TTDSG (電気通信・テレメディアデータ保護法) の導入により、ドイツおよび欧州のデータ保護規定の多くが標準化されました。しかし、この法案を遵守するには、いくつかの事項に注意しつつ特定の要件を満たす必要があります。本記事では、TTDSG とは何かについて、その適用対象と条項を説明しながら紐解きます。最も大きな変更があった Cookie の取り扱いについても詳しく取り上げます。さらに、TTDSG を遵守するにあたり Stripe をどう活用できるか、またコンプライアンス違反に対する罰則について説明します。
本記事の内容
- TTDSG とは
- TTDSG の適用対象
- Cookie の取り扱いに対する TTDSG の規制
- TTDSG で定められているその他の重要な条項
- TTDSG のコンプライアンス違反に対する罰則
- TTDSG 遵守のための Stripe の活用法
TTDSG とは
TTDSG は、2021 年 12 月 1 日にドイツで制定された Telekommunikation-Telemedien-Datenschutz-Gesetz (電気通信・テレメディアデータ保護法) の略名です。この連邦法の正式名は「電気通信およびテレメディアにおけるデータ保護およびプライバシー保護を規制する法律」です。TTDSG は、法令の適用の調和と円滑化を図り、電子通信法 (TKG)、テレメディア法 (TMG)、一般データ保護規制 (GDPR)、電子通信に関するデータ保護指令 (指令 2002/58/EC、別名「eプライバシー指令」) といった国内および欧州レベルでのデータに対する既存のデータ保護規制を統合および簡素化することで法的明瞭性を高めています。TTDSG は、デジタルサービスのユーザーの利益と企業の利益の公正なバランスを保証しています。
TTDSG の主な目的はデジタル世界でのデータ保護とプライバシー保護です。そのため、TTDSG には、Cookie の使用、ユーザーデータの保護、未成年の個人を特定できる情報の処理、電子通信におけるプライバシー、デジタル取得、サービスプロバイダーによる株式および使用データに関する情報の発行などを含む、数多くの規定が盛り込まれています。
TTDSG は、4 つの条項で構成され、第 1 条および第 4 条は一般規定、罰則および罰金に関する規制、監督責任を定めています。第 2 条は電子通信におけるデータ保護とプライバシー保護に関する規定を定めています。第 3 条はテレメディアおよび端末装置におけるデータ保護を規制しています。
TTDSG の適用対象
第 2 条に基づき、TTDSG はテレメディアのすべてのプロバイダー (「当該規定に関わる独自もしくは第三者のテレメディアを提供するか提供に関わる、または独自もしくは第三者のテレメディアの利用へのアクセスを仲介するすべての自然人もしくは法人」) に適用されます。TTDSG では「テレメディア」という用語は明示的に説明されていませんが、TMG 第 1 条では「すべての電子情報および通信サービス」と定義されています。これは、ウェブサイト、検索エンジン、オンラインショップ、モバイルアプリが含まれることを意味します。ただし、TMG の範囲に該当しない、そのため TTDSG の範囲にも該当しない純粋に個人として行為するプロバイダーは除外されます。何が「個人」と見なされるかついては、税務署の判断に委ねる必要があります。判断の根拠となるのは、税務署がウェブサイトといったあるテレメディアを収入源として見なすかどうかです。TTDSG は、ドイツで登録済みのすべての企業およびドイツ市場に物品やサービスを提供する企業に対して例外なく適用されます。
Cookie の取り扱いに対する TTDSG の規制
ドイツにおける以前のデータ保護規制と比較すると、TTDSG には Cookie の取り扱いに関する新たな規制のあり方が取り入れられています。Cookies とは小さなテキストファイル形式のデータで、ユーザーがあるウェブサイトにアクセスしたときにそのユーザーのブラウザーに一時的に保管されます。Cookie はこのユーザーが再びアクセスしたときに、そのウェブサイトの運営者のウェブサーバーによって取得されます。こうした Cookie は、ユーザーに応じて適切な言語が表示されるようにするために使われることがあります。広告のカスタマイズやユーザーの名前を使っての挨拶などにも使うことができるため、広告主にとって特に有用であると言えます。Cookies はウェブサイトの運営者または第三者によって使用されます。
TTDSG 第 25 条 (端末装置でのプライバシー保護) では、Cookie、ならびにブラウザーフィンガープリンティング、MAC アドレスの使用などの同等の追跡手法は、エンドユーザーが明確かつ包括的な情報に基づき同意した場合にのみ許可されることを明確に定めています。ウェブサイトを運営する企業は、個人を特定できる情報の処理に対しユーザーが同意する範囲について明示的に尋ねる必要もあります。ただし、ウェブサイトの運営に必要とされる技術的な Cookie は除外されます。このような Cookie では同意の取得は不要です。例えば、買い物カートの内容や言語バージョンの表示、決済、同意の付与もしくは取り消しのために使用される Cookie が挙げられます。
Cookie を使用する企業は、その旨を知らせる通知をウェブサイトに掲載する必要があります。こうした通知では、監督当局、消費者保護協会、競合他社による自社への措置を回避するために特定の法的要件を満たす必要があります。個人の利用者は補償を請求することもできます。Cookie に関するバナーを、その情報とクリック可能なオプションを含めて、ウェブサイトへのアクセス時に明確に表示する必要があります。また、Cookie をすべて受け入れるか、必須のものだけを受け入れるかをユーザーが選択できるようにする必要もあります。さらに、ユーザーが特定の種類の処理とサードパーティープロバイダーについて細やかなプライバシー設定をできるようにすることも可能です。
企業は、すべての法的要件を確実に満たすために、Cookie に関する通知の文言に含める情報を慎重に検討する必要があります。大まかなガイドとして以下のテンプレートを使用できます。
「弊社および弊社のサードパーティープロバイダーは、IP アドレスやブラウザーデータなどの個人情報を処理するために、ユーザーのデバイス条の情報を保管および取得するために Cookie などの技術を使用します。ユーザーは、以下の処理目的で自身の個人データを処理することに同意できます。同意するか拒否する前に、自身が希望する設定を行うこともできます。データ保護設定はいつでも変更できます。Cookie 設定で同意を撤回することもできます。」
必要とされる Cookie 情報の作成に関するさらに詳しい例として、Stripe のウェブサイトの文言、およびこのウェブサイトに掲載されている Cookie ポリシー をご利用いただけます。重要なのは、Cookie に関するバナーが法的な最低要件を満たしていることです。以下のチェックリストをご覧ください。
Cookie に関するバナーのチェックリスト
- Cookie はユーザーが同意するまで無効にしておく必要があります。
- 同意はユーザー自身が能動的に付与する必要があります。事前入力は許可されていません。
- バナーには、少なくとも「同意する」ボタンと「拒否する」ボタンが含まれている必要があります。
- これらのボタンは同じ程度に目立つように提示されている必要があります。例えば「同意する」ボタンだけが明るい色で強調されているようなものであってはなりません。
- 個別のツール (プライバシーポリシーに記載) のそれぞれの意図された処理目的、プロバイダーとツールの数、および EU 外の場合は採用している追跡サービスの登記上の事務所について、完全な情報をユーザーに提供する必要があります。
TTDSG で定められているその他の重要な条項
TTDSG が規制しているものにデータ処理の安全性もあります。そのため、テレメディアプロバイダーは技術的かつ組織的なデータ保護対策を講じることを余儀なくされています。また、児童や若年層の人を明示的に保護することが求められているため、これらの人の年齢を確定するために収集したデータを商業目的で使用することはできません。テレメディアプロバイダーは、公的な調査の場合であっても、自社のユーザーに関する特定のデータのみを開示することが許可されています。
また、TTDSG には通信の機密保持 (第 9 条〜第 13 条)、トラフィックおよび位置データ (第 14 条〜第 16 条)、迷惑通話に使用された電話番号の開示、発信者番号および自動通話転送の表示と非表示、および電話案内 (第 17 条〜第 18 条) に関する条項も含まれています。
TTDSG のコンプライアンス違反に対する罰則
TTDSG 第 27 条〜第30条は罰則と罰金を定めており、違反が起きた際の監督と罰則の責任も規定しています。第 25 条第 (1) 項 (ユーザーに対する上記 Cookie の有効化への同意の促進) に違反した企業には最大 30 万ユーロの罰金が科される場合があります。その他の違反も 5 桁または 6 桁の高額な罰金が科される場合があります。機密保持違反には罰金に加え最長 2 年間の禁錮が科される場合があります。テレメディアにおけるプライバシーは例外で一般刑法 (StGB) が適用され、違反が合った場合、第 206 条に基づき罰金または最長 5 年の禁錮が科されます。
ドイツ連邦共和国データ保護機関 (BfDI) は、自然人および法人の個人を特定できる情報の処理を監督する機関です。ドイツ連邦ネットワーク庁 (BNetzA) は TTDSG の第 1 条および第 2 条の条項遵守を監督します。
TTDSG 遵守のための Stripe の活用法
Stripe は、主に、法令に則した Cookie の使用を通じて、企業および加盟店の TTDSG 遵守を支援しています。Stripe は自社のウェブサイト だけでなく、Stripe のサービスを利用する企業と加盟店のウェブサイトでも Cookie を使用しています。
Stripe のウェブサイトでは、以下の Cookie が使用されています。
- 機能 Cookie: ウェブサイトと提供サービスを正常に機能させる Cookie です。例えば、この Cookie はユーザーの所在地に応じて適切な情報を表示します。
- セキュリティ Cookie: ユーザーデータを不正アクセスから保護する Cookie です。
- 認証 Cookie: Stripe はユーザーが Stripe のサービスを利用するたびに再登録を行わないで済むようにユーザーを「記憶する」ためにこの Cookie を使用できます。
- 分析 Cookie: この Cookie により、Stripe は提供サービスに対する訪問者のインタラクションを追跡して、サービスの評価と改善を実施できるようになります。
- 広告 Cookie: この Cookie により、他のウェブサイトにアクセスしているユーザーに Stripe の広告を表示し、それに対する反応を測定できるようになります。
- サードパーティー Cookie: Stripe は、Facebook、Google、LinkedIn といった、マーケティングや分析のための Cookie を使用するサードパーティーの Cookie も使用します。
上記およびその他の Cookie は、Stripe の利用者のウェブサイトでも使用することができます。この場合でも、ウェブサイトのユーザーから明示的な同意を得る必要があります。決済の受け入れと最適化または財務処理の自動化など、どの Stripe のサービスを埋め込むかに関わらず、Stripe の営業チームは、コンテンツや技術的なオプションについて、また TTDSG を遵守が求められる法規定についての総合アドバイスを提供します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。