本当のCookie規制がやってくる!省令公布迫る改正電気通信事業法のポイント解説【ウェビナーレポート】
昨今、世界各国と同様に、日本でも加速しているのが、プライバシー保護に関する規制です。今年4月に施行された「改正個人情報保護法」は、プライバシー保護への規制強化に向けた対策の一つではありましたが、デジタルマーケティングに直接大きな影響を与えるCookieへの規制は含まれていませんでした。
本当のCookie規制はこれからです。今年6月に国会で成立した「電気通信事業法改正案」では、「情報送信指令通信」としてまさに「Cookie」を規制の対象にしています。
本ウェビナーでは、日本における個人情報保護分野の第一人者であるDataSign社の太田 祐一氏を講師としてお招きし、11月に省令発出予定の電気通信事業法の改正について内容を解説しました。今後のデジタルマーケティングに大きな影響を与える「Cookie規制」について、今押さえておくべきポイント、今後を見据えたCMP(同意管理プラットフォーム)ツールの必要性などをご紹介いたします。
今まさに、企業のデータプライバシーやデジタルマーケティングに関わっている皆様は、ぜひご確認ください。
改正個人情報保護法への各社の対応状況
改正個人情報保護法の施行から半年が経ちました。まずは、ウェビナー申し込み時に伺ったアンケート結果から、各社の対応状況を見ていきましょう。
改正個人情報保護法への対応状況
8割近くが「対応済み」「一部対応済み」ですが、2割程度はまだ未実施となっています。
Cookieの利用に関して実施していること
今回のウェビナーのテーマにあるCookieについては、3つの項目を聞きました。
・Cookieにより送信されるデータ・送信先の通知または事前公表
・Cookieを利用する場合の利用者の同意取得
・Cookieの利用停止(オプトアウト)方法の提供
こちらに関しては、いずれも3割程度が対応済みとのことでした。
CMPツールの導入状況について
今回の改正個人情報保護法の影響もあり、今後は国内でも導入が進んでいく見込みなのがCMPツールです。GDPRの影響もあり、海外では普及が進んでいます。現段階では、利用中の企業は13%。7割近くが「導入未定」「わからない」となり、まだまだ国内では、導入が進んでいない状況が明らかになりました。
電気通信事業法改正の経緯
それではここから、本ウェビナーのテーマである電気通信事業法改正の経緯についてみていきましょう。
今年の6月に国会で成立した改正電気通信事業法ですが、今回の改正の範囲は広く、図①のように、大きく3つの柱があります。
このうち、「②安心・安全で信頼できる通信サービス・ネットワークの確保」が、今回のウェビナーに大きくかかわる部分です。
特に重要な部分が、赤枠で囲われている「事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する」という部分です。
「第三者に送信させようとする場合」とは
「第三者に送信させようとする場合」とは、どのようなことを差しているのでしょうか。
WEBサイトやアプリでは、サイトを訪れた時にサイトを訪問した履歴が残ります。個人は特定できなくても、ある端末からアクセスがあったことがわかるのです。さらに、Google アナティリクスのタグや広告のタグなど、様々なタグがサイトに設置されており、図②のようにデータが第三者に送信されます。この時にタグと一緒にくっついている識別子が、3rd Party Cookie(外部の第三者によって発行されるデータID)です。
3rd Party Cookie自体は、徐々に使えなくなっていくことが見込まれていますが、そうなると別の方法で事業者はデータを送信しようとするため、いたちごっこの状態が生まれます。そこでCookieに限らず、第三者にデータを送信する際には個人に確認を取ってもらいましょうというのが、今回の改正の趣旨です。
プライバシーに対する意識の高まり
日本経済新聞に「情報共有先、5割が明示せず 閲覧履歴など主要100社」(2019年2月26日付)として、この問題が一面で大きく取り上げられたのは今から3年以上前です。今回の法改正の大きなきっかけとなった記事ですが、この時に日本経済新聞と一緒に実態の調査を行ったのがDataSign社です。
図③のように、個人情報を保護する法律は各地にあります。EUのGDPR、アメリカ各州のCCPA(2023年1月よりCCRA)やVCDPAなどでは、事業者が第三者に情報を送信させることが規制対象となっています。
日本では4月に改正された個人情報保護法で、個人が特定される個人情報に関するデータの送信については規制が入ったものの、Cookieに関しては規制されませんでした。
改正個人情報保護法で規制の対象とはならないもの
【ケース1】サイトの事業者が情報を直接取得するもの
SNSなどの個人情報が登録されたウェブサイトにタグを設置し、サイトの事業者が直接情報を取得しているケースです。タグによりウェブサイトで実行されたアクションを把握して、宣伝の効果を測定することが可能になります。
個人情報と紐づくので個人関連情報になり、規制の対象になるのではないかと思うかもしれませんが、ウェブサイトの事業者が直接情報を取得しており、第三者ではないため規制の対象とはなりません。
【ケース2】個人情報に当てはまらない情報
また、よくあるものとして、ウェブサイトやアプリに設置された広告タグ/SDKを、アドテク事業者が直接取得するものがあります。図④のようにCookieIDや他の識別子で管理された情報は、日本では個人情報ではないため、規制の対象とはなっていません。
ただし、世界的に見ても規制がないというのは珍しいため、世界の標準に合わせていく必要性が求められていました。そこで、電気通信事業法を改正することで、第三者にデータを送信するということについて、本人に確認を取りましょうということになったのです。
電気通信事業法改正案の内容
ウェビナーが開催された2022年10月25日は、総務省令のパブリックコメントを募っているところでしたが、太田氏は「原案から大きくそれることはないだろうと思われます」としています。
図⑤は、電気通信事業法改正案第二十七条の十二(情報送信令通信に係る通知等)に書いてある内容をまとめたものです。
「総務省令で定める」されているところが複数あり、細かいところは総務省令を見なければわかりません。
それでは、ひとつずつ見ていきましょう。
改正電気通信事業法の対象となる行為
改正電気通信事業法の対象行為は、当該利用者の電気通信設備(PCやスマホ)を送信先とする情報送信指令通信です。情報送信指令通信というのが、まさにタグを送るという行為です。
GDPRなどでは、情報送信指令通信という表現ではなく、3rd Party Cookieなどのオンライン識別子とされています。ただし、実際に外部にデータ送信をしているものはオンライン識別子だけではないため、識別子を使わずにデータ通信をするツールは対象外となってしまう可能性があります。
情報送信指令通信という表現はわかりにくいですが、オンライン識別子に限らず、第三者に情報を送信する指令をしていることが規制の対象となります。
改正電気通信事業法の対象事業者
対象事業者については、「電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」とされています。
最初はアクセス数が多いところだけを対象にしようという案がありましたが、利用者にとってはサイトの利用者の数にかかわらず自分の利益に及ぼす影響は変わらないため、アクセス数で対象を限定しないことになりました。結果として、総務省令案では以下のようになっています。
●以下のサービスで、ブラウザ又はアプリケーションを通じて提供されるもの。
・利用者間のメッセージ媒介等=電気通信事業者
・SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等=第三号事業
・オンライン検索サービス=第三号事業
・各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)=第三号事業
一番わかりにくいのが、「各種情報のオンライン提供」でしょう。この内容については、総務省の電気通信事業参入マニュアルによると、「電気通信設備(サーバ等)を用いて、天気予報やニュース等の情報データベースを構築し、インターネットを経由して利用者に提供するものをいう」と書かれています。ほとんどのウェブサイト、アプリケーションが該当しますが、対象となるのは事業として行っているものです。
DataSignのコーポレートサイトを例に見ていきましょう。ウェブサイト自体が無くなっても事業の継続は可能なので対象にはなりません。コーポレートサイトの中でも、ニュースを掲載して人々に見てもらうことで事業化しているところは対象になります。対象にはならないと思っていても、サイト内の情報提供に事業性があると判断されることもあります。これは有償・無償を問いません。
「どこが対象なのかは、なかなか明確には線引きできない部分です。電気通信事業法の趣旨は、利用者がサイトを訪れた時に情報が外部に送信されるということを利用者にお知らせしなくてはいけないということです。事業があるかどうかは関係がないため、今後も議論が続いていく部分だと考えられています」と、太田氏は解説しています。
大規模な事業者かどうかの判断については、「利用者の利益に及ぼす影響が大きい電気通信役務を提供するものとして指定された電気通信事業者」とされており、無料のサービスであれば1000万人以上が使用している電気通信事業などが含まれます。
義務の内容
義務の内容を簡単にまとめると、次のようになります。
【Step1】
・何を
・どこに対して
・何のために
送信しているのかを記載したページを作成
【Step2】
そのページに
・ポップアップで誘導
または
・フッターにリンク表示
・(アプリの場合)最初に表示される画面から誘導
すること
例外
義務の内容で、「通知又は容易に知り得る状態にする」と定められている項目についても、下記については例外と認められています。
・利用する際に送信をすることが必要なもの
=必要な物とは、機能としてウェブサイトが動くかどうかによって判断されます。例えば銀行などで、不正な取引かどうかを判断するために必要なデータ送信などです。広告はビジネスに必要だからといって、アクセス解析や広告のためのタグはなくてもサイト自体は動くので、必要な物とは認められません。
・自社の電気通信設備を送信先として送信されるもの
=他者ではなくサービス提供者自身に送るもの
・送信されることについて当該利用者が同意している情報
・停止する措置(オプトアウト)を講じていること
施行の時期はいつか
気になる改正電気通信事業法の施行のタイミングはいつなのでしょうか。今後のスケジュールは、図⑥のようになっています。
現在パブリックコメントを募集している段階です。来年の3月頃にガイドラインが公布され、施行は来年の4月から6月頃とみられています。
改正電気通信事業法の対応方法
気になる改正電気通信事業法の対応方法について、太田氏は「まだ省令案も固まっておらず、ガイドラインも出ていない状態です。今の状況では、万全な対応は何かとは言い切れません」としたものの、「改正電気通信事業法の義務の内容は同意ではなく、外部へのデータ通信を行うことの通知・容易に知り得る状態にすることです。この点への対応を考える必要があります」と説明しました。
webtruのご紹介
ここで対応策の一つとして、DetaSignが提供するwebtruをご紹介します。webtruでは、ウェブサイトとアプリの両方において、どんなところにデータが送信されているのかを診断し、検査結果を公表・通知するためのウィジェットを提供するツールです。
太田氏はwebtruについて、「日本の事業者であり、日本の市場に合わせてガイドラインをつくる構成員である私の会社が開発を進めているツールです」と自信を覗かせています。
外部送信先は変わることが多いので、毎月最新情報に更新する必要があります。「自社で管理をしていると、更新の漏れや抜けがあるため、ツールを入れる方が完全なものを提供できます。結果的に人件費なども削減できると考えています」と太田氏。現在は総務省令案を反映させながら、対応版を開発中とのことです。
全体のまとめ
今年6月に国会で成立した「電気通信事業法改正案」では、オンライン識別子に限らず、第三者に情報を送信する指令をしていることが規制の対象となります。
対象となるのは、以下のサービスで、ブラウザ又はアプリケーションを通じて提供されるものです。
利用者間のメッセージ媒介等
SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等=第三号事業
オンライン検索サービス
各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)
有償・無償問わず、事業として提供していると判断されると対象になりますが、線引きについては今後も議論が続いていくと考えられています。
施行は2023年の4月から6月頃とみられており、対応の第一歩として、電気通信事業法改正案を理解することが重要です。今回、対象者に義務づけられたのは、同意を取ることではなく、外部へのデータ通信を行うことの通知・容易に知り得る状態にすることです。それに対応したCMPツールを選びましょう。
登壇者紹介
太田 祐一
<経歴>
データ活用の透明性確保と、公正なデータ流通を実現するため2016年に株式会社DataSignを設立。一般社団法人MyDataJapan常務理事。内閣官房デジタル市場競争本部TrustedWeb推進協議会委員。総務省・経産省情報信託機能の認定スキームの在り方に関する検討会委員。総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ構成員。総務省特定利用者情報の適正な取扱いに関するワーキンググループ構成員。
本コンテンツについてのお問い合わせ
株式会社イー・エージェンシー
ビジネスソリューション室 担当:田畑・森田・青木
お問い合わせフォーム
https://datasolution.e-agency.co.jp/#content
この記事が気に入ったらサポートをしてみませんか?