1項に該当するものの、EU域内に拠点を有しないプロバイダーについては、電子
通信サービスのエンドユーザーが所在する加盟国のうち1か国において、書面で、権限
ある代表者（representative）を指定する義務。
• ただし、1項の業務が不定期（occasional）であり、エンドユーザーの基本的権利にリ
スクとなる可能性が低い場合は域外適用なし。

P15
 電子通信データの秘密
⇒電子通信データは秘密であり、その処理も原則禁止（第5条）。
ただし、以下のいずれかの場合は電子通信データの処理が可能（第6条）。
①通信の転送に必要な場合
②電子通信ネットワークやサービスのセキュリティーを維持・復元するため、
または電子通信の転送中の技術的障害やエラー、あるいは攻撃を発見するた
めに必要な場合
(1) 電子通信データの場合（1項） ※いずれもその目的に必要な期間に限られる。
(2) 電子通信メタデータの場合（2項）
①義務的なサービス要件の品質に適合させるために必要な場合 (電子通信指令や規則2015/2120)
②契約の履行に必要な場合（エンドユーザーが一方当事者であるもの）
③プロバイダーの法的義務の遵守に必要な場合
④エンドユーザーの同意がある場合
⑤自然人の重大な利益を保護するために必要な場合（同意が物理的にも法的にも不可能な場合）
⑥科学研究や統計目的に必要な場合（EUまたは加盟国法に基づくもの）

P16
 電子通信データの秘密
⇒電子通信データは秘密であり、その処理も原則禁止（第5条）。
ただし、以下のいずれかの場合は電子通信データの処理が可能（第6条）。
(3) 電子通信コンテンツの場合（3項）
①エンドユーザーが同意を与えた場合（通常のサービス提供に関して）
②エンドユーザーの同意がある場合（エンドユーザーが明示的に求めたサービス提供に関して）
※ただし、他の関連するエンドユーザーの基本的権利や利益を損なわず、また、
必要な期間を超えない範囲内
③全ての関連するエンドユーザーが、匿名情報の処理ではできない1以上の目的のため
にコンテンツを処理することに同意した場合で、かつプロバイダーが事前に影響評
価を行い監督機関と協議を行った場合
☆第三者が、以下の条件を満たす限りにおいて、電子通信ネットワークや
サービスのプロバイダーに代わって電子通信データを処理することも可
能。
・第6条1～3項に従うこと
・GDPR第28条（データ処理者の義務）に規定された条件を
満たすこと

P17
 電子通信データの保存と消去（第7条）
（1）電子通信コンテンツの場合（1項）
①電子通信サービスのプロバイダーは、電子通信コンテンツを通信の相手先が受信した
後、そのコンテンツを消去するか匿名化する必要。
②ただし、GDPRにしたがい、エンドユーザーやエンドユーザーから委託を受けた第三
者が、そのコンテンツを記録または保存することができる。
（2）電子通信メタデータの場合（2項～3項）
①電子通信サービスのプロバイダーは、通信の伝達に不必要となった電子通信メタデー
タを消去するか匿名化する必要。
②ただし、GDPRにしたがい、エンドユーザーやエンドユーザーから委託を受けた第三
者が、そのメタデータを記録または保存することができる。
③電子通信メタデータの処理が、第6条2項（b）にしたがって請求目的で実施される場
合、国内法上その請求が合法的に争われうるか支払いが催告されうるまでの期間、保
存することができる。
※契約条件に何らかの影響を及ぼすか確認が必要。

P18
 エンドユーザーの端末機器に保存されている、同機器に
関連するか処理または送信された情報の保護（第8条）
⇒端末機器の処理および記憶機能の使用ならびにエンドユーザーの端末機
器からの情報の取得（当該エンドユーザー以外によるもので、ソフトウェ
アやハードウェアについてのものを含む）は原則禁止（1項）。
※ただし、以下のいずれかの場合は例外的に可能！
①ネットワーク上で電子通信を行うために必要な場合（この目的に限定される必要）
②エンドユーザーの同意がある場合
③エンドユーザーが求めた情報社会サービスの提供に必要な場合
④閲覧者の規模を測定するために必要な場合
（ただし、エンドユーザーが求めた情報社会サービスのプロバイダーによって実施されるか、GDPR第28条の要件
を満たすことを条件に、情報社会サービスのプロバイダーに代わって第三者によって実施される場合）
⑤セキュリティーの更新に必要な場合（ただし3つの要件有）
⑥緊急通信を取り扱う機関が、インシデントの際、緊急電話をかけてきた人の居場所を
突き止めるために必要な場合

P19
※同意が不要な場合（前文（21））
⇒プライバシーの侵害が伴わないか、あるいは非常に限定的な場合、端末
機器の処理および保存機能の使用や端末機器に保存された情報へのアク
セスに際し、同意を取得しなくても良い。
例１）エンドユーザーが求めた特定のサービスを利用できるようにするという正当
な目的にとって必要かつ均衡している場合（necessary and proportionate
for the legitimate purpose）：
①エンドユーザーが複数ページにまたがるオンラインフォームを入力してい
る場合、（そのユーザーの入力情報をたどるための）単一のセッション時
間に関するcookieの保存。
②オンライン取引を行っているエンドユーザー本人の認証のために使用され
るauthentication session cookiesの保存。
③エンドユーザーが選択しショッピングカートに入れた商品の記録のために
使われるcookiesの保存。
④ウェブサイトや特定のウェブページを訪問したエンドユーザーの人数やア
プリケーションのエンドユーザーの人数を測定するためのcookies。
※ただし、誰がサイトを使っているかを確定するために使用されるcookiesや同様の
識別子に関してはこの限りではない。

P20
例２）「デバイスへのアクセス」や「デバイスの処理機能の使用」にはあたらず同
意が不要な場合：
①エンドユーザーの設定にしたがってサービスを提供するためにコンフィ
ギュレーションチェックを実施する情報社会プロバイダー。
②エンドユーザーのデバイスが、その求めるコンテンツを受け取れなかった
という事実に関するログを取ること。
※同意が不要な場合（前文（21））
例３）端末機器の処理・保存機能の使用目的がセキュリティーの脆弱性を修正する
ことである場合、同意は不要。ただし以下の条件あり：
①セキュリティー上の更新がハードウェアやソフトウェアの機能を変えず、
またエンドユーザーのプライバシー設定を変えないこと。
②エンドユーザーが自動更新の延期やオフを行えること。
※ソフトウェアの更新目的が厳密にセキュリティー目的に限定されない場合はダメ
（新たな機能を追加したり機能を向上したりする場合も含むといった場合はダメ）。
⇒プライバシーの侵害が伴わないか、あるいは非常に限定的な場合、端末
機器の処理および保存機能の使用や端末機器に保存された情報へのアク
セスに際し、同意を取得しなくても良い。

P21
関連するか処理または生成された情報の保護（第8条）
⇒他のデバイスやネットワーク機器に接続するために端末機器から送信さ
れる情報を取得することは原則禁止（2項）。
※ただし、以下のいずれかの場合は例外的に可能！
①接続を確立するために取得する場合（必要な期間・目的に限定される）
②エンドユーザーの同意がある場合
③統計の集計のために取得する場合
（必要な期間・範囲に限定される。不必要になれば即時に匿名化されるか消去される必要あり。）
1）GDPR第13条に従って、取得の方法、目的、責任者、およびその他の情報、そし
て端末機器のエンドユーザーが取得を停止または最小化することができるあらゆ
る措置を知らせるため、明瞭かつ目立つ形で通知が掲示される必要
2）GDPR第32条に従って、リスクに見合ったセキュリティー水準を確保するための
適切な技術的および組織的措置が採られる必要
→上記②および③の場合、さらに以下の追加要件あり。

P22
 いわゆる「Cookie条項」の今までとこれから
■これまで（eプライバシー指令）：
「cookie条項」において、EU域内のウェブサイトへの事前同意義務につい
ては、同じウェブサイトにおいて繰り返し同意を求める必要があった。これに
より、ユーザーは同意を求める複数の無意味なバナーを見なければならなかっ
た。
■これから（eプライバシー規則）
⇒Cookie等のエンドユーザーの端末情報に基づいて、エンドユーザー
の識別やアクセス履歴の追跡を行う技術を使用する場合は、同意を取
得する必要。
⇒ただし、同意設定を簡素化したのみならず、プライバシーを侵害しな
いものについては同意が不要となった。
【同意が不要なcookiesの例】
・ログイン情報に関するもの
・電子商取引におけるショッピングカートの履歴保存に関するもの
・ウェブサイトの閲覧数をカウントするためのもの

P23
 同意（第9条→第4a条?）
 GDPRの同意に関する規定が、自然人のみならず、法人にも準用
（mutatis mutandis）。もっとも、第三者との取引や法的手続きにおい
て法人を代表する者の定義については、国内法に従う（1項）。
 第8条1項（b）との関係では、技術的に可能な場合、インターネット上で
の情報の検索や表示含む、電子通信を可能とするようなソフトウェアの
設定による同意もOK（2項）。
 第6条2項（c）および同3項（a）および（b）に基づいてエンドユーザー
が同意した場合であっても、処理が継続される限りにおいて、同意の撤
回可能性を12か月を超えない間隔でエンドユーザーにリマインドしなけ
ればならない（ただし、エンドユーザーがリマインド不要と求めた場合はこの限りでない）。
【注意点】
1）GDPRの同意の定義がそのまま自然人に適用・法人に準用されるため、
GDPRにおける同意に関する規定や前文、さらにはガイドラインを
しっかりと読み込む必要。
2）GDPRと同様、同意の撤回権が明記。ただし、佐藤真紀氏が言うよう
に、「6ヵ月ごとに再同意を得たならば、処理を継続することができ
る」ところまで求められるかは不明。

P24
【Point】同意取得の具体的な方法（前文（22）および（23））
⇒情報提供や同意の取得のために使われる方法は、可能な限りユーザーフレ
ンドリーである必要。
• ブラウザや他のアプリケーションの設定を使うことで同意ができるような
形にすべきで、ブラウザやその他のアプリケーション上でエンドユーザー
が行った一般的なプライバシー設定が、あらゆる第三者を拘束し、かつ執
行できるものであるべき。
• インターネット上の情報の検索や表示を可能とするソフトウェアのプロバ
イダーは、第三者がエンドユーザーの端末機器に情報を保存できないよう
にするオプションを提供すべき＝つまり、エンドユーザーがthird party
cookiesを拒否できるようなオプションを提供すべき。
【具体例】
保護レベルに範囲がある（”higher”から“lower”または”intermediate”まで）プライ
バシー設定を、分かりやすく提供する必要。
・Higher: ‘never accept cookies’
・lower: ‘always accept cookies’
・Intermediate: ‘reject third party cookies’または
’only accept first party cookies’

P25
【Point】同意取得の具体的な方法（前文（24））
⇒ウェブブラウザによる有効な同意取得の要件について説明。例えば、端末
機器へのthird party cookiesの保存や、端末機器からの同cookiesへのア
クセスについて、エンドユーザーの同意が自由に与えられ、特定的で、か
つ不明確ではないものであると示すためにも、端末機器のエンドユーザー
による、明らかに積極的な行為（clear affirmative action）が必要（い
わゆるGDPR上の「同意」の要件を満たす必要）。
【具体例】
・エンドユーザーが「accept third party cookies」と能動的に選択しなければな
らないようにする。
・ソフトウェアのインストール時に、「プライバシー設定の中でthird party
cookiesを受け入れるか否かを選択できますよ」と通知する。
・より高い設定を妨げるような説明をすべきではなく、またthird party cookiesを
受け入れた場合のリスクをきちんと説明しておく必要。
・エンドユーザーによるプライバシー設定を簡単なものにしておく必要。

P26
 Google Chromeの例（2018年4月3日現在）

P27
8. eプライバシー規則案：プライバシー設定
 プライバシー設定のための情報と選択肢の提供（第10条）
⇒インターネット上での情報の検索と表示を含む電子通信を可能とするよ
うな、販売されるソフトウェアについては、以下のオプションを提供し
なければならない。
⇒ソフトウェアのインストール時または最初の利用時に、プライバシー設
定のオプションをエンドユーザーに通知するとともに、それに引き続き、
プライバシー設定に関するエンドユーザーの同意を取得しなければなら
ない（2項）。また、プライバシー設定の変更も明確かつ分かりやすい
ものにする必要（3項）。
⇒[2018年5月25日]までに既にインストール済みの場合、①最初の更新
時点か、または②[2018年8月25日]までに、1項および2項の要件を満
たす必要。※ブラケット付きなので、今後どうなるか注意が必要。
①エンドユーザー以外の第三者が、同ユーザーの端末機器に情報を保存できない
ようにするか否か（1項）；
②エンドユーザー以外の第三者が、同ユーザーの端末機器に既に保存された情報
を処理できないようにするか否か（1項）

P28
①発端末識別情報の表示や制限エンドユーザーが非通知設定をできるようにすることや、非通知電話の
受信拒否設定をできるようにすること等。
②緊急サービスへのアクセスエンドユーザーが非通知設定をしていても緊急時は相手に表示させても
良い等。
③着信ブロックエンドユーザーが迷惑電話の拒否設定をできるようにすること等。
④公開ディレクトリ公開ディレクトリにリストアップされるか否かに関する選択肢や内容の
修正の機会をエンドユーザーに与えること等。
⑤ダイレクトマーケティングエンドユーザーの同意なしにダイレクトマーケティングをしてはならな
いこと等。
8. eプライバシー規則案：その他
■EUおよび加盟国の立法権限
⇒EUおよびその加盟国の権限：立法措置によって第5条～第8条までの権利義務
を制限しうる（ただし、基本的権利・自由の尊重、公益との比較衡量等が必
要）。
⇒事業者の義務：立法措置がなされた場合、エンドユーザーの電子通信データ
へのアクセス要求に応えられるような社内体制の構築が必要。
■エンドユーザーの電子通信コントロール権
⇒第3章にある第12条から第16条まで、番号ベースの個人間通信に関する規定があり、事
業者に課されるさまざまな義務が規定（各EU加盟国の権限や義務も規定）。

P29
9. eプライバシー規則案：救済と執行
 救済・損害賠償請求（第21条・第22条）
⇒エンドユーザーがGDPRと同様の救済手段を有することや、本規則の
違反によって影響を受けたエンドユーザー以外の自然人や法人が違
反に対して代理で法的手続きを開始できる旨規定。なお、正当なビ
ジネス上の利益（legitimate business interest）を保護するため
であれば、電子通信サービスのプロバイダーも法的手続きを開始で
きる旨規定（第21条）。エンドユーザーの損害賠償請求権も規定（第22条）。
 課徴金（第23条）※GDPRとアライン。賦課に際しては事情を総合的に勘案。
（1） 1,000万ユーロ、または前会計年度全
世界年間売上高の2%、どちらか高い方
（2） 2,000万ユーロ、または前会計年度全
世界売上高の4％、どちらか高い方
・電子通信データの処理に係る違反
（第8条）
・ソフトウェアプロバイダーの義務違反
（第10条）
・公開ディレクトリに関する違反
（第15条）
・電子通信サービスの利用に係る違反
（第16条）
・通信の秘密の侵害（第5条）
・通信の秘密の例外の濫用（第6条）
・電子通信データの必要な消去を行わなかっ
た場合（第7条）
※第23条の課徴金および第24条の罰則に関し、各EU加盟国に一定の裁量権有。

P30
10. eプライバシー規則案：現状と今後
 eプライバシー規則の適用開始日
2017年12月時点の統合版eプライバシー規則案の第29条では、その適用開始日を2018
年5月25日（GDPRの全面適用開始日）としているが、ブラケットがついているため未定。
 GDPRとeプライバシー規則との関係性
2017年12月の経団連のセミナーにおいて、欧州委員会のジェンカレリ・データ保護課長
は、「eプライバシー規則はGDPRにアラインするであろう」と言っていたが、もし両者
の間に重複や矛盾があれば解決する必要。また、GDPRと現状のeプライバシー規則との
間で、処理の合法性の根拠に差がある点もどう解決するか。実際、2017年9月に出され
たCenter for Information Policy Leadership（CIPL）の意見書にも、「同意に依拠し
過ぎであるため、正当な利益を加える等、例外を広げるべき」とあった。
 事業者からの強い批判
2017年10月に欧州の広告8団体（IAB Europe）が欧州議会宛に書簡を発出したが、
2018年3月には、「合計50のメディア事業者や業界団体がオープンレターを発出し、欧
州委員会に対し法案を見直すよう求めた」旨の記事が掲載。オープンレターについては、
こちらを参照。
 第７回日EU・ICT戦略ワークショップ
2018年4月18日に開催された標題ワークショップにおいて、欧州委員会通信総局のデグ
ラーフ局長から、「来年の春に議会選挙があるため、年内、少なくとも来年初頭までに
は結論が必要」との発言。同席していたDigital Europeの関係者からは、eプライバシー
規則とGDPRの関係（本当に重複がないか）を懐疑的に見ている旨の発言あり。
eプライバシー規則の最終採択まではまだ時間を要する見込み。

P31
Appendix

P32
【参考】閣僚理事会の新たな規則案
 2018年3月22日、閣僚理事会が新たな規則案を発表。
 第8条、第10条、第15条、第16条、および関連する前文条項につき更新
 主な変更点
第8条
（端末機器情報の保護）
・タイトルの簡素化、第8条1項（f）の削除
・前文（20）において、単一のウェブサイトにつき1回のcookie同意があれば
良い旨を明確化
・前文（21）において、十分な情報を得た上でのcookie同意を、ウェブサイト
へのアクセスの条件としうることが明確化
第10条
（プライバシー設定）
・第10条2項の修正
・プライバシー設定の定期的なリマインダーを行うよう求める規定を追加
・関連する前文規定（とりわけ前文（24））は3月28日の議論の後更新予定
第15条
（公開ディレクトリ）
・第4条3項（d）の定義と対応する前文（30）の修正、前文（30）の修正
・規則上の公開ディレクトリと他の種類のディレクトリの区別の明確化
・加盟国の現行制度維持のため、1a項～3a項、関連する前文（31）を修正
・利用可能な検索機能のエンドユーザーへの通知義務は、名前以外に基づく検
索機能にのみ適用（第15条2項の修正）
第16条
（ダイレクトマーケティング）
・異議を申し立てる権利について、第16条2項の中でより詳細に規定
・第16条2a項を新設、DMのために顧客の連絡先を使用できる期限が設定
・第16条6項を明確化、オンライン広告がDMの規定によって捕捉されないよ
う、6a項新設。
・前文（32）を柔軟化

P33
参考文献
• 佐藤真紀「適用対象の拡大とCookie規制の緩和：eプライバシー規則案」（ビジネス法務、2017年8月）、
pp.41-45
• https://www.slideshare.net/Johan_Vdd/isaca-privacy-open-forum-proposal-for-eprivacy-regulation
• https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
• https://www.technologylawdispatch.com/2017/12/privacy-data-protection/pre-christmas-update-on-
the-eprivacy-regulation/
• https://www.lexology.com/library/detail.aspx?g=acc01469-64a8-452e-ad57-f9953852a3a8
• http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+E-2016-
008938+0+DOC+XML+V0//EN
• https://medium.com/mydata/consent-lost-gdpr-and-found-eprivacy-e85cf881ffb
• https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_comments_on_the_propos
al_for_an_eprivacy_regulation_final_draft_11_september_2017.pdf
• https://www.iabeurope.eu/wp-content/uploads/2017/10/OpenLetter_ePrivacy_Media-Publishers-
Advertising_LetterFINAL0.pdf
• https://digiday.com/media/european-media-companies-warn-eprivacy-law-proposals-cripple-business-
models/
• http://www.spqn.fr/wp-content/uploads/2018/03/180307-Open-letter-ePR-v05032018-VA_PAGES-
2.pdf
• http://ec.europa.eu/newsroom/document.cfm?doc_id=44103
• https://www.parlament.gv.at/PAKT/EU/XXVI/EU/01/58/EU_15804/imfname_10796438.pdf
• https://www.jdsupra.com/legalnews/council-of-the-european-union-publishes-13375/

2018-05 [Kenta Mochizuki, Esq.] EU's draft ePrivacy Regulation

Recommended

Recommended

More Related Content

Featured

Featured (20)

2018-05 [Kenta Mochizuki, Esq.] EU's draft ePrivacy Regulation