見出し画像

『新アプリ法務ハンドブック』副読本的ブログ(改正電気通信事業法と個人情報保護法編)

杉浦健二 Kenji Sugiura

【本稿は法務系 Advent Calendar 2022における13日目のエントリーです】

2022年12月、『新アプリ法務ハンドブック』(共編著)を上梓しました。昨日よりAmazonでの出荷もようやく開始となり、ご予約いただいた皆様のお手元にも届き始めている頃かと存じます。
本稿では、〆切の都合で本書に盛り込めなかった改正電気通信事業法に関する最新トピックを取り上げるとともに、個人情報保護法やプライバシーポリシーに関する本書の行間について触れたいと思います。『新アプリ法務ハンドブック』の副読本的なブログとしてご覧いただけますと幸いです。

■1 利用者情報の外部送信規制(令和4年改正電気通信事業法・本書P149-)

令和4年改正電気通信事業法で新設され、令和5年春に施行される利用者情報の外部送信規制は、アプリ事業者にとって影響が大きい改正です。〆切の都合上、本書にはガイドライン解説案を盛り込むことができませんでしたので、本稿でフォローいたします。

※以下は本稿作成時点における最新のガイドライン解説案(2022年12月2日付。以下「GL解説案」)に基づく内容です。GL解説案は今後変更になる可能性がありますので、必ず最新の情報をチェックするようにして下さい。
【2022年12月23日追記】同年12月23日付でGL解説案が改訂され、今後パブリックコメントに付される予定となっています。内容が固まり次第、本記事は更新する予定です。

(1)利用者情報の外部送信規制とは

利用者情報の外部送信規制とは何か。大ざっぱに一言でいうと
事業者がウェブサービスやアプリを提供するにあたって、利用者のスマホやPCに記録された情報(利用者情報)を外部に送信させる場合は、外部送信される利用者情報の内容や送信先について、利用者自身に確認できる機会を与えようね
という規制です。

総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ「利用者に関する情報の外部送信の際の措置について」(第 10 回資料3、2022 年3月)より引用

利用者情報とは、利用者の電気通信設備(端末設備)に記録されている情報のことです。Cookie情報やスマホの広告ID(AAID/IDFA)、閲覧履歴など、それ単体では利用者個人を識別することができない情報のほか、利用者の個人情報、利用者以外の情報(利用者以外の連絡先など)も含まれます。「利用者」には法人も含まれます。検索履歴が集積されることにより当該法人の経営戦略等が第三者に把握されることを未然に防ぐことで、電気通信の信頼性の確保につながるためと説明されています(こちらのP4)。

(2)対象となる事業者の範囲は広い

外部送信規制の対象となる事業者は極めて広範です。これまで電気通信事業法に基づく届出が必要であった、他人の通信を媒介するサービス(利用者間のチャットやWeb会議システム)のみならず、SNS、電子掲示板、動画共有、ショッピングモール、シェアリング、マッチング、ライブストリーミング、ゲーム、検索、ニュース配信・動画配信等の各種情報提供サービスなど、多くのオンラインサービスが含まれます。
GL解説案は、企業や個人が自己の情報発信のためにホームページを運営している場合や、モノ・商品についてオンライン販売をする場合は電気通信事業法の規律対象とならないとしていますが、金融事業者が証券・金融商品等をオンライン販売するウェブサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合は、外部送信規制の対象となるとしています(GL解説案P6)。オンラインサービスを提供する事業者としては、原則対象になる可能性が高いと捉えておいた方が無難と思われます*1。

(3)何をすればよいのか

次に対象事業者は何をすればよいのかですが、

  • 送信される利用者情報の内容

  • 送信先となる事業者の名称等(サービス名も併記が望ましい)

  • 利用者情報の利用目的

のすべてについて、

  1. 利用者に通知又は容易に知り得る状態に置く

  2. 同意取得

  3. オプトアウト処理

のいずれかの措置を講じることになります。
「1. 利用者に通知又は容易に知り得る状態に置く」方法を選択する場合(多くの事業者が採用すると思われます)、以下の内容をプライバシーポリシーやクッキーポリシー等に記載したり、ポップアップ表示したりすることが想定されています(GL解説案P8)。

記載例 1) 
当社のウェブサイトでは、ウェブサイト内の広告配信の最適化を図るため、訪問者が閲覧したウェブページの URL、IP アドレス、ユーザーエージェント等の情報を A 社に送信し、A 社で訪問者に関する情報を収集・分析した上で、各訪問者の嗜好に合った広告を配信しています。
記載例 2) 
当社のウェブサイトでは、ウェブサイト内の広告配信の最適化を図るため、HTML等のタグや JavaScript 等で作られた訪問者に関する情報を収集・分析するツールをウェブサイトに設置して、訪問者が閲覧したウェブページの URL、IP アドレス、ユーザーエージェント等の情報を A 社に送信し、A 社で訪問者に関する情報を収集・分析した上で、各訪問者の嗜好に合った広告を配信しています。
記載例 3) 
本ウェブサイト(●●.**【ドメイン】)では、ウェブサイトの改善を図るため、訪問者が閲覧したウェブページの URL や閲覧日時を B 社に送信し、B 社において生成した訪問者のウェブサイト滞在時間に基づく分析を依頼しています。(B 社のサービス概要:(B 社のリンク))

GL解説案P8より。ただしGL解説案は今後更新される可能性がある点に留意ください。

(4)外部送信規制の例外

以下については、例外的に外部送信規制の対象外とされており、通知等を行う必要がありません。

電気通信役務を適正に表示するためや、当該サービスを利用するために必要となる情報
利用者端末のOS情報/画面設定/言語設定情報/ブラウザ情報や、ユーザー認証、利用者設定の保存に必要となる情報、買い物かごの中身を再表示するために必要な情報、当該サービスのセキュリティ対策、サーバ負荷分散(ロードバランシング)に必要な情報については規制の対象外とされています。
これに対し、広告マーケティング、アクセス解析、ソーシャルメディアプラグインのために外部送信する情報はこれらの例外に含まれず、原則どおり外部送信規制の対象となります(GL解説案P16-)。

サービス提供事業者が利用者に送信した識別符号であって、当該事業者あてに送信されるもの(1stパーティクッキーに保存されたID)
上記の場合、サービス提供事業者は利用者に送信した識別符号を回収しているに過ぎず、その使途も ID・パスワードの入力省略のため等と限定的であるため、規制の対象外とされています。ただし1stパーティクッキーに保存されたID を利用して、サービス提供事業者が第三者に利用者情報を送信する場合(Googleアナリティクス等の場合)は、原則どおり外部送信規制の対象となり通知等が必要になります(GL解説案P20)。

なお個人情報保護法27条5項は、個人データ取扱いの委託、事業承継等、共同利用に基づいて個人データが第三者に提供される場合は本人の同意を得ることを要しないとしていますが、これらの場合であっても電気通信事業法の外部送信規制は適用されます(GL解説案P2)。

(5)改正電気通信事業法の施行日(2023年4月から6月予定)までにやること

令和4年改正電気通信事業法は2023年4月から6月に施行される予定です(下記図表)。ウェブサービス/アプリ等を提供するオンラインサービス事業者としては

  1. 自社が外部送信規制の対象事業者にあたるのかを判断する(原則あたると考えておいた方が無難)

  2. 外部送信されている利用者情報の項目/外部送信先/利用目的を事業部にヒアリング実施する等して把握する(利用者情報のデータマッピング)

  3. 通知等/同意/オプトアウト処理のいずれでいくのかを決定する

  4. プライバシーポリシー/クッキーポリシー等への記載内容を決定する

というフローで検討を進める必要があるでしょう。
今年の3月に改正個人情報保護法対応を終えたところなのにまたかいな、、感があるのはごもっともですが、皆で頑張ってまいりましょう。何度もリマインド恐縮ですが、本稿は2022年12月13日時点の情報に基づいていますので、実務対応をするにあたっては常にこちらの総務省サイトで最新情報をチェックするようにして下さい。

総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ「今後の検討の進め方について(案)」(第15回資料1、2022年6月17日)より引用

■2 個人情報保護法は個人データ保護法である(本書P140-)

以下の個人情報保護法(個情法)に関する部分は、本書の行間を補足する内容となります。
個情法では、個人情報の一部を「個人データ」「保有個人データ」と定義し、それぞれ別の規律を定めています。第三者提供規制(法27条)や漏えい等発生時における報告通知義務(法26条)、安全管理措置を講じる義務(法23条)といった個情法の中核に位置する規律がなされているのは、個人情報ではなく「個人データ」に対してです。

個人情報保護委員会「個人情報保護法の基本」(令和4年7月)より引用

散在する個人情報(たとえば名刺の束)とは異なり、データベースを構成する個人データ(たとえば検索できるように体系的に構成された名刺リストのレコード)の場合、特定の個人に関する名寄せが容易になり、他の情報と紐付けられることによって個人の権利利益に重大な侵害を生じさせる可能性がより高くなることから、個情法は特に「個人データ」について規制を定めたものと理解できます*2。
したがって、個人情報取扱事業者が、他人の住所や電話番号、その他の他人が隠しておきたい秘密を書き留めた紙を紛失したり、第三者に提供したりしたとしても、当該情報は個人データにはあたらずあくまで個人情報にすぎないため、漏えい等の報告通知義務や第三者提供規制の違反とはなりません*3。
これらの点からすれば、個情法は「個人情報そのもの」を保護しているというよりも、あくまで「個人データの取扱いによって人の権利利益が侵害されること」をまず防止しようとしているのだと捉えておくことが、個情法の構造を掴むうえで有益であると考えています。『新アプリ法務ハンドブック』のプライバシーポリシーパートは、このような考え方をベースとして執筆しました。

■3 プライバシーポリシーのサンプル(本書P153-)

本書で掲載したプライバシーポリシー(PP)のサンプルは「2階建て構造」を採用しています。その理由として、アプリ毎に完全に別個独立したPPを作成する建付けだと、ひとたび改訂作業が発生するとすべてのアプリPPを修正する必要があるなど、管理の煩雑性に加えてPP間で矛盾抵触が発生するリスクが高まることを本書では述べました。2階建て構造では、アプリ毎に作成する個別 PP(2階建て部分) は共通 PP(1階建て部分) の特則として機能し、個別 PPで定めのない事項については共通 PP が適用されることになります。

『新アプリ法務ハンドブック』P153

もっとも本書のPPサンプルで2階建て構造を採用した理由は上記だけではありません。すなわち、

  • 共通PP(1階建て部分)のサンプルは、個情法上求められる義務に応えるミニマムな内容を原則とする

  • 個別PP(2階建て部分)のサンプルは、総務省が推奨するスマートフォンプライバシーイニシアティブ(SPI)の要請に応える内容とする

ことで両者の違いを明確にし、個情法とSPIそれぞれで求められる内容を理解するためのツールを提供することを副次的な目的としました。
実務上、2階建て構造を必ず取らなければならないわけではありません。またアプリ事業者の大半がSPIに従ったPPを用いているかというとそういうわけでもないのが実情です。しかしながら、このたび改正電気通信事業法で新設される利用者情報の外部送信規制の趣旨(利用者情報が外部送信される場合は利用者自身に確認できる機会を与えようね)はSPIの考え方がベースとなっているところ(SPIⅢP17)、SPIを理解しておくことはアプリ法務担当者にとって重要であると考え、個別PPのサンプルもSPIに倣う方針を採用しました。

なお本書の個別PPにおいては「取得する利用者情報の項目・取得方法・利用目的を一覧できる表形式でまとめる」手法を採用しています。これからのプライバシーポリシーがあるべきかたちのひとつとして、ご意見を賜れるようですと幸いです。

『新アプリ法務ハンドブック』P168

■(おまけ)本書発刊に寄せて

本書は2015年に出版された初版『アプリ法務ハンドブック』の全面改訂というプロジェクトで、森・濱田松本法律事務所の増田雅史先生、初版著者のひとりである橋詰卓司さん、同事務所の先生方という敬愛するメンバーとご一緒させていただきました*4。
執筆にあたって最も大事にしたかったのが、初版著者の先生方と初版の出版社様へのリスペクトをいかにして示すかという点でした。悩みながらも採った方針は「アプリ開発→提供→運用」といった各フェーズで問題となる法務トピックを取り上げるというコンセプトの大枠はそのままに、具体的な内容は初版を踏襲せずゼロイチで執筆するといったものでした(一部の図表等は初版をベースとしています)。そのため改訂版とは言えども初版と大きくテイストが異なる部分が少なくなく、そのあたりを含めてタイトルには「新」とつけさせていただくに至りました。読者の皆様には初版と新版の違いも含めて楽しんでいただけるようですと幸いです。本書出版に至るまでの詳細は、橋詰さんの下記ブログをご覧ください。

私自身、初版で大いに学んだ立場だったので、新版の執筆に携わることができたのは大変光栄なことでした。新版の発行をご快諾いただいた初版著者の先生方、初版の出版社様にあらためて感謝申し上げます。
本書の出版企画は2022年の春に立ち上がったのですが、皆で「何とか年内に出そう‥!」と誓い合い、多いときには週1回編集会議を行ってどうにか12月の刊行に間に合わせました。出版そのものはもちろんのこと、各自の実務ノウハウをぶつけ合う編集会議は大変に刺激的で楽しい時間でした。編集会議こそが私にとって最大のご褒美だったかもしれません。

本書が取り扱うアプリ法務は、とにかく足の速い分野です。おそらく3年後には、本書の何割かはout of dateになっているはずです。それでも「どうせすぐに古くなるから」と一般論に逃げることなく、実務での使用に耐えられるよう、可能な限りの最新トピックを詰め込みました。よろしければAmazonのカスタマーレビューTwitterのDM等でご感想をお聞かせいただけるようですと嬉しく思います。ご覧くださりありがとうございました。

※本稿は法務系 Advent Calendar 2022の13日目として投稿したものです。昨日は酒井貴徳さんで、明日は法務のいいださんさんです。

#LegalAC

*1 外部送信規制の対象となる事業者については、こちらの世古先生のブログで大変分かりやすく解説されているのでご参照をおすすめします。
*2 園部逸夫=藤原靜雄編『個人情報保護法の解説〔第三次改訂版〕』(ぎょうせい、2022)P68、冨安 泰一郎=中田 響 編『一問一答 令和3年改正個人情報保護法』(商事法務、2021)P15参照。
*3 とはいえ目的外利用(法18条1項)は問題となりますし、プライバシー権侵害を理由とする不法行為は別途成立する可能性があるため、個人情報の第三者提供をしても問題ないという意味では全くありません。なお個情法違反がプライバシー権侵害を常に構成するわけではなく、プライバシー権侵害が常に個情法違反となるわけでもありません。両者は似て非なるものです。
*4 本稿は筆者個人の見解に過ぎず、『新アプリハンドブック』の他の著者の見解を代表するものではありません。
なお「アプリの本」ということで、本書の刊行を伝えた数名から「ついにiPadの本ですか」という反応を頂きました。この記事の影響と思われますが、本書は「iPadの本」ではありません(笑)。

この記事が気に入ったらサポートをしてみませんか?