GDPR と eプライバシー規則 、その相違点と類似点とは?:クッキー規制について知っておくべきこと

データプライバシー規制をめぐる混乱が広がっている。規制当局が顧客のプライバシー保護を優先させ、ビジネスの収益化の名の下での個人データの無許可使用を抑制しようとした結果、多くの法令が生まれ、それに伴って区別が難しい略語も増える一方だ。

「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」で義務づけられている同意を得るために、「プライバシーと電子コミュニケーションに関する規則(Privacy and Electronic Communications Regulation)」のように、既存の法律を改正しなくてはならなくなった。一方各企業は、米国のカリフォルニア州消費者プライバシー法(California Consumer Privacy Act:以下、CCPA)への対応を進めている。さらに、クッキー指令(Cookie Directive)としても知られる現在の欧州のeプライバシー指令(ePrivacy Directive)をより厳格化したeプライバシー規則(ePrivacy Regulation)も登場している。日本でも公正取引委員会がクッキー利用について規制をする方向で検討に入ったと、10月29日に朝日新聞が報じている

それぞれの法律は別物だが、本質的に共通要素ですべてつながっている。法律用語を掘り下げることを避けるために、GDPRとeプライバシー規則の相違点と類似点について知っておくべき点を解説していこう。

法の影響を受けるのは誰?

これはふたつの法律で違いがある部分のひとつだ。GDPRは、医療、衛生、財務、チャリティなどの単一部門からパブリッシャー、広告主、マーケターまで、全セクターを通じての個人データの使用を管理するために作られた。したがってその適用範囲は、特にCookieの使用を対象にしたeプライバシー規則よりはるかに広い。つまり、広告のためにCookieを使っている企業にとって、潜在的な影響はかなり心配なことだ。ニュースパブリッシャーの業界団体は、現状のままではこの規制は壊滅的な被害をもたらすと警告した(業界団体はいつでも、法規制に対して悲観的な警告を発するものだというべきだろう)。eプライバシー規則はさらに、WhatsApp(ワッツアップ)やスカイプ(Skype)、Facebookのメッセンジャー(Messenger)のようなメッセージングサービスにも特に適用されるが、通信会社各社は、業界がすでに関与している同様の規制と重なることになるとして、ロビー活動を行っている。それらが重なる理由は、GDPRとeプライバシー規則が、個人データと個人の電気通信という重複するであろう異なったものを規制しているからだ。

同意のルール

GDPRとeプライバシー規則の主な違いは、eプライバシー規則ではCookieを使ったデータ処理に「インフォームドコンセント」が必要になる点だ。ポリシーアドバイザーの情報筋によると、サイバーセキュリティ、オーディエンス測定、あるいはオンライン購入の完了のような特定のトランザクションの完結のように同意を必要としない分野に関連して交渉できる例外はあるそうだ。GDPRには、人々のデータの収集と使用に関しては6つの法的根拠が与えられていて、まだ若干の余地がある。そのうちの主な2つは広告に適用され、正当な利益と同意と呼ばれる。同意はすべて事前通知され、同意するかどうかは自由なので、ユーザーは何を、誰に対して同意したかを理解する必要がある。eプライバシー規則には「明白な」同意規定がない一方で、GDPRは性別や政治的傾向、民族的起源など、特に慎重に取り扱うべきデータの処理を留保している。

Cookieの終焉

ここが肝心なところだ。eプライバシー規則は、とにかくCookieに関わっている。Cookieの種類が違えば、その扱い方についても違うルールを考える必要がまだある。だが、ルールが表すとおり、サードパーティのCookieは厳しく制限されることになるだろう。

ニュース・メディア・ヨーロッパ(News Media Europe)のポリシーアドバイザーであるイアコブ・ガメルトフト氏はこう語る。「オンラインのニュースコンテンツは、Cookieベースの広告のビジネスモデルが根底にあるので、すべての人が自由にアクセスできる。広告Cookieが弱体化すると、最終的にはジャーナリズムがペイウォールの向こう側へと押しやられ、経済的に余裕のある人だけが利用できるようになってしまう可能性がある」。

同意のゲートキーパー

GDPRの下では、パブリッシャーはもちろんのこと、末端の消費者と直接関係を持っている企業は、同意要求プロセスも管理することになっている。彼らは、同意が必要であることを消費者に伝える方法や、同意を得るためにユーザーへの情報開示を嫌がらないアドテクパートナーはどれか、データを集める目的はターゲット広告なのかキャンペーンの計測なのか解析なのか、などを自分で選択できる。eプライバシー規則の提言のもとではこれがもっと複雑になる。ユーザー自身がブラウザで設定を選択しなければならないからだ。パブリッシャーの業界団体では、それならばパブリッシャー側での同意要求のダイアログはカットして、代わりにブラウザを同意のゲートキーパーにしてしまえばいい、という意見が出た。何カ月ものあいだ賛否両論を戦わせた結果、現行の規則からこの条項は削除されることになった。だが、ポリシーアドバイザーの情報筋によると、欧州連合(EU)加盟国の多くはその強化を望んでいるという。これを聞いて、欧州のパブリッシャーの背筋に冷たいものが走った。

「(eプライバシーは)いわゆるウォールドガーデンの発展をさらに奨励し、優勢にあるプレイヤーの立場を一層強化することになるだろう」と、ガメルトフト氏はいう。「ブラウザ設定の導入の提案に関しては、解決よりもさらなる問題の発生につながり、GDPRとも矛盾が生じるし、技術的にも実行困難だ」。

しかし、パブリッシャーは実際に同意を要求できるし、ブラウザ設定よりもこちらの方が普及するはずだ。

予想される期限

GDPRは、施行までに何年もかかったし、データ保護にあたる当局の対応の進捗はゆっくりなので、GDPRの発効の完全な影響が明らかになるまでには、まだ数年かかるだろう。eプライバシー規則もまた同様で、国ごとに違うデータ規制当局の権限の下におかれることになるので、最終的にいつ完結するかのタイムスケジュールは設定されていない。結局のところ、悲観的な警告がいろいろ出されてはいるが、eプライバシー規則の完全発効までには数年の余裕があるといえる。eプライバシー規則もGDPRと同様罰金があり、グローバルな年間売上の4%または2000万ユーロ(2200万ドル)、どちらか高い方が科せられる。

Jessica Davies(原文 / 訳:ガリレオ)