改正電気通信事業法のCookie規制への対応準備

関原 秀行(Sekihara Hideyuki)

1 はじめに

 2022年に電気通信事業法が改正され、以下の規律が追加されることになりました。
① 大規模事業者におけるガバナンス強化に関する規律
② 利用者情報の外部送信に関する規律
 ①の規律は、大規模事業者を対象としており、本noteの執筆時点(2022/12/29)では規律の詳細に関するガイドラインは公表されていません。
 他方、②の外部送信に関する規律は、幅広い事業者を対象とするものであり、すでに本note執筆時点では12/23に最新のガイドライン案(https://www.soumu.go.jp/main_content/000853183.pdf)が公表されています。
 改正された電気通信事業法は、2023/6/16に施行されます。そのため、企業が改正法対応に向けて準備するために残された時間は多くはありません。そこで、今回は自分の頭の中の整理も兼ねて、ガイドライン案が公表済であり、多くの事業者が規律の対象となり得る利用者情報の外部送信に関する規律を概観した上、企業の立場でどのようなSTEPを踏むのがよさそうかを検討していこうと思います。

2 利用者情報の外部送信に関する規律とは?

 利用者の外部送信に関する規律とは何か?
 cookie規制と呼ばれたりすることもありますが、一言で表現すると「電気通信サービスの利用者の端末(スマホ、PCなど)から利用者以外の者に対して利用者に関する情報を送信する場合には事前に一定の事項を通知・公表等することを義務付けたもの」という感じじゃないかと思います。
 典型例は、いわゆるNative app、Web serviceにおいて、自社のNative appに他社製のSDKを組み込んだり、Webにtagを埋め込んで、そのappやWeb serviceを利用したユーザーに関する情報を他社に送信するケースにおいて、事前にユーザーに対して送信される情報や送信先企業名などを通知・公表することを義務付けたものになります。
 イメージは以下のとおりです。

引用:立案担当者解説・電気通信事業法の一部を改正する法律
https://www.soumu.go.jp/main_content/000829032.pdf

3 どのように準備するか?

 ガイドライン案が公表されたので、自分だったらどのように準備を進めていくのか考えてみました。あくまで試案なので、もっとよいやり方があればご意見いただけると嬉しいです。
 個人的には、総務省の研究会の取りまとめであるスマートフォンプライバシーイニシアティブhttps://www.soumu.go.jp/main_content/000358525.pdf)に対応済でない企業においては以下のような段階を踏んで準備していくのがよいと思います。

① 自社サービスが規律対象となるかの検討
② 社内調査・ヒアリング
③ 実装の検討
④ 実装
⑤ サイクルの回し方の検討・確定

4 自社サービスが規律対象となるかの検討

 外部送信規律の対象となる事業者は
・電気通信事業者又は3号事業者のうち
・ブラウザその他のソフトウェアによって
・以下の①~④のいずれかの電気通信サービスを提供する者
 です(法27条の12・規則22条の2の27)。

① 他人の通信を媒介する電気通信サービス
例:メールサービス、ダイレクトメッセージサービス
② その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信サービス
例:SNS、電子掲示板、動画共有サービス、オンラインショッピングモール
③ 入力された検索情報に対応して、当該検索情報が記録された全てのウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信サービス
例:検索サービス
④ 不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの
例:オンラインニュース、動画配信サービス

 実際には上の①~④に該当するのかが悩ましいケースもあるかと思いますので、実務上は幅広に規律の対象になると考えて準備しておくのが現実的です。

5 社内調査・ヒアリング

 規律の対象となる場合、まずは外部送信しているケースを洗い出す必要があります。
 外部送信規律の対象となる場合、以下の①~③の情報を利用者に対して通知・公表する必要があります。
① 送信される利用者に関する情報の内容
② 送信先の氏名・名称
③ 送信される情報の利用目的

 これらを踏まえるとグループ企業まで含めて調査を行う場合、以下のような情報は調査・ヒアリングの対象にしておくとよさそうです。
・送信元の電気通信サービスの提供者名
・対象となる電気通信サービスの名称
・送信される利用者に関する情報の内容
・送信先の企業名・サービス名
・送信元の電気通信サービスの提供者の送信目的
・送信先の企業の利用目的

 なお、本規律においては、送信先の企業には、送信元の電気通信サービスの提供者も含まれるため注意が必要です(いわゆる1st partyへの送信も法文上は規律対象となり得る。)。ただし、後述のとおり、1st partyに対する送信については一部規律対象から除外される可能性があります。

 一部埋め込まれているtagなどについて検知するツールもあるようですが、Native app, web serviceにおける規律対象となる情報送信を網羅的に検知できるツールは現状はなさそうなので(私が認識していないだけかもですが)、一部検知ツールを用いるとしても社内調査・ヒアリングは実施する必要がありそうです。

6 実装の検討+実装

(1)実装のOption

 外部送信規律は、原則として一定の情報を外部送信前に利用者に対して通知・公表することを求めていますが(法27条の12)、利用者が送信に同意している場合(法27条の12第3号)、情報の送信又は利用についてオプトアウト措置を講じており利用者がオプトアウトの適用を求めていない場合(法27条の12第4号)には適用対象から除外されています。
 そのため、外部送信規律に対応するためのOptionは、大きくわけて以下の3つのいずれかとなります。
 ただし、同意とオプトアウトの手法のみで対応するのは難しい場合が多いと思われ、いずれかの手法の組み合わせか、通知・公表の手法を選択する企業が多いのではないかと思われます。
① 必要な情報を通知・公表する
② 同意を取得する
③ オプトアウトを実装する

(2)通知・公表を行う場合の検討

 原則どおり通知・公表によって本規律に対応する場合、少なくとも以下の2点は検討する必要があります。
・ 通知・公表をどのように行うか
・ 通知・公表するコンテンツの内容

(3)通知・公表の方法

 わかりやすい表現として通知・公表と述べてきましたが、正確には、必要な情報を利用者に通知し、又は容易に知り得る状態に置くことが求められています(法27条の12)。

 通知方法としては、ポップアップ通知などが想定されています(法27条の12・規則22条の2の28第2項、ガイドライン案10頁参照)
 容易に知り得る状態に置く方法としては、情報送信が行われるWebページから1回程度で遷移できるページに必要な情報が掲載されており、かつ情報送信が行われるページに貼られたlinkに遷移先ページにそのような情報が掲載されていることが利用者に理解可能な状態である場合などが想定されているようです(法27条の12・規則22条の2の28第3項、ガイドライン案11-12頁参照)

 また、利用者にわかりやすい方法により通知・公表を行うことが求められており、具体的には、日本語を用いて、平易な表現にすることや、文字が適切な大きさで端末の映像面に表示することなどが求められています(法27条の12・規則22条の2の28第1項)。

 企業においては、これらの規律の内容を踏まえて、適法に通知・公表を行うことができる方法を各社ごとに検討して実装する必要があります。

(4)通知・公表するコンテンツの内容

 通知・公表が必要な情報は、前述の5で見たとおりですが、実際には除外されるものがあります。具体的には、以下の6類型については規律対象から除外されています。

① 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報(法27条の12・規則22条の2の30第1号)
② 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報(法27条の12第1号・規則22条の2の30第2号)
③ 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報(法27条の12第1号・規則22条の2の30第3号)
④ 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報(法27条の12第1号・規則22条の2の30第4号)
⑤ 当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報(法27条の12第1号・規則22条の2の30第5号)
⑥ 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの(法27条の12第2号)

 その上で、現在ガイドライン案において、firstへ送信される情報がどこまで①の「真に必要な情報」に含まれるかどうかが非常に重要な論点になっています。
 最新のガイドライン案では、firstに送信される情報は「基本的には当該電気通 信役務の提供に必要なものであると考えら…原則として「真に必要な情報」に該当 すると考えられる。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、 一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しないと考えられる」とされています。
 この部分は、特にユーザー向けサービスの場合、送信される情報の利用目的などは通常はプライバシーポリシーなどに記載し、通知・公表がなされており、firstへの送信部分のうち改正電気通信事業法の規律が及ぶ部分については、個人情報保護法の上乗せの規律となり既存のプライバシーポリシー本体の修正なども必要となるため非常に重要な論点だと思います。
 ガイドラインは、まだ未確定の状態であり、今後具体例やFAQが別途公表される予定になっているようなので、どのような内容が公表されるかは注視する必要があります。

 現状は以上のとおりであり、まずは必要な範囲で調査・ヒアリングを進めて、通知・公表するコンテンツのドラフティングを進めながらも、年明けの具体例・FAQの公表内容がガイドラインの内容などを踏まえて適宜修正をして6月の施行までにコンテンツを確定することになると思われます。

7 サイクルの回し方の検討・確定

 いったん改正電気通信事業法の外部送信規律への対応は上記のとおりですが、この規律への対応は継続して発生するものです。つまり、3rd partyのSDKやtagを導入する新たな案件は企業側においては当然発生しうるものであり、継続的に本規律に対応するための運用フローを策定することが企業にとっては重要です。
 具体的には
・SDKやTagを導入する場合の承認ルール
・新規導入の場合の通知・公表フロー・コンテンツとの連携方法
 などの運用フローを施行までにしっかりと決めておくとよいと思います。

 自分の頭の整理も兼ねてざーっと書いてみました。
 これが2022年最後のnoteになると思います。
 また来年もよろしくお願いいたします。

この記事が気に入ったらサポートをしてみませんか?