- 利用者情報の外部送信規律とは
- 電気通信事業法改正の実行スケジュール
- 規制対象事業者
- 利用者情報の外部送信の仕組み
- 企業の具体的な対応方法
- クリアランス手段の実装方法
- 企業の対応プロセス
- CMP実装の必要性
- GDPRとの関係
- 罰則・制裁
利用者情報の外部送信規律とは
改正電気通信事業法における利用者情報の外部送信規律は、利用者のWebサイト閲覧履歴や端末(PC、スマートフォン、タブレットなど)の情報を含む利用者情報を外部ベンダに送信している場合、送信先のベンダ毎にその目的、送信先のベンダ名、利用者情報の利用目的を通知・公表する、利用者から同意を取得する、または利用者にオプトアウト手段を提供することをWebサイト運用者やアプリ提供者に義務付けるルールである。
Webサイトに訪問した際に、このようなcookieバナーを見ることが増えた。このcookieバナーは、後述するように利用者のプライバシーの保護を強化する観点から任意の公表または同意取得しているケースやGDPRの適用があるWebサイトやアプリについてGDPRの法的対応の一環として利用者情報の外部送信について同意取得をしているケースであり、利用者にどのような外部送信先があるのかを通知し、また外部送信について同意することを制御する機能を有しているが、残念ながら、改正電気通信事業法には準拠していない。
そこで、cookieバナーを実装していない企業はもちろん、cookieバナーを実装している企業においても、改正電気通信事業法の準拠対応が必要となる。
この利用者情報の外部送信規律は、固定電話サービス、携帯キャリア、電子メール、インターネットプロバイダーなど通信事業を行っている事業者以外にも、Webサイト運営者やアプリ提供者に広く適用されるが、この適用範囲の広さを認識できていない企業も多い。そのため、まずは自社にこの利用者情報の外部送信規律が適用されるか、規制対象事業者となるかを確認する必要がある。
何のために改正電気通信事業法対応をするのか?
電気通信事業法改正の実行スケジュール
利用者情報の外部送信規律に関する法改正の施行日が2023年6月16日となっており、「電気通信事業における個人情報保護に関するガイドライン(令和 4 年個人情報保護委員会・総務省告示第 4 号)の解説」(以下「ガイドライン解説」という。)の改正版がリリースされたほか、外部送信規律FAQが順次、公開されており、ガイドライン解説とこのFAQが実務対応の具体策を検討するにあたって有益な参考資料となる。
規制対象事業者
規制対象事業者については、ガイドライン解説にて以下の規制対象となる4類型の役務が示されている。
(参照)電気通信事業参入マニュアル(追補版)ガイドブック
【図表:規制対象となる4つの役務類型】
(役務類型)
(1)他人の通信を媒介する電気通信役務
(具体例)メールサービス、ダイレクトメッセージサービス、参加者を限定したクローズドのWeb会議システム
(2)利用者が情報を入力(書き込み、投稿、出品、募集など)し、その情報を不特定の利用者が受信(閲覧)できるサービス
(具体例)SNS、電子掲示板、動画共有サービス、オンラインショッピングモール(※自社ECサイトは含まれない。)、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、オンラインゲーム
(3)検索エンジンサービス(※全てのWebサイトを対象とした検索サービスに限る)
(具体例)Google検索、Yahoo検索、マイクロソフトBing検索
(4)不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス
(具体例)ニュースや気象情報等の配信を行うWebサイトやア プリケーション、動画配信サービス、オンライン地図サービス
この4つの役務類型で、最もその判断に迷うのが「各種情報のオンライン提供サービス」である。この点、オンラインメディアが規制対象サービスとなることは明確であるが、例えば、企業のコーポレートサイトやサービス紹介サイトが、「各種情報のオンライン提供サービス」に該当するかが問題となる。
企業が会社概要や自社の商品・サービスを紹介するサイトは、「他人の需要」のためではなく、「電気通信事業」にあたらず、規制対象サービスに該当しない。
他方で、企業が自社の商品・サービスを紹介するサイトに利用者を誘因するためのメディア(いわゆるオウンドメディア)については、各種情報のオンライン提供サービスに該当すると考えられる。本来業務の遂行手段としての範囲を超えて、独立した事業としてオンラインサービスを提供している場合には、当該オンラインサービスは「電気通信事業」に該当すると考えられるためである。
この点、ガイドライン解説7-1-2の対象役務では、以下の通り規制対象役務に該当するか否かの有益な区別例が示されている。
『例えば、金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供は「電気通信事業」に該当しないが、当該金融事業者が証券・金融商品等についてのオンライン販売のWebサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は情報の送信(電気通信役務の提供)の事業として独立していると考えられ、「電気通信事業」に該当する。』
この具体例を敷衍して、企業の商品・サービスの紹介サイトとオウンドメディアとの区分を考えるに、自社の商品・サービスに着目した商品・サービスの用途や利用場面、消費者の商品・サービスの使用感をまとめたメディアは規制対象役務に該当しないが、他方で、自社の商品・サービスに限定せず、ある商品・サービスが属する他社商品・サービスを含めた商品・サービスカテゴリー全体にかかる情報のオンライン提供は、規制対象役務に該当する可能性があると考える。
例えば、キャンプ用品を販売する会社が自社販売するテントの用途や使用感の紹介は規制対象役務に該当しない一方で、テントの一般的な種類とそれに合う利用シーンの説明、テントの選び方、テントの素材、テントの設営方法の紹介動画は、特にそれらが自社の商品ラインナップ外のテントの情報も含まれていれば規制対象役務に該当する可能性となる限界事例となるであろう。
利用者情報の外部送信の仕組み
まず、利用者がWebサイトを閲覧する場合には、利用者が外部送信タグの設置されたWebサイトを閲覧すると、Webサイト運営者のWebサーバから利用者の端末に対して、利用者の情報を外部ベンダのサーバへ送信するように指示がなされる。そして、利用者の端末から利用者の情報が外部ベンダへ送信される。
同様に、利用者がアプリを利用する場合については、利用者が情報通信モジュール(SDK:Software Development Kit。ソフトウェアを開発する際に用いられるツールをいう。)の設置されたアプリを利用すると、アプリ提供者のアプリサーバから利用者の端末に対して、利用者の情報を外部ベンダのサーバへ送信されるように指示がなされる。そして、利用者の端末から利用者情報が外部ベンダへ送信される。
【図表:利用者情報の外部送信の仕組み】
出典:総務省 学術雑誌『情報通信政策研究』第 6巻第1号立案担当者解説「電気通信事業法の一部を改正する法律」Ⅳ-39
このように利用者がPC、スマートフォン等の端末でWebサイトを閲覧する際やアプリを利用する際に、Webサイト運営者・アプリ提供者のサーバからコンテンツと併せて利用者の端末に記録されている利用者情報を外部ベンダに送信させる指令が送信され、利用者端末から第三者ベンダのサーバに、いわば自動的に利用者情報が送信されることになる。この利用者情報の外部送信については、利用者が自ら氏名・住所・メールアドレスなどの個人情報を登録して、Webサイト運営者・アプリ提供者にデータを渡すケースと異なり、利用者が意識しないまま外部ベンダに利用者の情報を渡す仕組みである。そこで、利用者にこの外部ベンダへの情報提供の流れを確認する機会を付与するのが電気通信事業法改正の趣旨である。
当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容
例:訪問者が閲覧したウェブページのURL、IP アドレス、OS、ブラウザ等の情報
(参照)プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第12回)配布資料より
前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称
例:広告系および解析系ベンダの会社名(Google Inc. Twitter.Inc. Facebook, Inc.LINE株式会社 ヤフー株式会社など
(参照)プラットフォームサービスに係る利用者情報の取扱いに関する WGとりまとめ(案)
- 寄稿
-
TMI総合法律事務所大井 哲也 氏
パートナー弁護士