EUの録音法:GDPR、AI Act、同意ルール、国別ガイド(2026年版)

欧州連合内のどこであっても、電話、ビデオ会議、対面での会話を録音する行為は、少なくとも二つ、場合によっては三つの法的枠組みに同時に規律される。加盟国の刑法は、録音が犯罪行為に当たるかどうかを定める。GDPRは、その録音が適法な個人データ処理に当たるかどうかを定める。そして2025年以降は、録音の取得、生成、または改変に人工知能ツールが関与する場合、EUのAI Actが追加の義務を課す。
本ガイドでは、これらの規制層がどのように関わり合うかを解説し、EU加盟27か国すべての同意ルールを整理したうえで、詳細な分析を掲載する各国別ページへのリンクを示す。
クイックアンサー:EU共通の単一の録音法は存在するか
存在しない。欧州連合はこれまで、統一的な録音同意法を制定したことがない。欧州における録音法は、連邦制に似た構造で運用されている。EUはデータ保護とAIに関するルールを一律に定めるが、同意のない録音を禁じる刑事上の規定そのものは、完全に各加盟国に委ねられている。
実務上の帰結として、同一の電話であっても、どの国の法律が各参加者に適用されるかによって、一方の端では完全に適法であるにもかかわらず、他方の端では刑事犯罪となる場合がある。
EUが一律に提供しているのは、データ保護の規制層である。GDPRは、例外なくすべての加盟国において、すべての管理者および処理者に適用される。したがって、録音が刑事上許容されるかどうかにかかわらず、その録音はGDPRの適法根拠、透明性、データ最小化の要件も満たさなければならない。
なぜEU共通の単一の録音法が存在しないのか
EUの立法権限は、私的通信に関する加盟国の刑法にまでは及ばない。欧州連合機能条約(TFEU)第83条は、特に重大な国境を越える犯罪について最低限のルールを定める権限をEUに認めているが、盗聴や私的録音がこの権限のもとで統一されたことはない。
その代わりに、EU法はデータ保護と電気通信規制を通じて、この分野を間接的に規律している。ePrivacy指令2002/58/ECは、加盟国に対し、同意のない電子通信の傍受を禁止するよう求めているが、これは規則(regulation)ではなく指令(directive)である。各加盟国はそれぞれ異なる方法でこれを国内法化しており、違反に対して定めた刑事罰の内容も大きく異なる。
その結果、27通りの異なる刑事上のルールが存在し、そのすべてが一律のGDPR義務と、現在ではAI Actの一律の義務によって包まれている。EUの録音法を理解するということは、こうした一律のEU規制層と、その下にある国ごとの刑事ルールの双方を理解することを意味する。
どこにでも適用されるEUの法的規制層
普遍的な上乗せ規制としてのGDPR

一般データ保護規則(規則2016/679、GDPR)は、2018年5月25日以降、すべての加盟国に直接適用されている。これは指令ではなく規則であるため、各国による国内法化を経ることなく、一律の効力を有する。
識別可能な人物の音声を録音したものは、いずれもGDPR第4条(1)にいう個人データに該当する。その録音の取得、保存、アクセス、共有を含む個人データの処理には、第6条に基づく適法根拠が必要である。利用できる適法根拠は次の6つである。
- 同意(第6条(1)(a)):自由に、特定の目的について、十分な情報を得たうえで、明確に録音に同意すること。
- 契約の履行(第6条(1)(b)):録音される人物との契約を履行するために録音が必要であること。
- 法的義務(第6条(1)(c)):EU法または国内法が録音を義務付けていること(例えば金融取引に関するMiFID II)。
- 生命に関する利益(第6条(1)(d)):人の生命を保護するために録音が必要であること。
- 公共の任務(第6条(1)(e)):EU法または国内法に基づき公共の利益のために遂行される任務のために録音が必要であること。
- 正当な利益(第6条(1)(f)):正当な利益が追求されており、その目的のために録音が必要であり、かつ録音される人物の権利および自由がこれに優先しないこと。
適法根拠を選ぶことで検討が終わるわけではない。GDPRはさらに、透明性(第13条・第14条に基づく通知を録音の前または録音時に行うこと)、目的の限定(整合的な新たな根拠なしに録音を別の目的に転用してはならないこと)、データの最小化(必要な範囲でのみ録音すること)、保存の制限(保存期間を定めて遵守すること)、そして適切な安全管理措置(第32条)を求めている。
家庭内利用の例外。 前文第18項に基づく例外により、純粋に個人的または家庭内での録音はGDPRの適用範囲から除外される。個人的な備忘のために家族の会話を録音することは、この例外の対象となる。しかしこれを共有、公表、または商業的に利用すれば、この例外は直ちに適用されなくなる。
報道目的の例外。 第85条は、加盟国に対し、報道、学術、芸術、または文芸の目的について、データ保護と表現の自由を調和させることを求めている。この例外の実施の仕方は、加盟国により大きく異なる。欧州司法裁判所(CJEU)は、Buivids事件(C-345/17、2019年)において、警察官を撮影した映像をYouTubeで公表する行為は、その目的が公衆への情報開示にある場合には、報道目的の例外の対象となりうると判示した。
ePrivacy指令2002/58/EC
ePrivacy指令は、電子通信の秘密を規律するものである。第5条(1)は、加盟国が、関係する利用者の同意なく電子通信の聴取、傍受、保存、監視を許容することを禁じている。
第5条(2)は、限定的な業務上の例外を設けている。商取引の証拠を提供する目的で、適法な業務の一環として行われる録音は認められる。これは、発信者への事前通知を条件として、カスタマーサービスや営業のための通話録音を行う際の法的根拠となっている。
同指令を直接適用可能な規則に置き換えることを目指したePrivacy規則案は、2017年1月に初めて提案された。8年にわたる立法上の膠着状態の末、欧州委員会はより広範な規制簡素化の取組みの一環として、2025年2月にこの提案を正式に撤回した。2009年に改正された2002年の指令が、引き続き運用上の枠組みとなっている。
ePrivacy指令は指令であるため、その第5条の要件は加盟国ごとに異なる形で国内法化されている。ドイツの実施法(TDDDG)、フランスの実施(郵便電気通信法典(Code des postes et des communications electroniques)に基づく)、そして他の加盟国における実施は、それぞれ国ごとの独自の要素を加えている。
EUのAI Act:第5条および第50条(規則2024/1689)
EUのAI Act(規則2024/1689)は、2024年8月1日に発効した。その規定は段階的に適用される。
第5条:禁止行為(2025年2月2日発効)。 第5条は、一定のカテゴリーのAI応用を全面的に禁止している。録音に最も直接関係する禁止行為は、法執行目的で公にアクセス可能な場所において使用されるリアルタイム遠隔生体識別システムの禁止である。「リアルタイム」の生体識別とは、生きた映像または音声のフィードを処理し、生体データをデータベースと照合することにより個人を識別することをいう。この手法、例えば監視カメラ映像による顔認証は、原則として禁止される。
加盟国は、個別に列挙された重大犯罪、行方不明者の捜索、差し迫ったテロの脅威について、国内法により限定的な例外を設けることができるが、多くの場合、事前の司法審査または独立した行政機関による許可を条件とする。欧州委員会は、各禁止行為の範囲を明確化するため、2025年4月に禁止されるAI慣行に関するガイドラインを公表した。
第5条はまた、生体データに基づいて個人を分類し、政治的意見、宗教的信条、性的指向といった機微な属性を推測するAIシステムも禁止している。話者をこうした属性によって自動的にプロファイリングするAIを搭載した録音システムは、この禁止の対象となる。
第50条:AI生成コンテンツに関する透明性(2026年8月2日適用開始)。 第50条は、合成音声、画像、映像、テキストを生成するAIシステムの提供者および導入者に対し、開示義務を課している。録音やメディアに最も直接関係する義務は、次の二つである。
第一に、AIによって生成または加工された音声、画像、映像のコンテンツ(ディープフェイク)は、それが実在の人物を描写する場合、人工的に生成または加工されたものである旨を開示しなければならない。この義務は導入者に課され、明確に判別可能な方法で行わなければならない。ただし、正当に許可された法執行目的での使用や、適切な開示を伴う相応の芸術作品については、限定的な例外が認められる。
第二に、公衆への情報提供を目的として公表されるAI生成のテキストは、真に人間によるレビューを経て、自然人または法人が編集上の責任を負う場合を除き、AI生成である旨を開示しなければならない。
第50条の違反に対する制裁金は、1,500万ユーロまたは全世界年間売上高の3パーセントのいずれか高い方に達する。
欧州委員会は2026年3月、AI生成コンテンツの透明性に関する実施規範(Code of Practice)の第2次草案を公表し、関係者からの意見を募集した。この実施規範は、法的義務と、機械可読な表示を実装するために必要な技術基準との間の隔たりを埋めることを目的としている。第50条の義務は、2026年8月2日から全面的に適用される。
指令2024/1385:女性に対する暴力対策
女性に対する暴力および家庭内暴力への対策に関する2024年5月14日付指令2024/1385は、デジタルおよびAIを利用した複数の形態の虐待をEUレベルで犯罪化している。録音および合成メディアに最も関連する規定は、次の二つである。
第5条:性的画像の非同意での作成および頒布。 加盟国は、被害者に重大な損害を及ぼすおそれがある場合において、本人の同意なく、実際のまたは現実的なAI生成の性的画像を作成、頒布、または閲覧可能にする行為を犯罪化しなければならない。これは、ディープフェイクによるポルノ、および非同意の性的な音声・映像記録を直接対象とする。
第7条:サイバーハラスメント。 加盟国は、人を脅迫する目的で、音声や映像の記録を含む脅迫的または虐待的な素材を電子通信により繰り返し送付する行為を犯罪化しなければならない。
本指令は2024年6月13日に発効した。加盟国は2027年6月14日までにこれを国内法化しなければならない。
EU基本権憲章および欧州人権条約第8条
権利を基盤とする二つの枠組みが、EU全域における録音法の適用のあり方を制約している。
EU基本権憲章第7条および第8条は、それぞれ私生活および家族生活、住居、通信の尊重(第7条)と、個人データの保護(第8条)を保障している。これらは、欧州司法裁判所(CJEU)における手続を含め、EU法が実施または適用される場合に適用される。EU指令を実施する各国の録音法は、この憲章に適合しなければならない。
欧州人権条約第8条は、私生活および家族生活の尊重を受ける権利を保障している。欧州人権裁判所(ECtHR)は、録音、監視、そして私的情報の公表という文脈における第8条の解釈について、相当な量の判例法を積み重ねてきた。
画期的なフォン・ハノーファー事件の一連の判例(フォン・ハノーファー対ドイツ事件、申立番号59320/00、2004年6月24日判決、フォン・ハノーファー対ドイツ事件(第2号)、申立番号40660/08および60641/08、2012年2月7日大法廷判決)は、第8条が公権力による干渉のみならず、私人やメディアによる干渉からも個人を保護することを確立した。2012年の大法廷判決は、比例性を測る利益衡量テストを示した。私人が関わる録音の公表または利用は、一般的な公共の関心事に関する議論への寄与の程度と、その人物の私的領域への干渉の程度とを比較衡量することを要する。
欧州人権条約第10条(表現の自由)は、この衡量のもう一方の側に位置する。ECtHRは、警察を含む公務員の職務執行の様子を撮影し公表する行為が、第10条の保護の対象となりうると一貫して判示してきた。この権利への干渉は、必要かつ比例的なものでなければならない。
加盟国別の同意ルール:国別一覧表

各行は、2026年5月時点における刑法上の原則的な扱いを反映している。GDPRはすべての行に適用される。以下の各国別ページへのリンク先では、完全な制定法の引用、罰則、そして最近の執行事例を確認できる。
| 国 | 同意ルール | 主な制定法 | 国別ガイド |
|---|---|---|---|
| オーストリア | 全当事者 | 刑法(StGB)第120条 | オーストリア |
| ベルギー | 一方当事者 | 刑法第314条の2 | ベルギー |
| ブルガリア | 全当事者 | 刑法第145条 | ブルガリア |
| クロアチア | 全当事者 | 刑法第142条 | クロアチア |
| キプロス | 全当事者 | 憲法第15条・第17条 | キプロス |
| チェコ | 一方当事者 | 刑法第182条 | チェコ |
| デンマーク | 一方当事者 | 刑法第263条 | デンマーク |
| エストニア | 一方当事者 | 刑法第156条から第157条 | エストニア |
| フィンランド | 一方当事者 | 刑法第38章 | フィンランド |
| フランス | 全当事者 | 刑法第226条の1 | フランス |
| ドイツ | 全当事者 | 刑法(StGB)第201条 | ドイツ |
| ギリシャ | 全当事者 | 刑法第370A条 | ギリシャ |
| ハンガリー | 全当事者 | 刑法第422条 | ハンガリー |
| アイルランド | 一方当事者 | 当事者による録音を禁止する明文規定なし | アイルランド |
| イタリア | 一方当事者 | 刑法第617条 | イタリア |
| ラトビア | 一方当事者 | 刑法第144条 | ラトビア |
| ルクセンブルク | 全当事者 | 刑法第509条の1 | ルクセンブルク |
| オランダ | 一方当事者 | 刑法第139a条 | オランダ |
| ポーランド | 一方当事者 | 刑法第267条 | ポーランド |
| ポルトガル | 全当事者 | 刑法第190条から第194条 | ポルトガル |
| ルーマニア | 一方当事者 | 刑法第302条 | ルーマニア |
| スロバキア | 全当事者 | 刑法第377条 | スロバキア |
| スロベニア | 全当事者 | 刑法第137条 | スロベニア |
| スペイン | 一方当事者 | 刑法第197条 | スペイン |
| スウェーデン | 一方当事者 | 刑法第4章第9a条 | スウェーデン |
GDPRに関する注記。 この表に掲載されたすべての国は、GDPRの適用も受ける。第2列の国内同意ルールのもとで刑事上適法な録音であっても、録音者が第6条に基づく有効な適法根拠を欠く場合、プライバシー通知を行わなかった場合、または明確な保存期間を定めずに録音を保持している場合には、GDPR違反となりうる。これらの義務は別個のものであり、重畳的に適用される。
録音をめぐるGDPR(個人データ保護)執行事例
二つのデータ保護監督機関の決定は、GDPRが加盟国の刑法とあわせて実務上どのように機能するかを示している。
デンマーク:Datatilsynet対TDC事件(2019年)。 デンマークは一方当事者同意の国であり、デンマーク刑法上、通話の参加者は相手方に告げることなく通話を録音できる。それにもかかわらず、デンマークのデータ保護監督機関は、デンマーク最大の電気通信会社であるTDC A/Sに対し、研修目的で顧客対応の通話を録音していたことについて、有効なGDPR上の適法根拠を欠くとして不利な判断を下した。「通話は録音される場合があります」と発信者に伝えるだけでは不十分とされた。研修は契約の履行にも法的義務にも当たらないため、TDCは各発信者から具体的かつ積極的な同意を得る必要があった。この判断は、刑事上の適法性とGDPR遵守との間に明確な一線を引くものであった。
ポーランド:UODO対ワルシャワの施設事件(2022年)。 ポーランドのデータ保護監督機関(UODO)は、音声を常時収録するマイク付きカメラを運用していたある公共施設に対し、制裁金を科した。同施設は映像監視については法的な許可を得ていたが、音声録音については得ていなかった。UODOは、音声の取得には、映像に関する許可とは全く別に、GDPR第6条に基づく独自の適法根拠が必要であると判断した。制裁金の額は少額(1万ズウォティ)であったが、その原則は明確であった。改めて検討することなく、映像監視のための適法根拠を音声にまで拡張することはできない、というものである。
正当な利益に関するEDPBガイドライン1/2024。 2024年10月、欧州データ保護会議(EDPB)は、第6条(1)(f)の正当な利益に関するガイドラインを確定した。このガイドラインは、三段階のテストを確認している。目的のテスト(正当な利益が存在するか)、必要性のテスト(その目的のために録音が必要か)、そして衡量のテスト(データ主体の権利が管理者の利益に優先するか)である。不正防止や証拠保全はこれに該当しうる一方、同意のない一般的な品質管理や研修については、個別事案ごとの慎重な検討が必要となる。
EU全域における警察官・公務員の録音

職務執行中の警察官その他の公務員を録音することは、私的な会話を録音することとは法的に異なる位置づけにある。ここには、相反する二つの枠組みが適用される。
欧州人権条約第10条は警察の録音を支持する。 欧州人権裁判所は、職務を執行する公務員の様子を撮影し公表する行為を、欧州人権条約第10条によって保護される表現行為として一貫して扱ってきた。この権利への干渉は、必要かつ比例的なものでなければならない。加盟国は、当該職員が同意しなかったという理由のみで、警察の録音を犯罪化することはできない。
GDPRは録音そのものに適用される。 警察官を撮影した映像を公表する行為は、その職員が公的な立場で行動しているとしても、その個人データの処理に当たる。CJEUのBuivids判決(C-345/17、2019年)は、警察署内で警察官を撮影し、その映像をオンラインで公表する行為が個人データの処理に該当することを確認した。ただし、目的が公衆への情報提供にある場合には、GDPR第85条の報道目的の例外(加盟国ごとに異なる形で国内法化されている)がこうした処理を正当化しうる。
国による違いは大きい。 フランスは、報道の自由および表現の自由の原則のもとで、公共の場で警察を撮影する権利を明示的に認めている。スペインの市民安全法(組織法4/2015号)は、警察官の安全を危うくするおそれのある画像の無許可での公表に対して罰金を科しているが、この規定は比例性を欠くとの批判があり、現在も法的な争いが続いている。ドイツでは、公共の場での警察の録音であっても一般的な全当事者同意の原則が適用されるが、録音が明確な公共の利益に資する場合には、刑事上の禁止は憲法上の表現の自由への配慮によって緩和される。
EUの大半における実務上の原則は次のとおりである。公にアクセス可能な場所で公務を執行する警察を録音する行為は、一般に保護された表現行為である。同じ場面に偶然写り込んだ一般の個人を特定できる映像を公表する行為は、GDPR上の義務を生じさせる可能性がある。録音をAIツールで分析し、警察官をリアルタイムで生体識別することは、EUのAI Act第5条により禁止されている。
EU域内における国境をまたぐ録音
どの国の刑法が適用されるか
加盟国の録音関連法の間で生じる管轄の抵触を解決するEUレベルのルールは存在しない。通話や会話が国境をまたぐ場合、理論上は両国の刑法が同時に適用されうる。ドイツ(全当事者同意)にいる人物とオランダ(一方当事者同意)にいる人物との間の通話は、両方の法制度を同時に関与させることになる。
最も安全な対応は、常に適用されうるルールのうちより厳格な方に従うことである。ドイツとオランダの例でいえば、その通話を全当事者同意の要件に服するものとして扱うことを意味する。
個人の私的な録音について、国境を越えた執行が行われることはまれである。しかし、EU加盟国をまたいでコールセンターを運営したり営業電話を行ったりする企業にとっては、通話先の国の刑法に違反するリスクは現実のものであり、実際に執行措置に至った事例もある。
GDPRの適用地域範囲
GDPRの適用について、第3条は、管理者または処理者がEU域内に拠点を有する場合、またはEU域外の事業者がEU域内の個人に商品もしくはサービスを提供し、もしくはその行動を監視する形で、EU域内の個人の個人データを処理する場合に、本規則が適用されると定めている。
複数の加盟国にまたがる拠点が関与する国境をまたぐ個人データ処理については、第56条および第60条に基づく主導監督機関の仕組みが適用される。管理者のEUにおける主たる拠点を管轄するデータ保護監督機関が調査を主導し、他の関係するデータ保護監督機関は共同監督機関として関与する。
2025年11月、EU理事会は、国境をまたぐGDPR執行を迅速化するための新たな規則を採択し、調整に要する期間をめぐる長年の不満に対応した。この新しいルールは、主導監督機関が決定案を関係するデータ保護監督機関と共有するための義務的な期限を導入し、国境をまたぐ事案の平均的な執行期間を短縮するものである。
多国籍事業者のための実務上の留意点
一方当事者同意の国を拠点として、全当事者同意の国にいる顧客に電話をかけて通話を録音する多国籍企業は、その録音方針を全当事者同意の基準を前提として構築しなければならない。より厳格な法域にいる発信先に対して、録音者の本国の許容的な法律を適用してしまうことは、EUのコールセンター業務において最もよく見られるコンプライアンス上の誤りである。
MiFID II(金融商品市場指令)の適用対象となる事業者については、同指令第16条(7)に基づき取引関連の通信を記録する法的義務があり、これがGDPR第6条(1)(c)に基づく明確な適法根拠となる。この記録義務は、国内の刑法上の同意要件と併存する。MiFID IIの規制対象事業者であっても、全当事者同意の法域にいる発信者に対しては事前通知を行わなければならない。
ディープフェイクと合成音声・映像コンテンツ
発展途上の法的枠組み
現在、EUにおいてディープフェイクや合成録音を規律する法制度は三つあり、それぞれの適用範囲は重なり合うものの、完全には一致していない。
EUのAI Act第50条(2026年8月2日から適用)は、実在の人物について現実的な合成音声、画像、映像を生成するAIシステムを導入する者に対し、その出力物をAI生成であると表示することを求めている。この義務は、技術的なレベル(コンテンツのメタデータへの機械可読な表示)と、ディープフェイクについては利用者に見える形でのレベル(画面上または音声上での明確な開示)の双方に適用される。罰則は1,500万ユーロまたは全世界売上高の3パーセントに達する。
指令2024/1385第5条(国内法化期限2027年6月14日)は、実在の人物についての現実的なAI生成の性的画像を、本人の同意なく作成および頒布する行為を犯罪化する。これは特にディープフェイクによるポルノを対象としており、表示の有無にかかわらず適用される。この禁止は、コンテンツが合成物である旨が開示されているかどうかにかかわらず適用される。加盟国は、被害者が迅速な削除命令や法執行機関の支援を受けられるようにしなければならない。
GDPRは、ディープフェイクにも個人データとして適用される。識別可能な人物についての現実的なAI生成の画像や音声クリップは個人データに該当し、それによって本人を識別できる場合には生体データに当たるとの見方もできる。その処理には適法根拠が必要であるが、私人を対象とし、本人の同意なく行われるディープフェイクの作成は、通常これを満たすことができない。
実務上の帰結
個人にとっては、性的な目的であれ政治的な偽情報の目的であれ、本人の同意なく他人の現実的なディープフェイクを作成する行為は、指令2024/1385が国内法化された後は、EU全域で刑事上禁止されることになり、あわせて民事責任やGDPR上の責任も生じうる。
プラットフォームおよびAIツール提供者にとって、AI Act第50条は、現実的な人間の声や容姿を生成するツールが、2026年8月2日までに義務的な表示の仕組みを実装しなければならないことを意味する。欧州委員会が2026年3月に公表したAI生成コンテンツに関する実施規範の草案は、機械可読な電子透かしと可視の表示に関する技術基準を定めている。
業務上の通話録音:コンプライアンスチェックリスト
EU域内の顧客または従業員との通話を録音するあらゆる事業者は、以下の手順を踏む必要がある。
通話の冒頭で目的を明示する。 発信者に対し、通話が録音されていること、その理由、そして録音をどれくらいの期間保管するかを伝える。「品質向上のため通話を録音する場合があります」といった曖昧な説明では、GDPRの透明性の要件を満たさない。
録音を開始する前に適法根拠を特定する。 業務上の録音について最も説得力のある根拠は、法的義務(MiFID II、EMIR、または同等の業種規制)、契約の履行(特定の契約条項の履行のために録音が必要な場合)、または正当な利益(不正防止、証拠保全、規制上の紛争解決のためであり、文書化された衡量テストによって裏付けられているもの)である。
全当事者同意の国にいる発信者には、具体的な通知を行い、同意を根拠とする録音の場合には真の選択肢を与える。 ドイツ、フランス、オーストリア、ギリシャ、ポルトガル、クロアチア、スロバキア、スロベニア、ルクセンブルク、ハンガリー、キプロスにいる発信者には、録音を開始する前に、明確に説明し、権利を行使する機会を与えなければならない。
保存期間を定め、これを遵守する。 無期限の保存は決して適法とはならない。それぞれの録音の具体的な目的に紐づいた最長保存期間を定め、それをデータ保存方針に文書化し、自動削除の仕組みを導入する。
データ保護影響評価(DPIA)を実施する。 組織的または大規模な通話録音は、GDPR第35条にいう高リスクの処理に該当し、プログラムの開始前または大幅な変更前にDPIAを実施する必要がある。
AIを利用した録音について、AI Actの要件に対応する。 通話録音ソフトウェアがAIを用いて文字起こし、感情分析、話者識別、要約生成を行っている場合には、これらのAI機能がEUのAI Actにいう禁止行為、高リスク、または透明性義務のいずれのカテゴリーに該当するかを評価する。音声を用いて未知の人物をリアルタイムで生体識別することは、AI Act第5条により禁止されている。
自国の具体的なルールを調べるには
各EU加盟国の詳細な制定法の条文、刑事罰、最近のデータ保護監督機関による執行事例、裁判例、そして実務上の指針については、以下の各国別ページを参照されたい。各ページでは、その法域における具体的な刑事上の制定法、GDPRの実施状況、ePrivacy指令の国内法化、そして最新の動向を取り扱っている。

国別ガイドのあるEU加盟国:
オーストリアの録音法:全当事者同意、刑法(StGB)第120条、最長1年の拘禁刑。
ベルギーの録音法:一方当事者同意、刑法第314条の2、データ保護局(APD)によるGDPR執行。
ブルガリアの録音法:全当事者同意、刑法第145条、個人データ保護委員会(CPDP)によるGDPR適用。
クロアチアの録音法:全当事者同意、刑法第142条、個人データ保護庁(AZOP)によるGDPR適用。
キプロスの録音法:憲法第15条および第17条に基づく全当事者同意、個人データ保護コミッショナー(PDPD)によるGDPR適用。
チェコの録音法:一方当事者同意、刑法第182条、個人データ保護局(UOOU)による監督。
デンマークの録音法:一方当事者同意、刑法第263条、データ保護監督機関(Datatilsynet)による積極的なGDPR執行。
エストニアの録音法:一方当事者同意、刑法第156条から第157条、データ保護監督庁(AKI)による監督。
フィンランドの録音法:一方当事者同意、刑法第38章、データ保護監督官事務所(Tietosuojavaltuutetun toimisto)によるガイダンス。
フランスの録音法:全当事者同意、刑法第226条の1、CNIL(情報処理・自由全国委員会)による積極的な執行。
ドイツの録音法:全当事者同意、刑法(StGB)第201条、最長3年の拘禁刑、連邦データ保護・情報自由コミッショナー(BfDI)および各州のデータ保護監督機関。
ギリシャの録音法:全当事者同意、刑法第370A条、最長5年の拘禁刑、ギリシャデータ保護局(HDPA)。
ハンガリーの録音法:全当事者同意、刑法第422条、国家データ保護・情報自由庁(NAIH)による監督。
アイルランドの録音法:一方当事者同意(当事者による録音を明示的に禁じる刑事規定なし)、データ保護委員会(DPC)による積極的なGDPR執行。
イタリアの録音法:一方当事者同意、刑法第617条、個人データ保護監督庁(Garante)による積極的な執行。
ラトビアの録音法:一方当事者同意、刑法第144条、データ国家監督機関(DVI)による監督。
ルクセンブルクの録音法:全当事者同意、刑法第509条の1、国家データ保護委員会(CNPD)による監督。
オランダの録音法:一方当事者同意、刑法第139a条、個人データ保護局(AP)による積極的な執行。
ポーランドの録音法:一方当事者同意、刑法第267条、個人データ保護局(UODO)による積極的な執行。
ポルトガルの録音法:全当事者同意、刑法第190条から第194条、国家データ保護委員会(CNPD)による監督。
ルーマニアの録音法:一方当事者同意、刑法第302条、個人データ処理監督国家局(ANSPDCP)による監督。
スロバキアの録音法:全当事者同意、刑法第377条、個人データ保護局(UOOU)による監督。
スロベニアの録音法:全当事者同意、刑法第137条、スロベニア共和国情報コミッショナー(IP RS)による監督。
スペインの録音法:一方当事者同意、刑法第197条、スペインデータ保護庁(AEPD)による積極的な執行。
スウェーデンの録音法:一方当事者同意、刑法第4章第9a条、スウェーデンプライバシー保護庁(IMY)による監督。
Frequently Asked Questions
EUは録音について一方当事者同意の地域か、それとも全当事者同意の地域か。
EU全域に共通する単一の同意ルールは存在しない。各加盟国の刑法がそれぞれ独自の基準を定めている。個別の録音法を有する25のEU加盟国のうち、おおむね半数は一方当事者同意のみを要件としており(ベルギー、チェコ、デンマーク、エストニア、フィンランド、アイルランド、イタリア、ラトビア、オランダ、ポーランド、ルーマニア、スペイン、スウェーデン)、残りの半数は全当事者同意を要件としている(オーストリア、ブルガリア、クロアチア、キプロス、フランス、ドイツ、ギリシャ、ハンガリー、ルクセンブルク、ポルトガル、スロバキア、スロベニア)。GDPRはこれらすべてに一律に適用され、刑法上のルールに加えて追加のデータ保護要件を課している。
GDPRは、通話を録音するために同意を必須としているか。
GDPRは、録音の適法根拠として同意を必須としているわけではない。求められているのは適法根拠であり、同意は6つの選択肢のうちの一つにすぎない。事業者は、これに代えて正当な利益(第6条(1)(f))や法的義務(第6条(1)(c))に依拠することが多い。どの適法根拠を選んだとしても、GDPRが常に求めているのは透明性である。すなわち、録音していること、その理由、そしてどれくらいの期間保管するかを本人に伝えなければならない。GDPRにいう同意は、自由に、特定の目的について、十分な情報を得たうえで、明確に行われなければならない。「通話は録音される場合があります」という一般的な説明では不十分である。
EUのAI Actは、録音とディープフェイクについて何を定めているか。
EUのAI Actは、主に二つの規定で録音と合成メディアを扱っている。2025年2月2日から適用されている第5条は、限定的で司法により許可された例外がある場合を除き、法執行目的で公にアクセス可能な場所において使用されるリアルタイム遠隔生体識別AIシステムを禁止している。2026年8月2日から適用される第50条は、現実的なディープフェイクの音声、画像、映像を生成するAIシステムの導入者に対し、そのコンテンツを人工的に生成されたものであると明確に判別可能な形で表示することを求めている。違反に対する制裁金は、1,500万ユーロまたは全世界年間売上高の3パーセントに達する。
EUで警察官を録音することはできるか。
一般的には可能だが、重要な留保がある。欧州人権裁判所は、職務を執行する公務員を撮影する行為が欧州人権条約第10条によって保護される表現行為であると一貫して判示してきた。しかし、取得された個人データにはGDPRが適用され、多くの加盟国では公表にあたりGDPR第85条の報道目的の例外に依拠する必要がある。国ごとの違いは重要であり、フランスは警察を撮影する権利を広く保護しているのに対し、スペインの市民安全法は、警察官の安全を危うくするおそれのある画像の公表を制限している。録音からAIを用いて警察官をリアルタイムで識別することは、EUのAI Act第5条により禁止されている。
ePrivacy指令とは何か。今も効力を有しているか。
ePrivacy指令2002/58/ECは、EU全域における電子通信のプライバシーを規律するものである。その第5条は、同意のない電子通信の傍受を禁止しているが、事前通知を伴う商取引の記録については限定的な例外がある。同指令は現在も効力を有している。これを置き換える予定であったePrivacy規則案は、2025年2月に欧州委員会により正式に撤回された。同指令は加盟国ごとに異なる形で国内法化されているため、その要件はEU域内でもある程度異なる。
指令2024/1385は、ディープフェイクによる記録にとってどのような意味を持つか。
女性に対する暴力および家庭内暴力への対策に関する指令2024/1385(2024年5月採択、国内法化期限2027年6月)は、実在の人物についての現実的なAI生成の性的画像を、本人の同意なく作成および頒布する行為を犯罪化する。これは、ディープフェイクによるポルノおよび非同意の性的な音声・映像記録を直接対象とするものである。国内法化されれば、被害者はすべてのEU加盟国において、迅速な削除命令と刑事上の救済を受けられるようになる。本指令は、EUのAI Act第50条の表示義務やGDPRと並行して機能するが、その刑事上の禁止は、ディープフェイクが表示されているかどうかにかかわらず適用される。
当社は一方当事者同意の国にあるコールセンターから顧客の通話を録音しているが、これで適法か。
自動的に適法になるわけではない。本国の刑法では、顧客に知らせずに録音することが認められている場合がある。しかし、ドイツ、フランス、オーストリア、ギリシャなど全当事者同意の国にいる顧客に電話をかける場合、その通話にはこれらの国の刑法が適用され、同意を得るか、少なくとも事前に通知することが求められる。GDPRもまた、どの国の刑法が録音を認めているかにかかわらず、文書化された適法根拠、プライバシー通知、そして保存期間の設定を求めている。MiFID IIの規制対象となる金融サービスに関する通話については、録音の法的義務がGDPR上の適法根拠となるが、それでも全当事者同意の法域では事前通知が必要である。
Sources and References
- GDPR規則2016/679(eur-lex.europa.eu).gov
- ePrivacy指令2002/58/EC(eur-lex.europa.eu).gov
- EU AI Act規則2024/1689(eur-lex.europa.eu).gov
- 指令2024/1385(女性に対する暴力対策)(eur-lex.europa.eu).gov
- EDPBガイドライン1/2024(正当な利益)(edpb.europa.eu).gov
- 欧州委員会 禁止されるAI慣行に関するガイドライン(digital-strategy.ec.europa.eu).gov
- フォン・ハノーファー対ドイツ事件(第2号)(欧州人権裁判所、2012年)(hudoc.echr.coe.int).gov
- Buivids対ラトビア事件 C-345/17(CJEU、2019年)(eur-lex.europa.eu).gov
- ポーランドUODO:音声録音には適法根拠が必要(2022年)(edpb.europa.eu).gov
- フランス刑法第226条の1(legifrance.gouv.fr).gov
- フィンランドデータ保護監督官による電話通話に関する見解(tietosuoja.fi).gov
- EDPS(欧州データ保護監督機関)によるePrivacy指令の概要(edps.europa.eu).gov
- EU理事会:国境をまたぐGDPR執行(2025年)(consilium.europa.eu).gov
- 欧州委員会:AI生成コンテンツに関する実施規範(2026年)(digital-strategy.ec.europa.eu).gov
- EU AI Act第50条:特定のAIシステムの提供者・導入者に対する透明性義務(artificialintelligenceact.eu)
- Caught on Film:欧州における警察の撮影に関する法律(Open Society Justice Initiative)(justiceinitiative.org)