| 法令の情報時期:2009年12月統合版 | ページ作成時期:2026年06月 |
目的
本指令は、以下の事項を目的としている。
■ 電子通信セクターにおける個人データの処理に関し、基本的人権と自由、特にプライバシーおよび機密保持の権利について、EU域内で同等の保護水準を確保するため、加盟各国規定の調和を図ること。
■ 電子通信データ、機器、およびサービスのコミュニティ内における自由な移動を確保すること。
■ 法人である加入者の正当な利益を保護すること。
概要
本指令は、一般データ保護規則(GDPR)を補完・具体化するものである。
■ 背景・問題意識:電子通信技術の進展に伴い、通信の機密性や個人データの保護に対する新たなリスクが生じており、EU全体での共通の保護ルールが必要とされた。
■ 適用範囲:公衆通信ネットワークにおける「公衆に利用可能な電子通信サービス」の提供に関連する個人データの処理に適用される。これには、データ収集や識別デバイスをサポートするネットワークも含まれる。
■ 主な要件:通信の機密保持、トラフィックデータや位置情報データの取り扱い制限、ダイレクトマーケティング(未承諾通信)の規制、セキュリティ対策およびデータ侵害時の通知義務などが含まれる。
適用除外(対象外・猶予・免除等)
法令全体の適用から除外される対象は以下の通りである。
■ 欧州共同体設立条約の範囲外の活動。例えば、欧州連合条約の第V編および第VI編に含まれる活動。
■ 公共の安全、国防、国家の安全(国家の安全に関する事項に関連する場合の国家の経済的幸福を含む)に関わる活動。
■ 刑法分野における国家の活動。
事業者が注意すべき内容
| 本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。 ご関心がございましたら、お気軽にお問い合わせください。 |
サービス提供者は、国内法に基づき以下の要件を遵守しなければならない。
【処理の安全性の確保(第4条)】
■ 提供するサービスの安全性を守るため、適切な技術的・組織的措置を講じなければならない。措置は、最新技術(state of the art)と実施コストを考慮し、リスクに見合ったレベルのセキュリティを確保するものでなければならない。
■ 少なくとも以下の対策を含む必要がある:
・個人データにアクセスできるのは認可された職員のみ、認可された目的のためのみであること。
・保存・送信される個人データを不慮または不法な破壊、喪失、改ざん、不正な保管、処理、アクセス、開示から保護すること。
・個人データの処理に関するセキュリティポリシーの実施。
【個人データ侵害の通知(第4条)】
■ 個人データ侵害が発生した場合、不当な遅滞なく管轄当局に通知しなければならない。
■ 侵害が加入者または個人の個人データやプライバシーに悪影響を及ぼす可能性が高い場合、その加入者等にも不当な遅滞なく通知しなければならない。ただし、データにアクセス権のない者が判読できないようにするなどの適切な保護措置を講じていたことを当局に証明した場合は、加入者等への通知は免除される。
■ 事業者は、侵害の事実、影響、および講じた是正措置を含む「個人データ侵害の目録」を維持管理しなければならない。
【通信の機密保持と端末へのアクセス(第5条)】
■ ユーザーの同意なしに、ユーザー以外の者が通信や関連するトラフィックデータを傍受、保管、監視することを禁止する。ただし、通信の伝送に必要な一時的な保管は妨げられない。
■ 加入者やユーザーの端末機器に情報を保存(クッキー等)したり、保存された情報にアクセスしたりすることは、事前に明確かつ包括的な情報を提供し、同意を得た場合にのみ許可される。ただし、通信の伝送のみを目的とする場合や、ユーザーが明示的に要求したサービスの提供に不可欠な場合は、同意なしのアクセスが可能である。
【トラフィックデータおよび位置情報データの取り扱い(第6条、第9条)】
■ トラフィックデータは、通信の伝送後に消去または匿名化しなければならない。ただし、加入者への請求(課金)や相互接続決済に必要な場合は、その請求が法的に有効な期間内に限り処理が認められる。
■ マーケティングや付加価値サービスのためにトラフィックデータを使用する場合は、事前にユーザーの同意が必要であり、いつでもユーザーによる同意の撤回が可能でなければならない。
■ トラフィックデータ以外の位置情報データは、匿名化するか、同意を得た場合に限り、付加価値サービスの提供に必要な範囲・期間で処理できる。
【未承諾通信(ダイレクトマーケティング)の規制(第13条)】
■ 自動呼出機、ファックス、電子メールを用いたダイレクトマーケティングは、事前に同意を得た加入者等に対してのみ許可される。
■ ただし、商品の販売に関連して顧客から電子メールアドレス等の連絡先を取得した場合、自社の類似製品・サービスのマーケティングにその連絡先を使用できる(いわゆるソフト・オプトイン)。この場合、顧客が収集時および各メッセージ受信時に、容易かつ無料で拒否できる機会を与えなければならない。
■ 送信者の正体を偽ったり、配信停止の要求を送るための有効なアドレスがない電子メールを送信することは禁止とする。
【政府への要件を通じた将来的影響】
■ 加盟国は、国家安全保障、犯罪捜査等のために、本指令の権利を制限する法的措置(一定期間のデータ保持義務など)を講じることが認められている(第15条第1項)。
■ 事業者は、国内法に基づく個人データへのアクセス要求に対応するための内部手順を確立しなければならず、当局の要求に応じてその手順や要求件数に関する情報を提供しなければならない(第15条第1b項)。
■ 欧州委員会は、データ侵害通知の条件や形式などに関する詳細な「技術的実施措置」を今後採択する可能性がある(第4条第5項)。
注目定義
■ 「ユーザー」(user)
| 私的またはビジネス目的を問わず、公衆に利用可能な電子通信サービスを利用するすべての自然人を指し、必ずしも当該サービスに加入(契約)している必要はない。 |
■ 「トラフィックデータ」(traffic data)
| 電子通信ネットワーク上での通信の伝送、またはそれに関連する請求(課金)を目的として処理されるすべてのデータを指す。 |
■ 「位置情報データ」(location data)
| 電子通信ネットワークまたは電子通信サービスにおいて処理されるデータで、公衆に利用可能な電子通信サービスのユーザーの端末機器の地理的位置を示すデータ。 |
■ 「通信」(communication)
| 公衆に利用可能な電子通信サービスを通じて、限られた数の当事者間で交換または伝送されるすべての情報を指す。ただし、公衆向けの放送サービスの一部として伝送される情報は、特定の加入者やユーザーと結び付けられる場合を除き、これに含まれない。 |
■ 「同意」(consent)
| ユーザーまたは加入者による同意であり、指令 95/46/EC(*現行のGDPRに相当)におけるデータ主体の同意と同じ意味を持つ。 |
■ 「付加価値サービス」(value added service)
| 通信の伝送や請求(課金)に必要とされる範囲を超えて、トラフィックデータまたは位置情報データの処理を必要とするサービスを指す。 |
■ 「個人データ侵害」(personal data breach)
| 電子通信サービスの提供に関連して送信、保存、または処理された個人データの、不慮のまたは不法な破壊、喪失、改ざん、および無断での開示やアクセスにつながるセキュリティ侵害を指す。 |
目次
第1条:範囲および目的
第2条:定義
第3条:対象となるサービス
第4条:処理の安全性
第5条:通信の機密保持
第6条:トラフィックデータ
第7条:明細付き請求
第8条:発信者および接続先番号通知の提示と制限
第9条:トラフィックデータ以外の位置情報データ
第10条:例外
第11条:自動転送の停止
第12条:加入者名簿
第13条:未承諾通信(ダイレクトマーケティング)
第14条:技術的特徴および標準化
第14条a:委員会手続
第15条:指令95/46/ECの特定の規定の適用
第15条a:実施および執行
第16条:経過措置
第17条:国内法化
第18条:見直し
第19条:廃止
第20条:発効
第21条:宛先
基礎情報
| 法令(現地語) | |
| 法令(日本語) | 電子通信分野における個人データの処理およびプライバシーの保護に関する2002年7月12日付欧州議会および理事会指令2002/58/EC(プライバシーおよび電子通信に関する指令)」 |
| 公布日 | 2002年7月31日 |
作成者
この続きは先読会員になるとお読みいただけます。
ログインして続きを読む
