書いてあること

  • 主な読者:ウェブサイトの運営やアプリの提供をしている会社の経営者、法務担当者
  • 課題:2023年6月施行の電気通信事業法改正で新設される「外部送信規律」について、自社が適用対象かどうか分からない。どう対応すればよいのか知りたい
  • 解決策:法令やガイドラインなどを確認し対応を進める。適用対象外だとしても、自社のウェブサイトを見ていると、どこに情報が飛ぶのか、何のために使われているのか、利用者が見ようと思ったら見える場所に載せておくことを検討する

1 電気通信事業法改正で「クッキー規制」が本格化

2023年6月16日に改正電気通信事業法が施行され、いわゆる「クッキー規制」が始まります。クッキー規制は、正確には「外部送信規律」と定義されるもので、

オンラインサービスの利用者に関する情報が外部の第三者に送信される場合、利用者がそのことを確認できるようにしなければならないというルール

を指します。対象となるのはウェブサイトの運営やアプリの提供をしている事業者で、「利用者に関する情報の内容」「送信先の名称」「利用目的」などの通知や公表が義務付けられます。

画像1

電気通信事業法の対象は大手通信会社というイメージがありますが、外部送信規律については幅広い事業者が対象となります。「ウチには関係ない」と、何も対応をしないでいると法令違反になってしまい、思わぬトラブルを招く恐れがあります。第2章で、

外部送信規律の対象となる事業者、事業者がやらなければならないこと

を紹介しているので、自社の事業などと照らし合わせながら確認しておきましょう。

なお、外部送信規律のことを、日本版の「クッキー規制」と呼ぶことがありますが、これは俗称です。実際にはクッキーを使っていなくても外部送信規律に引っかかることがあるので、注意してください。「そもそもクッキーって何?」という人は、第3章をご確認ください。

2 外部送信規律のポイントを整理

1)対象となる事業者は?

外部送信規律の対象となるのは、電気通信事業または第三号事業を営み、「利用者の利益に及ぼす影響が少なくない電気通信役務」を提供している事業者です。

簡単に言うと、

  • 電気通信事業:他人の通信を媒介する事業(特定の利用者同士が使う電話、SNSなど)
  • 第三号事業:他人の通信を媒介しない事業(不特定多数の利用者が使う掲示板など)
  • 電気通信役務:電気通信によって映像や音声、文字等を伝えるサービス

という意味です。

なお、「利用者の利益に及ぼす影響が少なくない電気通信役務」か否かは、サービスの性質で判断されるので、利用者が多いか少ないかは関係ありません。

具体的には次のようなサービスを提供している事業者が外部送信規律の対象です。

画像2

会社概要や自社の商品・サービスについて周知・宣伝するためだけにウェブサイトを運営している場合は、「電気通信事業」に該当せず、外部送信規律も適用されません。

自社運営で自社商品を扱うECサイトも対象外です。例えば、小売業者がウェブサイトを開設して商品販売を行う場合は、本来業務である小売業の遂行の手段として電気通信を用いているにすぎないからです。実店舗における商品販売を行っていない場合であっても、本来業務である小売業の遂行の手段として電気通信を用いているにすぎないことには変わりはないため、外部送信規律は適用されません。

一方、本来業務の遂行手段としての範囲を超えて、独立した事業としてオンラインサービスを提供している場合、外部送信規律の対象となり得るため留意が必要です。

自社が外部送信規律の対象事業者かどうか判断がつかない場合、弁護士などの専門家に相談しましょう。

2)対象事業者がやらなければいけないこと

外部送信規律の対象事業者は、原則として、次の1~3の事項を通知または公表(容易に知り得る状態に置く)しなければなりません。

  • 送信されることとなる当該利用者に関する情報の内容(どのような情報を)
  • 当該利用者の情報を取り扱うこととなる者の氏名または名称(誰に対して)
  • 当該利用者の情報の利用目的(何の目的で送信し、送信先で何に使われるか)

通知する場合、

  • 1~3の事項を容易に確認できるようにする
  • 1~3の事項または1~3の事項を記載した画面のリンクをポップアップなどにより表示する

必要があります。

容易に知り得る状態に置く場合、

  • 外部送信のプログラムを送るページまたはそのページから容易に到達できるページなどにおいて1の事項を表示する(ウェブサイトの場合)
  • 最初に表示される画面、そこから容易に到達できる画面などにおいて1の事項を表示する(アプリの場合)

必要があります。

1~3の事項を通知または公表する際は、次のルールを守らなければなりません。

  • 日本語で記載する
  • 専門用語は使わない
  • 平易な表現を使う
  • 拡大/縮小の操作をしなくても文字が適切な大きさで表示されるようにする

なお、「利用者が同意をしている情報」「事業者がオプトアウト措置(利用者が求めた場合に利用を停止する)を講じている場合で、利用者が措置の適用を求めていない情報」は、例外的に通知または公表の必要はありません。とはいえ、この「同意」や「オプトアウト」を行う場合も、1~3の事項を分かるようにしておく必要はあることに留意が必要です。

3 そもそも「クッキーって何?」という方へ

クッキー(cookie)とは、

ウェブサイトを開いたときにブラウザに保存される小さなファイル

のことです。あるウェブサイトを開くと、そのサイトのウェブサーバーがクッキーを発行し、利用者のブラウザに一定期間、クッキーが保存されます。次回以降、同じウェブサイトを開くと、ブラウザからウェブサーバーにクッキーが送信され、保存されていた情報が表示されます。

こうした仕組みは、普段、利用者にはほとんど意識されることはありませんが、例えば、ネットショッピングで商品を買い物かごに入れたままブラウザを閉じ、しばらくしてから再びそのサイトを開いたとき、買い物かごに商品が入ったままなのはクッキーが残っていたからです。

クッキーは、利用者の行動を追跡しデータを収集するためにも利用されています。ウェブサイトを開くと、自分の好みに合いそうな商品を勧められたり、検索したことと関連する広告が表示されたりするのもクッキーのせいです。

こうしたクッキーを利用した「ターゲティング広告」などについては、便利な半面、得体の知れない気持ち悪さを感じる人が多いのも事実です。クッキーによるデータ収集が個人のプライバシーの侵害につながる懸念が高まり、無秩序なクッキーの利用を規制する動きが広がりつつあります。

日本では、2022年4月に個人情報保護法が改正され、クッキーで得た個人関連情報を第三者に提供し、個人を識別する情報とひもづける際は利用者本人の同意が必要になりました。
そして、2023年6月に電気通信事業法が改正され、「外部送信規律」が設けられました。

4 もっと詳しく知りたい方へ

1)参考URL

■総務省「外部送信規律」■
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html
■総務省「外部送信規律FAQ」■
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu_00002.html
■総務省「電気通信事業参入マニュアル(追補版)」■
https://www.soumu.go.jp/main_content/000477428.pdf
■総務省「電気通信事業参入マニュアル(追補版)ガイドブック」■
https://www.soumu.go.jp/main_content/000799137.pdf
■総務省「電気通信事業における個人情報保護に関するガイドライン」■
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html

2)同意管理プラットフォーム(例)同意管理プラットフォーム(Consent Management Platform:CMP)とは、ウェブサイトの運営者が、利用者のクッキーを取得する際に同意を得るためのツールです。拒否された場合はクッキー取得を制御します。次のようなツールが挙げられます。

■onetrust■
https://www.onetrust.com/
■Sourcepoint■
https://sourcepoint.com/
■Priv Tech「Trust360」■
https://privtech.co.jp/service/trust360/
■DataSign「webtru」■
https://webtru.io/
■クラウドサーカス「Cloud CIRCUS CMP」■
https://cloudcircus.jp/products/cmp/

以上(2023年6月)
(監修 みらい総合法律事務所 弁護士 田畠宏一)

pj60247
画像:Svetlana-Adobe Stock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です