2023.06.20
改正電気通信事業法による外部送信規律(日本版Cookie規制)
のぞみ総合法律事務所
弁護士 村上 嘉奈子
1 改正電気通信事業法による外部送信規律とは
2023年6月16日施行の改正電気通信事業法[i]は、新たにCookie等の利用者情報の外部送信を規律するもの(外部送信規律)として注目されており、「日本版Cookie規制[ii]」とも称されています。
また、改正電気通信事業法における外部送信規律は、電気通信事業者としての登録・届出を必要とする事業者のみならず、登録・届出が不要である電気通信役務の提供事業者も広く適用対象とすることから、多数の事業者において自社への適用有無の確認や対応が必要と考えられる点にも大きな特色があります。
2 外部送信規律の内容
改正電気通信事業法に定められる外部送信規律は、電気通信事業を業として営む者が、利用者に関する情報(利用者の端末に保存された閲覧履歴、システム仕様、システムログ等)を外部に送信する取扱いを行う場合に、あらかじめ、送信される情報の内容等について、通知・公表等の措置を講じなければならないというルールを定めるものです。
利用者において、自分のどのような情報が、どこに、何のために送信されているのかを確認できるようにするためのルールといえます。
出典:総務省ホームページ
(1)外部送信規律の適用を受ける電気通信事業者とは
改正電気通信事業法は、電気通信事業法所定の登録・届出を要する電気通信事業及び他人の通信を媒介せずかつ電気通信回線設備を設置せずに電気通信役務を提供する事業(いわゆる第三号事業)のうち、ブラウザやアプリケーションを通じて以下の①から④の役務を提供する者に、外部送信規律を適用するものと定めています(改正電気通信事業法第27条の12、同法第164条、改正電気通信事業法施行規則第22条の2の27)。
①他人の通信を媒介する電気通信役務
(メールサービス、ダイレクトメッセージサービス、参加者を限定した会議が可能なウェブ会議システム等)
②その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務
(SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、オンラインゲーム等)
③入力された検索情報に対応して、当該検索情報が記録されたウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務
(オンライン検索サービス)
④前号に掲げるもののほか、不特定の利用者[iii]の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの
(ニュースや気象情報等の配信を行うウェブサイトやアプリケーション、動画配信サービス、オンライン地図サービス等)
なお、上記④は幅広い電気通信サービスを含むものと想定されますが、顧客に電気通信役務を提供することがなければ成り立たないサービス(電気通信役務の提供自体を本来業務とするサービス)を前提とするものとされており、自社商品等のオンライン販売や企業等のホームページ運営・個人ブログなど、別の自らの本来業務の遂行の手段として電気通信サービスを提供する場合は該当しません。例えば、企業がニュース配信サービスを行うウェブページを運営する場合は上記④に該当しますが、一方で企業が自社の概要や商品・サービスの周知・宣伝のための情報発信を行うウェブページは該当しないものとなります(電気通信事業参入マニュアル(追補版)[iv]、電気通信事業参入マニュアル(追補版)ガイドブック[v]参照)。
個別のケースにおける外部送信規律適用有無の判断は難解となる場合も想定されますが、事業者において外部送信規律に沿った対応を行うことは、自社の取り扱う利用者情報の棚卸や整備によって情報管理体制の適正化を実現し、利用者情報の取扱いについての透明性や信頼性を確保することにも資すると解されることからすれば、必ずしも法的な適用要件のみにとらわれずに広く対応を検討することも想定されます。
(2)利用者に関する情報の外部送信とは
外部送信規律は、電気通信事業者が「利用者に関する情報」を「外部」に送信する場合を前提としており、この場合の「外部」とは利用者本人以外を指すものとされています。典型的には外部マーケティング会社やアクセス解析ツールを提供する第三者などが想定されますが、これらの第三者のみに限らず、当該電気通信事業者自身(ウェブサイト運営者・アプリケーション提供者)や委託先事業者も、改正通信事業法上の「外部」にあたります。
「利用者に関する情報」とは、利用者の端末に記載された情報(Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等)とされ、個人情報保護法上の個人情報よりも幅広い情報を含みます。ただし、利用者の端末に記載された情報の外部送信であっても、当該電気通信事業者のサービス提供にあたって必要な情報[vi]や、当該電気通信事業者が利用者に送信した識別符号(First Party Cookieに保存されたID)は、外部送信規律における通知・公表等の措置の対象外とされています(改正電気通信事業法第27条の12、同法施行規則第22条の2の30)。
(3)電気通信事業者が講じるべき措置
外部送信規律の適用を受ける電気通信事業者は、外部に送信する利用者の情報につき、①所定事項の通知又は公表、②利用者の同意の取得、③オプトアウトの措置のいずれかを行う必要があります(改正電気通信事業法施行規則第22条の2の28~31)。
上記①の所定事項の通知又は公表を行う場合においては、以下1から3の事項についての通知等を行うことが必要です。[vii]
-
- 送信されることとなる利用者に関する情報の内容
- 1の情報を取り扱うこととなる者の氏名又は名称
- 1の情報の利用目的
事業者においては、対象となる情報について遺漏なく棚卸を行った上、「等」や「その他」などの曖昧な表現を安易に使用せずに具体的に列挙する必要があります。また、利用目的の通知等は、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに、当該電気通信事業者の利用目的と、情報送信先利用目的の双方を記載して行う必要があります。なお、上記の所定事項が情報送信先のウェブページに記載されている場合は、当該ウェブページへのリンクを示すことにより対応することも可能ですが、日本語による通知が要件とされますので、リンク先のウェブページが英語等で記載されている場合には、当該電気通信事業者において日本語による記載を行うことが必要です。[viii]
これらを「通知」する場合は、ポップアップなどによるジャストインタイム通知を行うものとし、ポップアップ等で表示される内容が一部のみである場合は、当該表示から残りの部分を掲載した画面に容易に到達できる状況とする必要があります。また、これらを「公表」する場合は、ウェブサイトの場合においては外部送信のプログラムを送るページ等[ix]、また、アプリケーションの場合においては最初に表示される画面等[x]において上記事項を表示し、利用者が容易に知り得る状態に置く必要があります。
改正電気通信事業法においては、通知・公表に代わって利用者の同意を取得する方法又はオプトアウト措置[xi]によって外部送信規律への対応を行うことも可能とされますので、同意管理プラットフォーム(CMP)を導入したり、法の定めに従ったオプトアウト措置を講じることも想定されます。この場合も、利用者にあらかじめ情報通知等を行う必要があるものとされることに留意が必要です。
以上
[i] 改正電気通信事業法においては、一月あたり利用者数が一定以上となる大規模電気通信事業者につき、情報取扱規程の整備・総務大臣への届出等を始めとする適正な取扱いを義務付ける規律(特定利用者情報の適正な取扱いに係る規律)も導入されています。
[ii] なお、対象情報はCookieのみに限定されず、広告ID等の識別子、閲覧履歴・行動履歴等の情報を広く含みます。
[iii] アカウント登録や利用料の支払をすれば誰でも受信(閲覧)できる場合も、「不特定の利用者」に含まれます。
[iv] https://www.soumu.go.jp/main_content/000477428.pdf
[v] https://www.soumu.go.jp/main_content/000799137.pdf
[vi] OS情報、画面設定情報、言語設定情報、ブラウザ情報等、電気通信役務の提供のために真に必要な情報や、入力した情報の保持等に必要な情報、ユーザー認証に必要な情報、セキュリティ対策に必要な情報、ネットワーク管理に必要な情報
[vii] これら以外に、オプトアウト措置の有無、送信される情報の送信先における保存期間、情報送信指令通信に係る送信元における問合せ先等についても通知又は公表を行うことが望ましいものとされています。
[viii] ただし、リンク先で表示される通知等すべき事項の概略を併せて示すことが望ましいものとされています。
[ix] 情報送信指令通信を行うウェブページ、当該ウェブページから容易に到達できるウェブページ(情報送信指令通信を行うウェブページに遷移先に通知等を行う事項が表示されていることが利用者にとって理解できる形でリンクが配置された場合における遷移先ウェブページ等)又はウェブサイトのトップページ等
[x] アプリケーションの起動後最初に表示される画面又は当該画面から容易に到達できる画面