EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16)
こんにちは、丸山満彦です。
EDPB、ePrivacy指令の対象となるトラッキング技術を明確にするガイドライン案を公表し、意見募集をしていますね。。。
ガイドライ名は、Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive (ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023)
● European Data Protection Board; EDPB
・2023.11.16 EDPB provides clarity on tracking techniques covered by the ePrivacy Directive 15 November 2023 EDPB
・2023.11.16 Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
・[PDF]
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023 |
Adopted on 14 November 2023 | 2023年11月14日採択 |
Executive summary | 要旨 |
In these Guidelines, the EDPB addresses the applicability of Article 5(3) of the ePrivacy Directive to different technical solutions. These Guidelines expand upon the Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting and aim to provide a clear understanding of the technical operations covered by Article 5(3) of the ePrivacy Directive. | 本ガイドラインにおいて、EDPB は ePrivacy 指令第 5 条(3)の様々な技術的ソリューションへの適用可能性を取り上げる。本ガイドラインは、デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する Article 29 Working Party の意見 9/2014 を発展させ、ePrivacy 指令の Article 5(3)の対象となる技術的操作の明確な理解を提供することを目的とする。 |
The emergence of new tracking methods to both replace existing tracking tools (for example, cookies, due to discontinued support for third-party cookies) and create new business models has become a critical data protection concern. While the applicability of Article 5(3) of the ePrivacy Directive is well established and implemented for some tracking technologies such as cookies, there is a need to remove ambiguities related to the application of the said provision to emerging tracking tools. | 既存の追跡ツール(例えば、サードパーティ製クッキーのサポートが打ち切られたことによるクッキー)に取って代わり、また新たなビジネスモデルを生み出す新たな追跡方法の出現は、データ保護の重大な関心事となっている。eプライバシー指令の第5条3項の適用可能性は、クッキーのようないくつかのトラッキング技術については十分に確立され、実施されているが、新たなトラッキングツールへの同規定の適用に関する曖昧さを取り除く必要がある。 |
The Guidelines identify four key elements for the applicability of Article 5(3) of the ePrivacy Directive (section 2.1), namely ‘information’, ‘terminal equipment of a subscriber or user’, ‘gaining access and ‘stored information and storage’. The Guidelines further provide a detailed analysis of each element (section 2.2-2.6). | 本ガイドラインは、eプライバシー指令第5条3項(2.1項)の適用可能性に関する4つの重要な要素、すなわち「情報」、「加入者またはユーザーの端末機器」、「アクセスの獲得」、「保存された情報および保存」を特定している。ガイドラインはさらに、各要素の詳細な分析を提供している(2.2-2.6項)。 |
In section 3, that analysis is applied to a non-exhaustive list of use cases representing common techniques, namely: | セクション3では、その分析が、一般的な技術を代表するユースケースの非網羅的なリストに適用されている: |
- URL and pixel tracking | ・URLとピクセルのトラッキング |
- Local processing | ・ローカル処理 |
- Tracking based on IP only | ・IPのみに基づくトラッキング |
- Intermittent and mediated Internet of Things (IoT) reporting | ・断続的かつ媒介されたモノのインターネット(IoT)報告 |
- Unique Identifier | ・一意識別子 |
TABLE OF CONTENTS | 目次 |
1 Introduction | 1 序文 |
2 Analysis | 2 分析 |
2.1 Key elements for the applicability of Article 5(3) ePD | 2.1 ePD第5条3項が適用されるための主な要素 |
2.2 Notion of ‘information’ | 2.2 「情報」の概念 |
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’ | 2.3 「加入者または利用者の端末機器」の概念 |
2.4 Notion of ‘electronic communications network’ | 2.4 「電子コミュニケーション・ネットワーク」の概念 |
2.5 Notion of ‘gaining access’ | 2.5 「アクセスを得る」という概念 |
2.6 Notions of ‘Stored Information’ and ‘Storage’ | 2.6 「蓄積情報」および「保管」の概念 |
3 Use cases | 3 ユースケース |
3.1 URL and pixel tracking | 3.1 URLとピクセルのトラッキング |
3.2 Local processing | 3.2 ローカル処理 |
3.3 Tracking based on IP only | 3.3 IPのみに基づくトラッキング |
3.4 Intermittent and mediated IoT reporting | 3.4 断続的かつ媒介的なIoT報告 |
3.5 Unique Identifier | 3.5 一意識別子 |
The European Data Protection Board | 欧州データ保護委員会 |
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter, ‘GDPR’), | 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する、 |
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 , | EEA協定、特に2018年7月6日付EEA合同委員会決定第154/2018号により改正された附属書XIおよびその第37議定書を考慮する、 |
Having regard to Article 15(3) of the Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, as amended by Directive 2009/136/EC (hereinafter, ‘ePrivacy Directive’ or ‘ePD’), | 指令2009/136/EC(以下、「eプライバシー指令」又は「ePD」)により改正された、電子コミュニケーション分野における個人データの処理及びプライバシーの保護に関する2002年7月12日の欧州議会及び理事会指令2002/58/ECの第15条3項を考慮する、 |
Having regard to Article 12 and Article 22 of its Rules of Procedure, | その手続規則の第12条および第22条を考慮し、以下のガイドラインを採択した、 |
Has Adopted The Following Guidelines: | 以下のガイドラインを採択した: |
----- | ----- |
1 INTRODUCTION | 1 序文 |
1. According to Article 5(3) ePD, ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’ is only allowed on the basis of consent or necessity for specific purposes set out in that Article. As reminded in Recital 24 of the ePD, the goal of that provision is to protect the users’ terminal equipment, as they are part of the private sphere of the users. It results from the wording of the Article and has been made clear (for example, in the Article 29 Working Party (hereinafter, ‘WP29’) Opinion 4/2012 on Cookie Consent Exemption ), that Article 5(3) ePD does not exclusively apply to cookies, but also to ‘similar technologies’. However, there is currently no comprehensive list of the technical operations covered by Article 5(3) ePD. | 1. ePD第5条3項によると、「加入者または利用者の端末機器に情報を保存すること、またはすでに保存された情報にアクセスすること」は、同条に規定された特定の目的のための同意または必要性に基づいてのみ許可される。ePDのRecital 24にあるように、この規定の目的は、利用者の端末機器を保護することである。ePD第5条(3)がクッキーにのみ適用されるのではなく、「類似の技術」にも適用されることは、同条の文言から明らかであり、(例えば、クッキーに関する同意の免除に関する第29条作業部会(以下、「WP29」)の意見4/2012において)明らかにされている。しかし、現在のところ、第5条3項ePDの対象となる技術的操作の包括的なリストはない。 |
2. WP29 Opinion 9/2014 on the application of ePrivacy Directive to device fingerprinting (hereinafter, ‘WP29 Opinion 9/2014’) has already clarified that fingerprinting falls within the technical scope of Article 5(3) ePD, but due to the new advances in technologies further guidance is needed with respect to the tracking techniques currently observed. The technical landscape has been evolving during the last decade, with the increasing use of identifiers embedded in operating systems, as well as the creation of new tools allowing the storage of information in terminals. | 2. デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する WP29 の意見 9/2014(以下、「WP29 の意見 9/2014」)は、フィンガープリンティングが第 5 条(3)ePD の技術的範囲に含まれることを既に明確にしているが、技術の新たな進歩により、現在観察されている追跡技術に関して更なるガイダンスが必要である。オペレーティングシステムに埋め込まれた識別子の使用が増加しているほか、端末に情報を保存できる新しいツールが開発されるなど、技術的な状況は過去10年間に進化している。 |
3. The ambiguities regarding the scope of application of Article 5(3) ePD have created incentives to implement alternative solutions for tracking internet users and lead to a tendency to circumvent the legal obligations provided by Article 5(3) ePD. All such situations raise concerns and require a supplementary analysis in order to complement the previous guidance from the EDPB. | 3. ePD第5条3項の適用範囲に関する曖昧さは、インターネットユーザーを追跡するための代替ソリューションを導入する誘因を生み出し、ePD第5条3項が提供する法的義務を回避する傾向につながっている。このような状況はすべて懸念を生じさせるものであり、EDPBによるこれまでのガイダンスを補完するために補足的な分析が必要である。 |
4. The aim of these Guidelines is to conduct a technical analysis on the scope of application of Article 5(3) ePD, namely to clarify what is covered by the phrase ‘to store information or to gain access to information stored in the terminal equipment of a subscriber or user’. These Guidelines do not intend to address the circumstances under which a processing operation may fall within the exemptions from the consent requirement provided for by the ePD. | 4. 本ガイドラインの目的は、第5条(3)ePDの適用範囲に関する技術的分析を行うこと、すなわち、「情報を保存するため、または加入者もしくはユーザーの端末機器に保存された情報にアクセスするため」という表現によって何がカバーされるのかを明確にすることである。本ガイドラインは、処理操作がePDが規定する同意要件の適用除外に該当する可能性がある状況を取り上げる意図はない。 |
5. A non-exhaustive list of specific use-cases will be analysed in the final part of these Guidelines. | 5. 具体的なユースケースの非網羅的なリストは、本ガイドラインの最終部分で分析される。 |
2 ANALYSIS | 2 分析 |
2.1 Key elements for the applicability of Article 5(3) ePD | 2.1 ePD第5条(3)の適用可能性に関する重要な要素 |
6. Article 5(3) ePD applies if: | 6. 第5条(3)ePDは以下の場合に適用される: |
a. CRITERION A: the operations carried out relate to ‘information’. It should be noted that the term used is not ’personal data’, but ‘information’. | a. 判断基準 A:実施される業務が「情報」に関するものである。ここで使用されている用語は「個人データ」ではなく「情報」であることに留意すべきである。 |
b. CRITERION B: the operations carried out involve a ‘terminal equipment’ of a subscriber or user. | b. 判断基準 B:実施される業務が、加入者または利用者の「端末機器」に関係する。 |
c. CRITERION C: the operations carried out are made in the context of the ‘provision of publicly available electronic communications services in public communications networks’. | c. 判断基準 C:実施される業務が、「公衆通信網における公に利用可能な電子通信サービスの提供」という文脈で行われる。 |
d. CRITERION D: the operations carried out indeed constitute a ‘gaining of access’ or ‘storage’. Those two notions can be studied independently, as reminded in WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. | d. 判断基準 D:実施された操作は、確かに「アクセスの獲得」または「保存」を構成する。 これら二つの概念は、WP29 意見書 9/2014 で想起されたように、独立して検討することができる: 保管又はアクセスされる」という文言の使用は、保管とアクセスが同一のコミュニケーション 内で行われる必要はなく、同一の当事者によって行われる必要もないことを示している。 |
For the sake of readability, the entity gaining access to information stored in the user’s terminal equipment will be hereafter referred to as an ‘accessing entity’. | 読みやすくするため、ユーザの端末機器に保存された情報にアクセスする事業体を、以後「アクセスする事業体」と呼ぶ。 |
2.2 Notion of ‘information’ | 2.2 「情報」の概念 |
7. As expressed in CRITERION A, this section details what is covered by the notion of ‘information’. The choice of the term, much broader than the notion of personal data, is related to the scope of the ePrivacy Directive. | 7. 基準Aで示したように、本節では「情報」の概念でカバーされる内容を詳述する。個人データの概念よりはるかに広いこの用語の選択は、ePrivacy 指令の範囲に関連している。 |
8. The goal of Article 5(3) ePD is to protect the private sphere of the users, as stated in its Recital 24: ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms’. Consequently, it is also protected by Article 7 of the EU Charter of Fundamental Rights. | 8. ePD第5条3項の目的は、そのリサイタル24に記載されているように、利用者の私的領域を保護することである。「電子コミュニケーションネットワークの利用者の端末機器および当該機器に保存された情報は、人権および基本的自由の保護に関する欧州条約に基づく保護を必要とする利用者の私的領域の一部である」。その結果、EU基本権憲章第7条によっても保護される。 |
9. In fact, scenarios that do intrude into this private sphere even without involving any personal data are explicitly covered by the wording of the Article 5(3) ePD and by Recital 24, for example the storage of viruses on the user’s terminal. This shows that the definition of the term ‘information’ should not be limited the property of being related to an identified or identifiable natural person. | 9. 実際、個人データに関係なくとも、この私的領域に侵入するシナリオは、ePD第5条3項の文言と前文24によって明確にカバーされている。このことは、「情報」という用語の定義が、個人を特定できる自然人に関連するという性質に限定されるべきではないことを示している。 |
10. This has been confirmed by the Court of Justice of the EU: ‘That protection applies to any information stored in such terminal equipment, regardless of whether or not it is personal data, and is intended, in particular, as is clear from that recital, to protect users from the risk that hidden identifiers and other similar devices enter those users’ terminal equipment without their knowledge’ . | 10. この保護は、個人データであるか否かにかかわらず、そのような端末機器に保存されているあらゆる情報に適用され、特に、同議定書から明らかなように、隠れた識別子やその他類似のデバイスがユーザーの知らないうちにユーザーの端末機器に入り込むリスクからユーザーを保護することを意図している」。 |
11. Whether the origin of this information and the reasons why it is stored in the terminal equipment should be considered when assessing the applicability of Article 5(3) ePD have been previously clarified, for example in the WP29 Opinion 9/2014: ‘It is not correct to interpret this as meaning that the third-party does not require consent to access this information simply because he did not store it. The consent requirement also applies when a read-only value is accessed (e.g. requesting the MAC address of a network interface via the OS API)’. | 11. ePD 第 5 条(3)の適用可能性を評価する際に、この情報の出所と端末機器に保存される理由を考慮すべきかどうか は、例えば WP29 の意見書 9/2014 で以前に明確にされている: サードパーティがこの情報を保存していないという理由だけで、サードパーティがこの情報にアクセスするための同意を必要としないという意味に解釈するのは正しくない。同意の要件は、読み取り専用の値にアクセスする場合にも適用される(例えば、OS API 経由でネッ トワークインターフェースの MAC アドレスを要求する)。 |
12. In conclusion, the notion of information includes both non-personal data and personal data, regardless of how this data was stored and by whom, i.e. whether by an external entity (also including other entities than the one having access), by the user, by a manufacturer, or any other scenario. | 12. 結論として、情報の概念には、非個人データと個人データの両方が含まれ、このデー タがどのように保存され、誰によって保存されたかに関係なく、すなわち、外部事業体 (アクセス権を有する事業体以外の事業体も含む)、ユーザー、製造者、またはその他の シナリオによるものであるかどうかに関係なく、非個人データと個人データの両方が 含まれる。 |
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’ | 2.3 「加入者またはユーザーの端末機器」の概念 |
13. This section builds on the definition used in Directive 2008/63/EC, where ‘terminal equipment’ is defined as: ‘equipment directly or indirectly connected to the interface of a public telecommunications network to send, process or receive information; in either case (direct or indirect), the connection may be made by wire, optical fibre or electromagnetically; a connection is indirect if equipment is placed between the terminal equipment and the interface of the network’ . | 13. このセクションは、指令2008/63/ECで使用されている定義に基づいており、「端末機器」は以下のように定義されている: 直接的または間接的に公衆電気通信網のインターフェースに接続され、情報の送信、処理、受信を行う機器。いずれの場合(直接的または間接的)でも、接続は有線、光ファイバー、または電磁気的に行われる。 |
14. Recital 24 ePD provides a clear understanding of the role of the terminal equipment for the protection offered by Article 5(3) ePD. The ePD protects users’ privacy not only in relation to the confidentiality of their information but also by safeguarding the integrity of the user’s terminal equipment. This understanding will guide the interpretation of the notion of the terminal equipment throughout these Guidelines. | 14. ePDの説明24は、ePD第5条3項が提供する保護における端末機器の役割について明確な理解を示している。ePDは、利用者のプライバシーを、利用者の情報の機密性だけでなく、利用者の端末機器の完全性を保護することによっても保護している。この理解は、本ガイドライン全体を通して、端末機器の概念の解釈の指針となる。 |
15. Whenever a device is not an endpoint of a communication and only conveys information without performing any modifications to that information, it would not be considered as the terminal equipment in that context. Hence, if a device solely acts as a communication relay, it should not be considered a terminal equipment under Article 5(3) ePD. | 15. デバイスがコミュニケーションのエンドポイントでなく、情報に変更を加えることなく情報を伝達す るだけである場合、そのデバイスは端末機器とはみなされない。従って、デバイスが通信の中継としてのみ機能する場合、それは第 5 条(3)ePD に基づく端末機器とみなされるべきではない。 |
16. A terminal equipment may be comprised of any number of individual pieces of hardware, which together form the terminal equipment. This may or may not take the form of a physically enclosed device hosting all the display, processing, storage and peripheral hardware (for example, smartphones, laptops, connected cars or connected TVs, smart glasses). | 16. 端末機器は、端末機器を形成する任意の数の個々のハードウェアから構成される場合がある。これは、すべての表示、処理、記憶、および周辺ハードウェア(例えば、スマートフォン、ラップトップ、コネクティッドカーまたはコネクティッドテレビ、スマートグラス)をホストする物理的に密閉されたデバイスの形態をとる場合もとらない場合もある。 |
17. The ePD acknowledges that the protection of the confidentiality of the information stored on a user’s terminal equipment and integrity of the user’s terminal equipment is not limited to the protection of the private sphere of natural persons but also concerns the right to respect for their correspondence or the legitimate interests of legal persons. As such, a terminal equipment that allows for this correspondence and the legitimate interests of the legal persons to be carried out is protected under Article 5(3) ePD. | 17. ePDは、ユーザーの端末機器に保存された情報の機密性とユーザーの端末機器の完全性の保護は、自然人の私的領域の保護に限定されるものではなく、その通信または法人の正当な利益を尊重する権利にも関係することを認めている。そのため、このような通信や法人の正当な利益の遂行を可能にする端末機器は、ePD第5条第3項により保護される。 |
18. The user or subscriber may own or rent or otherwise be provided with the terminal equipment. Multiple users or subscribers may share the same terminal equipment in the context of multiple communications (for example, in the case of a connected car) and a single communication may involve more than one terminal equipment. | 18. ユーザーまたは加入者は、端末機器を所有するか、レンタルするか、またはその他の方法で提供されることができる。複数のユーザーまたは加入者は、複数のコミュニケーション(例えば、コネクティッドカーの場合)において同じ端末機器を共有することができ、1 つのコミュニケーションに複数の端末機器が関与することがある。 |
19. The protection is guaranteed by the ePD to the terminal equipment associated to the user or subscriber involved in the communication, and it is not dependant on whether the electronic communication was initiated by the user or even on whether the user is aware of the said communication. | 19. 保護は、通信に関与するユーザーまたは加入者に関連する端末機器に対して ePD によって保証され、電子通信がユーザーによって開始されたかどうか、またはユーザーが当該通信を認識しているかどうかにさえ依存しない。 |
2.4 Notion of ‘electronic communications network’ | 2.4 「電子通信ネットワーク」の概念 |
20. Another element to consider in order to assess the applicability of Article 5(3) ePD is the notion of ‘electronic communications network’. In fact, the situation regulated by the ePD is the one related to ‘the provision of publicly available electronic communications services in public communications networks in the Community’. It is therefore crucial to delimit the electronic communications network context in which Article 5(3) ePD applies. | 20. ePD 第 5 条(3)の適用可能性を評価するために考慮すべきもう一つの要素は、「電子コミュニケーション・ ネットワーク」の概念である。実際、ePDが規制する状況は、「共同体内の公衆通信網における公に利用可能な電子通信サービスの提供」に関するものである。したがって、ePD第5条3項が適用される電子通信ネットワークの文脈を限定することは極めて重要である。 |
21. The notion of electronic communications network is not defined within the ePD itself. That concept was referred to originally in Directive 2002/21/EC (the Framework Directive) on a common regulatory framework for electronic communications networks and services , subsequently replaced by Directive 2018/1972 (the European Electronic Communications Code). It now reads: | 21. 電子通信ネットワークの概念は、ePD自体では定義されていない。この概念はもともと、電子通信ネットワークおよびサービスの共通規制枠組みに関する指令2002/21/EC(枠組み指令)で言及され、その後、指令2018/1972(欧州電子通信規約)で置き換えられた。現在はこうなっている: |
‘”electronic communications network” means transmission systems, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched, including internet) and mobile networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed’. | 電子通信ネットワーク」とは、恒久的なインフラまたは集中管理能力に基づくか否かを問わず、伝送システム、および該当する場合、有線、無線、光またはその他の電磁的手段による信号の伝達を可能にする、能動的でないネットワーク要素を含む交換またはルーティング装置およびその他のリソースを意味する、 伝達される情報の種類に関係なく、衛星ネットワーク、固定(回線交換およびパケット交換、インターネットを含む)およびモバイルネットワーク、電力ケーブルシステム、ラジオおよびテレビ放送に使用されるネットワーク、ケーブルテレビネットワークを含む。 |
22. This definition is neutral with respect to the transmission technologies. An electronic communications network, according to this definition, is any network system that allows transmission of electronic signals between its nodes, regardless of the equipment and protocols used. | 22. この定義は、伝送技術に関しては中立である。この定義によれば、電子コミュニケーション・ネットワークとは、使用される機器やプロトコルに関係なく、ノード間で電子信号の伝送を可能にするあらゆるネットワーク・システムを指す。 |
23. The notion of electronic communications network under Directive 2018/1972 does not depend on the public or private nature of the infrastructure, nor on the way the network is deployed or managed (‘whether or not based on a permanent infrastructure or centralised administration capacity’ .) As a result, the definition of electronic communications network, under Article 2 of Directive 2018/1972, is broad enough to cover any type of infrastructure. It includes networks managed or not by an operator, networks co-managed by a group of operators, or even ad-hoc networks in which a terminal equipment may dynamically join or leave a mesh of other terminal equipment using short range transmission protocols. | 23. 指令 2018/1972 に基づく電子通信網の概念は、インフラの公衆・私有の性質、ネットワークの配備・ 管理方法(「恒久的なインフラまたは集中管理能力に基づくか否か」)には依存しない。その結果、指令2018/1972の第2条に基づく電子コミュニケーションネットワークの定義は、あらゆるタイプのインフラをカバーするのに十分な広さとなっている。これには、事業者によって管理されるか否かにかかわらず、事業者グループによって共同管理されるネットワーク、あるいは、端末機器が短距離伝送プロトコルを使用して他の端末機器のメッシュに動的に参加または離脱するアドホックネットワークも含まれる。 |
24. This definition of network does not give any limitation with regards to the number of terminal equipment present in the network at any time. Some networking schemes rely on asynchronous information propagation to present peers in the network and can at some point in time have as little as two peers communicating. Article 5(3) ePD would still apply in such cases, as long as the network protocol allows for further inclusion of peers. | 24. このネットワークの定義は、ネットワークに存在する端末機器の数に関して、いかなる制限も与えない。一部のネットワーキング方式は、ネットワーク内のピアを提示するための非同期情報伝播に依存しており、ある時点で通信しているピアがわずか2台になることがある。このような場合でも、ネットワーク・プロトコルがピアの追加を許容する限り、ePD第5条3項が適用される。 |
25. The public availability of the communication service over the communication network is necessary for the applicability of Article 5(3) ePD . It should be noted that the fact that the network is made available to a limited subset of the public (for example, subscribers, whether paying or not, subject to eligibility conditions) does not make such a network private. | 25. 通信ネットワーク上でコミュニケーション・サービスが公に利用可能であることは、第5条3項ePDが適用されるために必要である。ネットワークが公衆の限定されたサブセット(例えば、有料か有料でないかを問わず、加入資格条件に従う加入者)に利用可能であるという事実は、そのようなネットワークを私的なものとするものではないことに留意すべきである。 |
2.5 Notion of ‘gaining access’ | 2.5 「アクセスを得る」という概念 |
26. To correctly frame the notion of ‘gaining access’, it is important to consider the scope of the ePD, stated in its Article 1: ‘to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community’. | 26. すなわち、「電子通信分野における個人データの処理に関し、基本的権利及び自由、特にプライバシ ーに対する権利の同等レベルの保護を確保し、かつ、共同体内における当該データ並びに電子通信機器及 びサービスの自由な移動を確保すること」である。 |
27. In a nutshell, the ePD is a privacy preserving legal instrument aiming to protect the confidentiality of communications and the integrity of devices. In Recital 24 ePD, it is clarified that, in the case of natural persons, the user’s terminal equipment is part of their private sphere and that accessing information stored on it without their knowledge may seriously intrude upon their privacy. | 27. 一言で言えば、ePDは、コミュニケーションの機密性と機器の完全性を保護することを目的としたプライバシー保護の法的文書である。ePDのリサイタル24では、自然人の場合、ユーザーの端末機器はプライベートな領域の一部であり、本人が知らないうちに端末機器に保存された情報にアクセスすることは、プライバシーを著しく侵害する可能性があることが明確にされている。 |
28. Legal persons are also safeguarded by the ePD . In consequence, the notion of ‘gaining access’ under Article 5(3) ePD, has to be interpreted in a way that safeguards those rights against violation by third parties. | 28. 法人もePDによって保護されている。その結果、ePD第5条3項の「アクセスを得る」という概念は、第三者による侵害からこれらの権利を保護するように解釈されなければならない。 |
29. Storage and access do not need to be cumulatively present for Article 5(3) ePD to apply. The notion of ’gaining access’ is independent from the notion of ‘storing information’. Moreover, the two operations do not need to be carried out by the same entity. | 29. ePD 第 5 条(3)項が適用されるためには、保管とアクセスが累積的に存在する必要はない。アクセスを得る」という概念は、「情報を保管する」という概念から独立している。さらに、この2つの操作は同一の事業体によって行われる必要はない。 |
30. As noted in the WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. Information that is stored by one party (including information stored by the user or device manufacturer) which is later accessed by another party is therefore within the scope of Art. 5(3)’. Consequently, there are no restrictions placed on the origin of information on the terminal equipment for the notion of access to apply. | 30. デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見書 9/2014 で指摘されているように、「保存またはアクセスされる」という言葉の使用は、保存とアクセスが同一のコミュニケー ション内で行われる必要はなく、同一の当事者によって実行される必要もないことを示している。従って、ある当事者によって保存された情報(ユーザーまたはデバイス製造者によって保存された情報を含む)であって、後に別の当事者によってアクセスされるものは、第 5 条(3)の範囲内である。5(3)'. したがって、アクセスという概念が適用されるためには、端末機器上の情報の出所に制限はない。 |
31. Whenever the accessing entity wishes to gain access to information stored in the terminal equipment and actively takes steps towards that end, Article 5(3) ePD would apply. Usually this entails the accessing entity to proactively send specific instructions to the terminal equipment in order to receive back the targeted information. For example, this is the case for cookies, where the accessing entity instructs the terminal equipment to proactively send information on each subsequent HTTP (Hypertext Transfer Protocol) call. | 31. アクセスする事業体が端末機器に保存された情報へのアクセスを希望し、積極的にそのための措置を講じる場合は常に、ePD第5条第3項が適用される。通常、これには、アクセス事業体が、対象となる情報を受信するために、端末機器に特定の指示を積極的に送信することが必要となる。例えば、これはクッキーの場合であり、アクセス事業体は、後続の各 HTTP(ハイパーテキスト転送プロトコル)呼 び出しで情報を積極的に送信するよう端末機器に指示する。 |
32. That is equally the case when the accessing entity distributes software on the terminal of the user that will then proactively call an API (application programming interface) endpoint over the network. Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted content. Such access clearly falls within the scope of Article 5(3) ePD, as the accessing entity explicitly instructs the terminal equipment to send the information. | 32. アクセスする事業体がユーザーの端末にソフトウェアを配布し、そのソフトウェアがネットワークを介し てAPI(アプリケーション・プログラミング・インターフェース)エンドポイントを主体的に呼び出す場合も、 同様である。その他の例としては、アクセス事業体がユーザーのブラウザーに対して、対象となるコンテンツを含む非同期リクエストの送信を指示するJavaScriptコードがある。 このようなアクセスは、アクセス主体が端末機器に情報を送信するよう明示的に指示するため、明らかに ePD 第 5 条(3)項の適用範囲に入る。 |
33. In some cases, the entity instructing the terminal to send back the targeted data and the entity receiving information might not be the same. This may result from the provision and/or use of a common mechanism between the two entities. For example, one entity may have used protocols that imply the proactive sending of information by the terminal equipment which may be processed by the receiving entity. In these circumstances, Article 5(3) ePD may still apply. | 33. 場合によっては、端末に対象データの送り返しを指示する事業体と、情報を受信する事業 体が同一でないことがある。これは、2つの事業体間で共通のメカニズムが提供および/または使用されていることに起因する可能性がある。例えば、一方の事業体が、受信側事業体によって処理される可能性のある端末機器による積極的な情報送信を意味するプロトコルを使用している可能性がある。このような状況でも、ePD 第 5 条(3)が適用される可能性がある。 |
2.6 Notions of ‘Stored Information’ and ‘Storage’ | 2.6 「保存情報」と「保管」の概念 |
34. Storage of information in the sense of Article 5(3) ePD refers to placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment. | 34. 第 5 条(3)ePD の意味での情報の保管とは、ユーザーまたは加入者の端末機器の一部である 物理的な電子記憶媒体に情報を置くことを指す。 |
35. Typically, information is not stored in the terminal equipment of a user or subscriber through direct access by another party, but rather by instructing software on the terminal equipment to generate specific information. Storage taking place through such instructions is considered to be initiated directly by the other party. This includes making use of established protocols such as browser cookie storage as well as customized software, regardless of who created or installed the protocols or software on the terminal equipment. | 35. 通常、情報は、他者による直接アクセスによってユーザーまたは加入者の端末機器に保存されるのではなく、端末機器上のソフトウェアに特定の情報を生成するよう指示することによって保存される。このような指示によって行われる保存は、相手によって直接開始されたものとみなされる。これには、ブラウザクッキーストレージのような確立されたプロトコルの利用や、カスタマイズされたソフトウェアが含まれ、誰がそのプロトコルやソフトウェアを端末機器に作成またはインストールしたかは問わない。 |
36. The ePD does not place any upper or lower limit on the length of time that information must persist on a storage medium to be counted as stored, nor is there an upper or lower limit on the amount of information to be stored. | 36. ePD は、保存されたものとしてカウントされるために情報が記憶媒体上に存続しなければならな い時間の長さに上限または下限を設けず、保存される情報量に上限または下限を設けない。 |
37. Similarly, the notion of storage does not depend on the type of medium on which the information is stored. Typical examples would include hard disc drives (HDD), solid state drives (SSD), flash drives and random-access memory (RAM), but less typical scenarios involving a medium such as magnetic tape or central processing unit (CPU) cache are not excluded from the scope of application. The storage medium may be connected internally (e.g. through a SATA connection), externally (e.g. through a USB connection) or through a network protocol (e.g. a network-attached-storage device). | 37. 同様に、保存という概念は、情報が保存される媒体の種類に依存しない。典型的な例としては、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、フラッシュドライブ、ランダムアクセスメモリ(RAM)などが挙げられるが、磁気テープや中央処理装置(CPU)キャッシュなどの媒体を含む、あまり典型的でないシナリオも適用範囲から除外されない。記憶媒体は、内部(SATA接続など)、外部(USB接続など)、またはネットワークプロトコル(ネットワーク接続記憶装置など)を介して接続することができる。 |
38. As long as the networked storage medium constitutes a functional equivalent of a local storage medium (including the fact that its only purpose is for the user of the terminal equipment to store information that will be processed on the terminal equipment itself), that storage medium will be considered part of the terminal equipment. | 38. ネットワーク接続された記憶媒体がローカル記憶媒体と機能的に同等である限り(その唯一の目的が、端末機器のユーザーが端末機器自体で処理される情報を記憶することであることを含む)、その記憶媒体は端末機器の一部とみなされる。 |
39. Finally, ‘stored information’ may not just result from information storage in the sense of Article 5(3) ePD as described above (either by the same party that would later gain access or by another third party). It may also be stored by the user or subscriber, or by a hardware manufacturer, or any other entity; be the result of sensors integrated into the terminal; or be produced through processes and programs executed on the terminal equipment, which may or may not produce information that is dependent on or derived from stored information. | 39. 最後に、「保存された情報」は、上述の第 5 条(3)ePD の意味での情報保存(後にアクセスする同じパーテ ィ又は別のサードパーティによる)により生じるだけではない。また、利用者または加入者、ハードウェア製造者、またはその他の事業体によって保存される場合、端末に統合されたセンサーの結果である場合、端末装置上で実行されるプロセスおよびプログラムを通じて生成される場合もあり、これらのプロセスおよびプログラムは、保存された情報に依存または派生する情報を生成する場合も、生成しない場合もある。 |
3 USE CASES | 3 利用事例 |
40. Without prejudice of the specific context in which those technical categories can be used which are necessary to qualify whether Article 5(3) ePD is applicable, it is possible to identify, in a non-exhaustive manner, broad categories of identifiers and information that are widely used and can be subject to the applicability of Article 5(3) ePD. | 40. 第 5 条(3)ePD が適用されるかどうかを判断するために必要な技術仕様のカテゴリーが使用され得る 具体的な状況を害することなく、広く使用され、第 5 条(3)ePD の適用可能性の対象となり得る識別 子および情報の大まかなカテゴリーを、非網羅的な方法で特定することが可能である。 |
41. Network communication usually relies on a layered model that necessitates the use of identifiers to allow for a proper establishment and carrying out of the communication. The communication of those identifiers to remote actors is instructed through software following agreed upon communication protocols. As outlined above, the fact that the receiving entity might not be the entity instructing the sending of information does not preclude the application of Article 5(3) ePD. This might concern routing identifiers such as the MAC or IP address of the terminal equipment, but also session identifiers (SSRC, Websocket identifier), or authentication tokens. | 41. ネットワーク・コミュニケーションは、通常、通信の適切な確立と実行を可能にする識別子の使用を必 要とするレイヤ・モデルに依存している。これらの識別子を遠隔地にいる行為者に伝達することは、合意された通信プロトコルに従ったソフトウェアを通じて指示される。上述したように、受信事業体が情報の送信を指示する事業体でない可能性があるという事実は、ePD第5条3項の適用を妨げるものではない。これは、端末機器の MAC アドレスや IP アドレスのようなルーティング識別子だけでなく、セッション識別子(SSRC、Websocket 識別子)、または認証トークンに関する場合もある。 |
42. In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag or HSTS) or other functionalities (cookies being one of them). Once again, the abuse of those mechanisms (for example in the context of fingerprinting or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD. | 42. 同じように、アプリケーションプロトコルは、コンテキストデータ(「accept」フィールドやユーザエージェントを含むHTTPヘッダなど)、キャッシュメカニズム(ETagやHSTSなど)、または他の機能(クッキーはその一つ)を提供するためのいくつかのメカニズムを含むことができる。繰り返しになるが、(例えばフィンガープリンティングやリソース識別子の追跡の文脈で)これらのメカニズムを悪用すると、ePD 第 5 条(3)項が適用される可能性がある。 |
43. On the other hand, there are some contexts in which local applications installed in the terminal uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not be subject to Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed through the communication network, Article 5(3) ePD may apply. | 43. 一方、スマートフォンのシステム API(カメラ、マイク、GPS センサ、アクセラレータチッ プ、無線チップ、ローカルファイルアクセス、コンタクトリスト、識別子のアクセスなど)のように、端末にインストー ルされたローカルアプリケーションが端末内部で厳密に情報を使用するコンテキストもある。また、デバイス内部に保存された情報や生成された情報(クッキー、ローカルストレージ、WebSQL、あるいはユーザー自身によって提供された情報など)を処理するウェブブラウザの場合もそうかもしれない。アプリケーションによるこのような情報の使用は、情報がデバイスから出ない限り、第5条3項ePDの対象とはならないが、この情報またはこの情報の派生物がコミュニケーション・ネットワークを通じてアクセスされる場合、第5条3項ePDが適用される可能性がある。 |
44. Finally, in some cases malicious software elements are distributed over a network by actors, for example crypto mining software or more generally malware, exploiting the processing abilities of the terminal for the benefit of the distributing actor. While that software may only establish a network connection that would trigger the application of Article 5(3) ePD at a later stage (for example to retrieve a computed result), the sole fact that the software instructing the nefarious processing has been distributed over a network would imply the application of Article 5(3) ePD. | 44. 最後に、悪意のあるソフトウェア要素が、例えば暗号マイニングソフトウェアやより一般的なマルウェアのように、配布行為者の利益のために端末の処理能力を悪用する行為者によってネットワーク上で配布される場合がある。そのソフトウェアは、後の段階(例えば、計算された結果を取得するため)で第 5 条(3)項 ePD の適用を引き起こすネットワーク接続を確立するだけかもしれないが、不正な処理を指示するソフトウェアがネットワーク上で配布されたという事実だけで、第 5 条(3)項 ePD の適用を意味する。 |
45. For a subset of these categories that present a specific interest, either because of their widespread usage or because a specific study is warranted with regards to the circumstances of their use, a specific analysis is provided below. | 45. これらのカテゴリのうち、広く使用されているため、またはその使用状況に関して特定の調査が正当化されるため、特定の関心を示すサブセットについては、以下に具体的な分析を示す。 |
3.1 URL and pixel tracking | 3.1 URLとピクセルのトラッキング |
46. A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the content itself; its sole purpose is to establish a communication by the client to the host of the pixel, which would otherwise not have occurred. Establishment of a communication transmits various information to the host of the pixel, depending on the specific use case. | 46. トラッキングピクセルとは、ウェブサイトや電子メールなどのコンテンツに埋め込まれたリソース(通常は画像ファイル)へのハイパーリンクのことである。このピクセルは通常、コンテンツ自体とは無関係の目的を果たす。その唯一の目的は、クライアントがピクセルのホストとコミュニケーションを確立することであり、それ以外の方法では発生しない。コミュニケーションの確立により、特定のユースケースに応じて、様々な情報がピクセルのホストに送信される。 |
47. In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. Tracking pixels on websites may link to an entity aggregating many such requests and thus being able to track users’ behaviour. Such tracking pixels may also contain additional identifiers as part of the link. These identifiers may be added by the owner of the website, possibly related to the user’s activity on that website. They may also be dynamically generated through client-side applicative logic. In some cases, links to legitimate images may also be used for the same purpose by adding additional information to the link. | 47. 電子メールの場合、送信者は、受信者がいつ電子メールを読んだかを検知するために、トラッキングピクセルを含めることができる。ウェブサイト上のトラッキングピクセルは、そのような多数のリクエストを集約する事業体にリンクし、ユーザーの行動を追跡できる場合がある。このようなトラッキングピクセルは、リンクの一部として追加の識別子を含むこともある。これらの識別子は、ウェブサイトの所有者によって追加される場合があり、そのウェブサイトでのユーザーの行動に関連する場合がある。また、クライアント側のアプリケーションロジックによって動的に生成される場合もある。場合によっては、正当な画像へのリンクも、リンクに追加情報を追加することで、同じ目的で使用されることがある。 |
48. Tracking links are functioning in the same way, but the identifier is appended to the website address. When the URL (Uniform Resource Locator) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by websites to identify the origin of their inbound source of traffic. For example, e-commerce websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing. | 48. トラッキングリンクも同様に機能するが、識別子はウェブサイトのアドレスに付加される。URL(Uniform Resource Locator)がユーザーによって訪問されると、対象となるウェブサイトは要求されたリソースをロードするが、リソースの識別という点では関係のない識別子も収集する。これらは、ウェブサイトがインバウンドのトラフィック・ソースの発信元を特定するために、非常に一般的に使用されている。例えば、電子商取引ウェブサイトは、そのドメインで使用するために、追跡リンクをパートナーに提供することができ、電子商取引ウェブサイトは、どのパートナーが販売に責任があり、手数料を支払うかを知ることができる。 |
49. Both tracking links and tracking pixels can be distributed through a wide variety of channels, for example through emails, websites, or even, in the case of tracking links, through any kind of text messaging systems. | 49. トラッキングリンクとトラッキングピクセルは、電子メール、ウェブサイト、あるいはトラッキングリンクの場合、あらゆる種類のテキストメッセージングシステムなど、多種多様なチャネルを通じて配布することができる。 |
50. Under the condition that said pixel or tracked URL have been distributed over a public communication network, it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable. | 50. 当該ピクセルやトラッキングURLが公衆通信網を通じて配布されたという条件下では、少なくともクライアント側ソフトウェアのキャッシュメカニズムを通じて、通信網利用者の端末機器に保存されることは明らかである。そのため、ePD第5条3項が適用される。 |
51. The inclusion of such tracking pixels or tracked links in the content sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier). In the case of dynamically constructed tracking pixels, it is the distribution of the applicative logic (usually a JavaScript code) that constitutes the instruction. As a consequence, it can be considered that the collection of the identifiers provided by tracking pixels and tracked URL do constitute a ‘gaining of access’ in the meaning of Article 5(3) ePD and thus the latter is applicable to that step as well. | 51. ユーザーに送信されるコンテンツにこのようなトラッキングピクセルまたはトラッキングリンクが含まれることは、端末機器に対し、対象となる情報(識別)を返送するよう指示することになる。動的に構築されたトラッキングピクセルの場合、指示を構成するのはアプリケーションロジック(通常はJavaScriptコード)の配布である。結果として、トラッキングピクセル及びトラッキングされたURLによって提供される識別子の収集は、ePD第5条(3)の意味における「アクセスの獲得」を構成し、従って後者はそのステップにも適用されると考えることができる。 |
3.2 Local processing | 3.2 ローカル処理 |
52. Some technologies rely on local processing instructed by software distributed on users’ terminal, where the information produced by the local processing is then made available to selected actors through client-side API. This may for example be the case for an API provided by the web browser, where locally generated results may be accessed remotely. | 52. 一部の技術は、利用者の端末に分散されたソフトウェアによって指示されるローカル処理に依存し、ローカル処理によって生成された情報は、クライアント側のAPIを通じて選択された関係者が利用できるようになる。これは例えば、ウェブブラウザによって提供されるAPIの場合であり、ローカルで生成された結果にリモートでアクセスすることができる。 |
53. If at any point and for example in the client-side code, the processed information made available is being sent back over the network, for example to a server, such an operation (instructed by the entity producing the client-side code distributed on the user terminal) would constitute a ‘gaining of access to information already stored’. The fact that this information is being produced locally does not preclude the application of Article 5(3) ePD. | 53. どの時点でも、例えばクライアント側のコードにおいて、利用可能にされた処理された情報がネットワークを介して、例えばサーバーに送り返される場合、そのような操作(ユーザー端末に配布されるクライアント側のコードを生成する事業体によって指示される)は、「既に保存された情報へのアクセスの獲得」を構成する。この情報がローカルで作成されているという事実は、ePD第5条3項の適用を妨げるものではない。 |
3.3 Tracking based on IP only | 3.3 IPのみに基づく追跡 |
54. Some providers are developing advertising solutions that only rely on the collection of one component, namely the IP address, in order to track the navigation of the user, in some case across multiple domains. In that context Article 5(3) ePD could apply even though the instruction to make the IP available has been made by a different entity than the receiving one. | 54. プロバイダの中には、ユーザーのナビゲーションを追跡するために、1つの要素、すなわちIPアドレスの収集にのみ依存する広告ソリューションを、場合によっては複数のドメインにわたって開発しているところもある。このような場合、IP を利用可能にする指示が、受信側とは異なる事業体によって行われたとしても、 ePD 第 5 条(3)項が適用される可能性がある。 |
55. However, gaining access to IP addresses would only trigger the application of Article 5(3) ePD in cases where this information originates from the terminal equipment of a subscriber or user. While it is not systematically the case (for example when CGNAT is activated), the static outbound IPv4 originating from a user’s router would fall within that case, as well as IPV6 addresses since they are partly defined by the host. Unless the entity can ensure that the IP address does not originate from the terminal equipment of a user or subscriber, it has to take all the steps pursuant to the Article 5(3) ePD. | 55. しかしながら、IPアドレスにアクセスできるようになるのは、この情報が加入者またはユー ザーの端末機器から発信された場合に限り、第5条3項ePDの適用を引き起こす。システム的にそうなっているわけではないが(例えば、CGNAT が有効化されている場合)、ユ ーザのルータから発信される静的なアウトバウンド IPv4 は、IPV6 アドレスと同様に、ホストに よって部分的に定義されるため、このケースに該当するであろう。事業体は、IP アドレスがユーザまたは加入者の端末機器から発信されたものでないことを確 認できない限り、ePD 第 5 条(3)に従ったすべての措置を講じなければならない。 |
3.4 Intermittent and mediated IoT reporting | 3.4 断続的かつ媒介的な IoT 報告 |
56. IoT (Internet of Things) devices produce information continuously over time, for example through sensors embedded in the device, which may or may not be locally pre-processed. In many cases, information is made available to a remote server, but the modalities for that collection varies. | 56. IoT(Internet of Things)機器は、例えば機器に組み込まれたセンサーなどを通じて、時 間にわたって継続的に情報を生成する。多くの場合、情報はリモートサーバーに提供されるが、その収集方法は様々である。 |
57. Some IoT devices have a direct connection to a public communication network, for example through the use of WIFI or a cellular SIM card. IoT devices might be instructed by the manufacturer to always stream the collected information, yet still locally cache the information first, for example until a connection is available. | 57. IoTデバイスの中には、例えばWIFIや携帯電話SIMカードの使用を通じて、公衆通信網に直接接続するものもある。IoTデバイスは、収集された情報を常にストリーミングするよう製造業者によって指示されるかもしれないが、それでもなお、例えば接続が利用可能になるまで、情報をまずローカルにキャッシュする。 |
58. Other IoT devices do not have a direct connection to a public communication network and might be instructed to relay the information to another device through a point-to-point connection (for example, through Bluetooth). The other device is generally a smartphone which may or may not preprocess the information before sending it to the server. | 58. 他のIoTデバイスは、公衆通信網への直接接続を持たず、ポイント・ツー・ポイント接続を通じて(例えばブルートゥースを通じて)他のデバイスに情報を中継するよう指示される場合がある。他のデバイスは一般的にスマートフォンであり、サーバーに送信する前に情報を前処理してもしなくてもよい。 |
59. In the first case the IoT device, where it is connected to a public communications network, would itself be considered a terminal. The fact that the information is streamed or cached for intermittent reporting does not change the nature of that information. In both situations Article 5(3) ePD would apply as it is, through the instruction of the IoT device to send the dynamically stored data to the remote server, there is ‘gaining of access’. | 59. 最初のケースでは、IoTデバイスは公衆通信網に接続されており、それ自体が端末とみなされる。情報が断続的な報告のためにストリーミングまたはキャッシュされるという事実は、その情報の性質を変えるものではない。いずれの状況においても、動的に保存されたデータをリモートサーバーに送信するよう IoT デバイスが指示することで、「アクセスの獲得」が行われるため、ePD 第 5 条 3 項がそのまま適用される。 |
60. In the case of IoT devices connected to the network via a relay device (a smartphone, a dedicated hub, etc.) with a purely point to point connection between the IoT device and the relay device, the transmission of data to the relay could fall outside of the Article 5(3) ePD as the communication does not take place on a public communication network. However, the information received by the relay device would be considered stored by a terminal and Article 5(3) ePD would apply as soon as this relay is instructed to send that information to a remote server. | 60. 中継機器(スマートフォン、専用ハブ等)を介してネットワークに接続され、IoT 機器と中継 機器が純粋に point to point で接続されている IoT 機器の場合、中継機器へのデータ送信は公衆通信網上 で行われないため、第5条第3項ePDの適用外となる可能性がある。 しかし、中継装置によって受信された情報は端末によって保存されたものとみなされ、この中継装置がその情報をリモートサーバーに送信するよう指示された時点で、第5条3項ePDが適用されることになる。 |
3.5 Unique Identifier | 3.5 一意識別子 |
61. A common tool used by advertising companies is the notion of ’unique identifiers‘ or ’persistent identifiers‘. Such identifiers are usually derived from persistent personal data (name and surname, email, phone number, etc.), that is hashed on the user’s device, collected and shared amongst several controllers to uniquely identify a person over different datasets (usage data collected through the use of website or application, customer relation management (CRM) data related to online or offline purchase or subscription, etc.). On websites, the persistent personal data is generally obtained in the context of authentication or the subscription to newsletters. | 61. 広告会社が使用する一般的な手段は、「一意識別子」または「永続識別子」という概念である。このような識別子は通常、永続的な個人データ(氏名、姓、電子メール、電話番号など)から導出され、異なるデータセット(ウェブサイトやアプリケーションの使用を通じて収集される使用データ、オンラインまたはオフラインの購入や購読に関連する顧客関係管理(CRM)データなど)上で個人を一意に識別するために、ユーザーのデバイス上でハッシュ化され、収集され、複数のデータ管理者の間で共有される。ウェブサイト上では、永続的個人データは一般的に本人認証やニュースレターの購読に関連して取得される。 |
62. As outlined before, the fact that the information is being inputted by the user would not preclude the application of Article 5(3) ePD with regards to storage, as this information is stored temporarily on the terminal before being collected. | 62. 前述のとおり、この情報は収集される前に端末に一時的に保存されるため、情報がユーザーによって入力されるという事実は、保存に関して ePD 第 5 条(3)項の適用を妨げるものではない。 |
63. In the context of ‘unique identifier’ collection on websites or mobile applications, the entity collecting is instructing the browser (through the distribution of client-side code) to send that information. As such a ’gaining of access’ is taking place and Article 5(3) ePD applies. | 63. ウェブサイトやモバイルアプリケーションでの「一意識別子」収集の文脈では、収集する事業 体は、(クライアント側コードの配布を通じて)ブラウザにその情報を送信するよう指示する。そのため、「アクセス権の獲得」が行われ、ePD第5条3項が適用される。 |
[1] References to ‘Member States’ made throughout this document should be understood as references to ‘EEA Member States’. | [1] 本文書全体を通じて「加盟国」とあるのは、「EEA 加盟国」を指すものと理解すること。 |
[2] WP29 Opinion 4/2012 on Cookie Consent Exemption, WP 194, p. 2. | [2] クッキーによる同意の例外に関する意見書4/2012 WP 194, p. 2. |
[3] WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting. | [3] デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見 9/2014. |
[4] Judgement of the Court of Justice of 1 October 2019, Planet 49, Case C‑673/17, ECLI:EU:C:2019:801, paragraph 70. | [4] 2019年10月1日の司法裁判所の判決、プラネット49、ケースC-673/17、ECLI:EU:C:2019:801、パラグラフ70。 |
[5] Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (Codified version), Article 1(1). | [5] 電気通信端末機器市場における競争に関する2008年6月20日の欧州委員会指令2008/63/EC(成文化版)、第1条(1)。 |
[6] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive) | [6] 電子通信ネットワークおよびサービスの共通規制枠組みに関する2002年3月7日の欧州議会および理事会指令2002/21/EC(枠組み指令)。 |
[7] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1). | [7] 2018年12月11日の欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)を制定し、EEAに関連するテキスト、第2条(1)。 |
[8] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1). | [8] 2018年12月11日付欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)、EEA関連テキスト、第2条1項を制定した。 |
[9] Article 2 ePD defines the user as ‘any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service’. In addition, Article 3 ePD states that it should apply in the context of ‘the provision of publicly available electronic communications services in public communications networks’. Finally, the terminal equipment itself as defined in the Directive 2008/63/EC is described as ‘equipment directly or indirectly connected to the interface of a public telecommunications network’. | [9] ePD第2条は、ユーザーを「必ずしもこのサービスに加入していなくても、私的または事業目的で、公に利用可能な電子通信サービスを利用する自然人」と定義している。さらに、ePD第3条は、「公衆通信網における公衆利用可能な電子通信サービスの提供」という文脈で適用されるべきであると述べている。最後に、指令2008/63/ECで定義されている端末機器自体は、「公衆通信網のインターフェースに直接または間接的に接続されている機器」と説明されている。 |
[10] Recital 26 ePD, see paragraph 17 above. | [10] ePDのリサイタル26、上記パラグラフ17を参照のこと。 |
[11] As defined in section 2.3 of these Guidelines. | [11] 本ガイドラインのセクション2.3で定義されている。 |
[12] Carrier-grade NAT or CGNAT is used by Internet service providers to maximise the use of limited IP address space. It groups a number of subscribers under the same public IP address. | [12] キャリアグレードNATまたはCGNATは、限られたIPアドレス空間を最大限に利用するためにインターネットサービスプロバイダによって使用される。これは、多数の加入者を同一のパブリックIPアドレスの下にグループ化する。 |
« 米国 連邦CIO室 意見募集 政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進 (2023.11.01) | Main | ENISA EUにおけるサイバーセキュリティ投資 2023 »
Comments