2023年6月施行 本当のCookie規制が始まる!改正電気通信事業法の最新情報と具体的な対応ポイント解説【ウェビナーレポート】
欧米だけでなく日本でも意識が高まるプライバシー規制に対応するため、昨年6月に「電気通信事業法改正案」が成立し、ついに2023年6月に改正・施行されることが決まりました。
本ウェビナーでは、改正電気通信事業法のガイドライン開設案のワーキンググループメンバーとしても活動されるDataSign社の太田 祐一氏を講師としてお招きし、最新情報を詳しくご解説いただきました。
いよいよ改正・施行が迫る中、企業が対応するべき具体的な義務の内容や気をつけたいポイント、CMP(同意管理プラットフォーム)ツールの必要性などをご紹介いたします。
これから電気通信事業法改正について詳しく知りたい方だけでなく、対応される企業のご担当者様にもお役立ていただける内容となっております。
※は2023年1月24日に実施したウェビナーの内容となります。
電気通信事業法改正のポイント
「外部送信規律」について
電気通信事業法改正は範囲が広いのですが、今回お話しするのは「外部送信規律」と呼ばれる部分になります。
外部送信とは、ユーザーのパソコンやスマートフォンといった端末に記録された利用者に関する情報を、ユーザー以外の者の電気通信設備(Webサーバ等)に送信することです。
外部送信規律とは、利用者のオンライン上での行動情報がどこにどのように送信されているのか、利用者自身が確認できるよう機会を設け、ルールを定めたものです。
https://www.soumu.go.jp/main_content/000797453.pdf
改正の背景
次に、改正の背景をご説明したいと思います。
皆様も御存知の通り、世界においては個人情報に一定の規律が存在しております。
EUのGDPR、アメリカ各州のCCPA(2023年1月よりCCRA)やVCDPAなどでは、事業者が第三者に情報を送信させることが規制対象となっています。
Cookie等単体で法的な制限がないのは日本のみです。
日本でも、閲覧しているサイト以外にCookie等が送信されていることを利用者が確認できる機会を付与しなければならないといった背景から、昨年、電気通信事業者法が改正され、いよいよ2023年6月16日施行されることになりました。
昨年2022年4月には個人情報保護法が改正・施行され、Cookieの問題が対応されたように思われますが、実はCookieの問題は個人情報保護法では対応しきれていません。
なぜかと言うと、第三者にデータを送信しているが個人情報ではなかったり、データを送信しているが個人関連情報の第三者提供とならないなど、個人情報保護法では規律されないものになるためです。
Cookie規制が個人情報保護法だけではカバーされない理由
個人情報保護法ではカバーされない理由とはどういった意味か、詳しく解説します。
例えば、あるWebサイトにFacebookのいいねボタンや各種タグなどを設置した場合、Facebookに「誰が」「どのページを閲覧したか」が送信されます。
これを個人情報保護法で考えると、個人情報の第三者情報ではなく、Facebookがユーザーから直接個人情報を取得しているという考え方になるため、タグの設置Webサイト側がサイトを閲覧するユーザーから同意を取る必要はありません。
つまり、個人情報保護法の範囲では個人関連情報の第三者提供とならないため、この問題に対応できていないことになります。
また他の例として、アドテクのタグを設置した場合、CookieのIDなど閲覧ページ情報が送信されますが、同様にこれも個人情報ではないため個人情報保護法では規律がありません。
「情報送信司令通信」の対象となる行為について
身近なPC、スマホも対象になる
利用者の電気通信設備(PC・スマホ)を送信先とする情報送信指令通信を行う場合は、外部送信規律の対象となります。
電気通信設備とは大掛かりな設備のことを指すのではなく、我々も身近に使っているパソコンやスマートフォンのことを指します。
タグやSDKの設置は情報送信指令通信になる
情報送信指令通信とは、自社で運営しているサイトに広告タグやGoogleアナリティクス等のタグを設置すること、アプリの場合はSDKを取り込むといったことです。
自社サイトに設置されている広告タグの元を辿ると、広告タグはサイトのサーバー側に設置されているため、ブラウザは広告タグが設置されているサーバーからコードを読み込み、ブラウザで実行して送信されます。自社で運営するサイトなどに広告タグやアナリティクスタグなどを設置している場合、このような仕組みで動いていることになります。
ユーザーがあるWebサイトを訪問した場合を例にすると、そのWebサイトやアプリを閲覧した情報(Cookie情報)は、Webサイトの運営元だけでなく、外部のマーケティング会社(例えばGoogleやFacebookなど)にも送信されています。これはGoogle アナリティクスのようなアクセス解析ツールの場合も同様で、Cookie情報はアクセス解析ツールを提供する会社にも送信されています。
改正電気通信事業法の義務の内容
改正電気通信事業法の義務の内容は、下の項目を…
・情報送信指令通信ごとに(タグが設置されているごとに)
・送信されることとなる当該利用者に関する情報の内容や
・当該情報の送信先となる電気通信設備がなにか
・情報の送信元および送信先の利用目的
日本語で平易な表現を用いて、適切な文字の大きさで容易に知りえる状態、または通知を行いなさい、というものです。
その上で、ユーザーにオプトアウトさせても、ユーザーから同意を取得しても良いですよ、となっています。
改正電気通信事業法の義務の内容をもう少しかみ砕いてみると、
・何を
・誰に
・何のために送信するか
・送信先では何に利用されるか
を送信先毎に記載したページを作成すべし、ということです。
Webサイトの場合、送信先を一覧で確認できるページを作成して、ポップアップで誘導するか、当該ページのフッターにリンクを表示します。これが通知、容易に知ることができる状態です。
アプリの場合は、最初に表示される画面から誘導することが「容易に知る事ができる状態」に該当します。
企業が対応するべき具体的な記載方法例
さらに具体的な方法として、MyDataJapan※が提案する記載方法例を紹介します。
※注釈
MyDataJapanは、個人が自分自身のデータを所有し、管理し、制御することができるようにするMyDataの考え方を日本に導入し、実現するための非営利団体です。
【記載方法例】
・送信元の利用目的
・送信元の氏名または名称
・送信元オプトアウトに関する記載
・送信先での利用目的
・送信先の利用目的
・送信先での利用のオプトアウト
・送信される情報の内容
https://www.soumu.go.jp/main_content/000847484.pdf
外部通信規制の対象となる事業者とは?
自社が外部通信規制の対象になるのかどうか、気になる方が多いと思います。
ここからは総務省令記載の対象事業者について4つに分けてご説明します。
1.他人の通信を媒介する電気通信役務
1番目の対象は、「他人の通信を媒介する電気通信役務」になり、主なサービスとしては、携帯キャリアなどの以下のようなものが挙げられます。
携帯キャリア・ISP・メールサービス・LINE等のメッセージサービス・ウェブ会議システム
2.不特定多数との情報のやりとりが発生するサービス
2番目の対象は、「不特定多数と情報のやりとりする場を提供するサービス」です。主なサービスとしては、SNSをはじめとする以下のようなものが挙げられます。
SNS・掲示板・動画共有サイト・シェアリングサービス・マッチングサービス・オンラインショッピングモール
3.検索サービス
3. 入力された検索情報に対応して、当該検索情報が記録された全てのウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務
3番目は、Google等のいわゆる検索サービスに当たります。
4.各種情報のオンライン提供
4. 不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの
4番目は、「電気通信事業参入マニュアル」という総務省から出ている文書の中で、各種情報のオンライン提供とまとめられている「電気通信設備(サーバ等)を用いて、天気予報やニュース等の情報を、インターネットを経由して利用者に提供するものをいう。」と記載されている部分です。
https://www.soumu.go.jp/main_content/000477428.pdf
Webを利用した大半のサービスがこの4番の対象になるのでは?と思われるかもしれませんが、総務省から出ている「電気通信事業参入マニュアル(追補版)ガイドブック」という資料の11枚目、「電気通信事業に該当しないもの」によると、「企業・個人・自治会等のホームページ運営」、さらに、ポイントとして「自己の情報発信のために運営」する場合は『自己の需要のため』に実施しているものとなります、と記載されています。
https://www.soumu.go.jp/main_content/000799137.pdf
判断が難しい場合のポイント
上記4.のような判断が難しい場合は「自己の情報発信のために運営」しているかどうかを基準に考えます。
先ほどとは別の総務省ガイドラインに記載の通り、自己(自社)の情報しか書いていない場合は自己の需要のために実施しているものになります。
企業のホームページだから対象外、オンライン販売だから大丈夫です、などとは一概に判断できるものではありません。
判断が難しい場合の例を、以下のような具体例を挙げてご説明します。
・株価等のオンライン情報提供は「電気通信事業」に該当しない
・金融情報のニュース配信を行っている場合は「電気通信事業」に該当する
オンライン証券事業者を例にすると、株価等のオンライン情報提供は「電気通信事業」に該当しませんが、金融情報のニュース配信を行っている場合は「電気通信事業」に該当することになります。
総務省から出ている「外部送信規律に係る 電気通信事業における個人情報保護に関するガイドラインの解説案 について」という別の資料には、「金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供は「電気通信事業」に該当しないが、当該金融事業者が証券・金融商品等についてのオンライン販売のウェブサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は情報の送信(電気通信役務の提供)の事業として独立していると考えられ、「電気通信事業」に該当する。」と書いてあります。
例示したオンライン証券事業者の場合だけでなく、ECサイトで商品を販売するためにニュース情報を配信することもありますよね。
ポイントは自己の情報発信のためであれば該当せず、他人の需要に答える場合は該当するという点になります。
自社が対象事業者かどうか迷ったら
自社のサービスが今回の対象事業者にあたるのか、迷うこともあると思います。
ワーキンググループには弁護士の先生方も参加されており、その発言をまとめると、以下のような対応が推奨されると言えます。
・自社が対象事業者かどうかの判断に迷ったら、Cookieポリシーを作る。
・外部通信タグを設置する場合は、通知・公表する。
罰則の有無とリスクについて
電気通信事業法改正案 第二十九条に業務の改善命令に関する記述があります。
違反した際に考えられるリスクは罰則の有無ではなく、企業が業務の改善命令を受けたことがニュースになり、この命令を受けた企業のレピュテーション(評判)が下がるといった点にあります。
https://elaws.e-gov.go.jp/document?lawid=359AC0000000086_20230616_504AC0000000070
CMP(同意管理プラットフォーム)ツールを取り入れたい3つの理由
すべての情報送信指令通信の把握は難しい
例えばGoogle アナリティクスのみを設置したつもりでも、Google広告や、そこから先に繋がる他の事業者にも知らずに外部通信が行われていた、入れたつもりのないタグが検出されるといった、外部通信先の把握に抜けや漏れがあったという事例が多くあります。
すべての情報送信司令通信を自社で把握し、管理していくことは困難だと考えています。
外部送信先一覧の公表、さらに送信先での利用目的も必要に
今回の改正では、外部送信先の企業名やサービス名を公表するだけでなく、外部送信先での利用目的も記載することが求められます。
この外部送信先の分までをすべて自社で調査しようとすると、調査や管理だけでかなりの工数が割かれてしまい、運用が大変です。
タグの更新毎に対応が求められる
仮に自社で頑張って調査して、一覧表を作ったとしても、一般的にマーケティング系のタグは入れ替えが頻繁にあるものです。
タグの入れ替えや新規設定があるたびに、マーケティング担当者だけでなくプライバシーポリシーを担当する法務部門も連携して対応・更新していくのでは、本来の業務の運用がまわらなくなってしまいます。
このように、Webやアプリを運営する企業が直面する課題を解決し、改正に対応するにはCMP(同意管理プラットフォーム)ツールの導入が有効です。
CMPツール「webtru(ウェブトゥルー)」のご紹介
DetaSignが提供するCMPツールである「webtru(ウェブトゥルー)」をご紹介します。
webtruでは、ウェブサイトとアプリの両方において、どんなところにデータが送信されているのかを診断し、検査結果を公表・通知するためのウィジェットを提供するツールです。
外部送信先一覧の公表だけでなく、送信先での利用目的を記載するといった今回の改正にも対応済のCMPツールです。
ウェビナー参加社アンケート結果のご紹介
①改正個人情報保護法への対応状況について
昨年4月に施行された改正個人情報保護法への対応状況は、対応済み、一部対応済みを併せて約8割のお客様が対応済という結果でした。
②Cookieの利用に関して実施していることは?
続いて②企業様のCookieの利用に関しての結果です。
本日のウェビナーのタイトルにもなっていますが、改正電気通信事業者法ではCookieの利用に関する規制が強まっています。
回答結果は以下のようになりました。
①Cookieにより送信されるデータ・送信先の通知または事前公表・・・31%
②Cookieを利用する場合の利用者の同意取得・・・14%
③Cookieの利用停止(オプトアウト)方法の提供・・・23%
「②Cookieを利用する場合の利用者の同意取得」に対しては導入のハードルがやや低い14%でした。
57%の企業様がCookieの利用に関して①②③いずれかの対策を実施済となっています。
中には①②③ すべて対応されているお客様が 7%ほどいらっしゃいましたが、改正電気通信事業法では「情報通信先での利用目的も掲載」が必要です。
③CMP(同意管理)ツールの導入状況は?
CMP(同意管理)ツールを「利用中」と「検討中」を併せて4割程度の企業様が利用中、検討中です。
昨年2022年10月のウェビナー開催時に本設問と同様の質問を行っており、その際の回答割合は2割でしたので、前回比で倍増している状態です。
改正電気通信事業法施行が迫り、昨年10月と比較してご導入の意識が高まっている様子が伺えました。
本記事のまとめ
外部通信規律の対象となる事業者
携帯キャリア・ISP・メールサービス・LINE等のメッセージサービス・ウェブ会議システム
SNS・掲示板・動画共有サイト・シェアリングサービス・マッチングサービス・オンラインショッピングモール
オンライン検索サービス
各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)
自社が対象事業者かどうかの判断に迷ったら、Cookieポリシーを作る。
外部通信タグを設置する場合は、通知・公表する。
改正電気通信事業法の義務の内容は、
情報送信指令通信ごとに(タグが設置されているごとに)
送信されることとなる当該利用者に関する情報の内容や
当該情報の送信先となる電気通信設備がなにか
情報の送信元および送信先の利用目的
というもので、これらを日本語で平易な表現を用いて、適切な文字の大きさで容易に知りえる状態、または通知を行います。
その上で、ユーザーにオプトアウトさせるか、ユーザーから同意を取得します。(いずれかの対応で構いません)
今回の改正にWebやアプリを運用する企業が対応するには、CMPツールを導入した運用・管理がおすすめです。
改正電気通信事業法はいよいよ今年6月の施行まで迫っています。
本改正への対応にお困りの場合やCMPツール「webtru」導入のご相談は、イー・エージェンシーまでお気軽にご連絡ください。
登壇者紹介
太田 祐一
<経歴>
データ活用の透明性確保と、公正なデータ流通を実現するため2016年に株式会社DataSignを設立。一般社団法人MyDataJapan常務理事。内閣官房デジタル市場競争本部TrustedWeb推進協議会委員。総務省・経産省情報信託機能の認定スキームの在り方に関する検討会委員。総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ構成員。総務省特定利用者情報の適正な取扱いに関するワーキンググループ構成員。
本コンテンツについてのお問い合わせ
株式会社イー・エージェンシー
ビジネスソリューション室 担当:田畑・森田・青木
お問い合わせフォーム
https://datasolution.e-agency.co.jp/#content
この記事が気に入ったらサポートをしてみませんか?