eプライバシー指令とは?

eプライバシー指令は、Cookieの使用、データの最小化、迷惑メールなどを規制する欧州の重要なプライバシー指令です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • eプライバシー指令の概要
  • 指令の主な要求事項に関する説明
  • 指令と今後のeプライバシー規制との関係を理解する

記事のリンクをコピーする

eプライバシー指令とは?

eプライバシー指令は、欧州連合(EU)におけるデータ保護とプライバシーに関する一連の規則です。完全な正式名称は「Privacy and Electronic Communications Directive 2002/58/EC」です。これは、Cookieの使用、電子メールマーケティング、データの最小化、および データプライバシーのその他の側面を規制するものです。他のEU指令と同様に、それ自体は拘束力のある法律ではなく、EU加盟国に対して指令に沿った独自の法律を作成するように指示するものです。

eプライバシー指令は2002年に可決され、その後2009年に改正されました。この指令は近い将来、eプライバシー規則に置き換わることが予定されています。

eプライバシー指令がCookieを規制する仕組みとは?

eプライバシー指令では、厳格に必要なCookieを除き、WebサイトがユーザーのブラウザにCookieを保存する前に、ユーザーの同意を得ることが求められています。また、ユーザーは、同意を得る前に、Cookieの一般的な目的について知らされなければなりません。これは、ファーストパーティーCookieとサードパーティーCookieの両方に適用されますが、使用される個々のCookieについてユーザーが知る必要はありません。

eプライバシー指令により、多くのウェブサイトにCookieのバナーが表示され、ユーザーはCookieの使用に対して事前に同意することができます。これは、その最も明白な効果の一つであり、eプライバシー指令は、「Cookie法」とも呼ばれます。

例外として、Webサイトやアプリケーションが適切に機能するために必要なCookieについては、ユーザーの同意を必要としません。例えば、ユーザーのログインを記憶するCookieについては、ユーザーの同意を必要としません。このCookieがなければ、ユーザーはWebサイトにログインして使用することができません。

Webサイトの所有者にとって、Cookieなしでユーザーの行動を把握することは困難です。現在、Cookieを使用しないウェブ分析サービスがいくつか提供されています。Cloudflareでは、そのようなサービスを提供しています。

データの最小化と匿名化に関する指令の要件とは?

eプライバシー指令では、請求目的で保持しなければならない場合を除き、不要になったデータを消去または匿名化することを組織に求めています。また、この指令では、すべての位置情報を匿名化することが求められています。個々のユーザーの位置情報を識別可能な方法で追跡することはできません。

eプライバシー指令のオプトイン(事前承諾)要件とは?

eプライバシー指令では、企業がユーザーに通信を行う際には、ユーザーから��プトイン(事前承諾)を得る必要があると規定しています。これは、Eメールマーケティングだけでなく、電話、テキスト、その他のあらゆる形態の電子通信にも適用されます。未承諾のメールや電話は許されません。

また、電子メールは正当なアドレスからのものでなければならず、電子メールの送信者は受信者に配信停止のオプションを提供しなければなりません(「そのような通信の停止を求める送信を受信者が行うための正確な電子メールアドレスが無い場合…ダイ��クトマーケティングの目的による電子メール送信行為は、禁止される」 )。

eプライバシー指令が他に扱うものは?

eプライバシー指令は、個人データを保護するためのセキュリティ対策を要求しています。また、「国家安全保障を守るため」、犯罪行為を調査するため、およびその他の特別な場合を除き、通信チャネルの監視を禁止しています。指令原文の全文を読む

eプライバシー規則とは?

eプライバシー規則もまた、数年前から開発が進められている欧州の個人情報保護法です。eプライバシー指令と同じ分野の多くをカバーすることになりますが、規制の範囲はまだ議論されています。

eプライバシー規制が発効され��と、eプライバシー指令は廃止され、eプライバシー規制に置き換わります。

GDPRはeプライバシー指令を置き換えるか?

EU一般データ保護規則(GDPR)は、2018年に発効された、EU居住者のデータに適用される包括的な個人情報保護法です。GDPRは、eプライバシー指令を補完し、その要件の一部を拡張していますが、eプライバシー指令は引き続き適用されています。例えば、eプライバシー指令では、Cookieを使用する前に同意が必要とされていますが、GDPRでは、Cookieの識別子が個人データとみなされる可能性があることが追加されています。

eプライバシー指令は、データローカライゼーションを要求しているか?

データのローカライズとは、データが収集され��同じ管轄または地域内にデータを保持することです。現在、多くの組織がデータのローカライズを希望していますが、eプライバシー指令ではこの慣行を要求していません。Cloudflareは、企業がデータローカライゼーションを実施できるように、Geo Key ManagerKeyless SSLRegional Services などのサービスをまとめて提供しています。