個人情報保護法と外部送信規律の違いをざっくり理解する

コウモリIT法務

※「ざっくり」とタイトルを決めて書き始めたが思いのほか細かくなってしまっています。

あいかわらず新しいウェブサービスやウェブサイトを考えるときは個人情報保護法と外部送信規律の両方の検討に苦労しているのであるが、毎回担当者に「両者の違いは?」という質問を受ける。

正直厳密に区別する意味はあまりないので担当者に説明するときは「どういった情報を取得して、どういった流れで、どう使うのか教えてもらえればあとはこっちでやります」というように大雑把にしか説明しないが、外部送信規律があとから出てきたために、個人情報保護法は意識されていても外部送信規律については知らない担当者がほとんどなので追加的に説明をせざるをえないことが多いし、真面目な担当者(特にエンジニア)は「???」となることが多い。

なので今回は両者の違いについて説明したい。

そもそものウェブサイト(ログイン型)の仕組み

まずはログイン型のウェブサイトについてさらっと。
ウェブサイトはまずユーザー登録をして、ユーザーのデータベースを作成する。
ユーザー認証にはBASIC認証のような毎回認証が必要なステートレス型がある。
これでは面倒であるので、一回認証したらある程度保持するステートフル型が登場した。これはCookieやトークンを使用する。

ステートフルなウェブサイトの仕組み(Cookieを使った場合)

このようなユーザーを識別するCookieは1つとは限らず、1回のアクセスで複数発行されることはある。

外部送信規律がターゲットにしたCookieの使い方

そのようなCookieのうち、広告配信用のCookieを用いた広告配信サービスが登場した。代表的なものはGoogle Analyticsなどである。

Google Analytics用のタグ(Javascript)を仕込んだウェブサイトは、閲覧者に広告配信用のCookieを送信させる。この送信先が、ウェブサイト自身ではなく、Googleのサーバである。
Googleは複数のサイトを閲覧したユーザーを、Cookieで識別して訪問履歴から興味関心のカテゴリを識別し、広告枠を設置したサイトの広告バナーに、カテゴリに応じた広告バナーを配信する。

これを抽象化したのが、外部送信規律の条文である。

(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。

電気通信事業法

利用者の電気通信設備=パソコンやスマホなどの端末に対し、
情報送信指令通信=端末から情報を送信させるJavascriptなどを起動させること
という関係になる。

勘違い例①(あくまで対象は「情報送信指令通信」であること)

ここでよく勘違いされるが、条文から否定される代表例が以下である。

  • 利用者自身による入力データのサーバへの送信は「指令」ではない。

  • サーバでデータが生成される場合(ログなど)やサーバ間の通信(サーバ監視サービスなど)は「利用者の電気通信設備を送信先とする情報送信指令通信」ではない。

  • いったん利用者の端末から送信された情報が、さらに転送される場合も、その転送自体は「利用者の電気通信設備を送信先とする情報送信指令通信」ではない。

またクラウド型のセキュリティサービスやロードバランサーは外部送信に該当しそうだが、施行規則で除外されている。

勘違い例②(対象になる送信情報はCookieに限らないこと)

対象になる送信情報は「利用者の電気通信設備に記録された当該利用者に関する情報」であるので、Cookieに限らず、広告IDのような同等の広告配信用の識別子だけでなく、閲覧履歴、電話番号帳内の電話番号などデータ全般が含まれる。
※ただし、これらの情報の送信が「電気通信役務の提供に真に必要=それがないとサービスが成り立たない」ならば、通知・公表の対象ではない。

勘違い例③(「送信先」はサードパーティーに限らないこと)

また、GoogleAnalyticsなどを念頭にしていると説明すると、「ではサードパーティーへ送信させることはないので大丈夫ですね」と言われるが、「利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能」であるので、利用者以外=ウェブサイト運営者自身のサーバも含まれる

そのため、対象の情報を自身のサーバに送信させる場合も該当しそうだが、施行規則でセッション保持目的の情報は対象外にしている。

個人情報保護法と比較すると

当初個人情報保護法との二重規制であるという捉え方がされていたが、個人情報保護法と比較すると、以下のようにコンセプト的には異なるものと整理できる。

個人情報保護法は「個人を特定できる情報」であることがターゲット
外部送信規律は「利用者端末外に不要に情報送信させること」がターゲット

しかし、そうはいっても両者は非常に近接する領域であるし、求められていることも似ているため、その差異がややこしい。

両者の違いをややこしくしているもの

「個人関連情報」の存在

個人情報保護法には「個人関連情報」が存在する。
個人関連情報は、リクナビ内定辞退率事件を契機に導入された概念で、まさにCookie(やハッシュ化された個人データ)などを対象にしている。
そのため、「Cookie=個人情報保護法で何かあったはず」というイメージを持っていると、両者の違いが混同されがちになる。

通知・公表事項の違い概略

個人情報保護法にしろ、外部送信規律にしろ、該当する場面で一定の事項を通知・公表する必要がある。しかし、内容と場面が異なる。
※両法ともオプトアウトによる方法があるが、ややこしくなるため割愛する。

個人情報保護法が対象にしている場面が広すぎるため単純な比較は困難だが、だいたいで比較すると以下のようになる。
外部送信規律では、「送信先の名称」が必要であるのが、個人情報保護法に基づく公表事項からは漏れがちな点になる。

通知公表内容の違い

外部送信規律は、「日本語を用い、専門用語を避け、及び平易な表現を用いること」を義務付けており、パブリックコメントにおいても、「送信先の利用目的等を示すリンク先が英語等日本語以外の場合については、リンクの表示のみで対応することは認められません」と、サードパーティが英文でしか情報を用意していない場面でも日本語での説明が必要であると回答している。
個人情報保護法はこの点、言語や明瞭性についての言及はない。

通知公表タイミングの違い

個人情報保護法は、利用目的の通知・公表は「個人情報を取得する場合」に必要であるので、いわば(最低限)「取得時ごと」に必要である。(あらかじめ公表する場合もあるが)

一方で、外部送信規律では、「情報送信指令通信ごとに」通知・公表が求められている。これについてガイドラインでは、「ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに記載する必要がある(情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト単位で(ウェブページごとではない)まとめて表示すること等も考えられる。)。」となっている。

つまり、個人情報保護法は場面単位であるのに対し、外部送信規律はツール単位である。

両者の違いによって対応で困りそうなこと

公表事項をプライバシーポリシーで一体にするか、分けるか

公表対応を取る場合、外部送信規律は必要な情報を網羅していれば個人情報保護法対応のためのプライバシーポリシーと一体化することが認められている。

両者を一体にする場合、両者の違いを考えて書きすぎ、書き足りないの調整が必要になる可能性がある。

そのため記載事項の粒度、担当部署の違いなどの都合で、別にすること(1つのポリシー内で別セクションにする場合を含む)も考えられる。

「漏えい」の概念の違い

最後に、微妙な点とは思うが、外部送信規律の対象になる場合、通信の秘密も適用されるが、「個人データの漏えい」と「通信の秘密の漏えい」についても、実際にインシデントが起こった際の対応が混乱する可能性があるため触れておく。

個人情報保護法のガイドラインでは、以下のように説明している。

個人データの「漏えい」とは、個人データが外部に流出することをいう。
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合(※)は、漏えいに該当しない。

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1

一方、外部送信規律自体ではなく、電気通信事業法全体論として、電気通信事業分野における個人情報保護ガイドラインでは、個人データの漏えいとの対比で、「電気通信事業法で規定する通信の秘密の「漏えい」は、他人の知り得る状態に置くことを意味し、考え方が異なることに注意が必要である。」

電気通信事業法で規定する通信の秘密の「漏えい」は、他人の知り得る状態に置くこととされており、通信当事者の有効な同意を得た場合や正当業務行為等の違法性阻却事由がある場合を除き、「漏えい」に該当する。この点、外国政府により、 情報収集活動への協力義務を課す制度に基づき、通信の秘密が取得された場合、通常、違法性阻却事由に該当するものではなく、このため、通信当事者の有効な同意を得ていない場合には、通信の秘密の漏えいに該当することとなる。

電気通信事業における個人情報 等の 保護に関する ガイドライン 「漏えい」の考え方

両者の違いとして、
・対象が「個人データ」であるか「通信の秘密」であるか。個人データはあくまでも個人情報であることが前提のため「特定の個人」に関するものであるが、通信の秘密は法人に関する情報も含まれるし、個人や法人の特定とは無関係の情報も対象になる。
・「第三者に閲覧されないうちに全てを回収した場合」は個人情報保護法では漏えいではないが、電気通信事業法では漏えいに該当する。
・外国政府の制度による取得は、個人情報保護法では「法令に基づく場合」や「国の機関等への協力」に該当して第三者提供になる可能性はあるが、電気通信事業法では漏えいに該当する。

なお「通信の秘密」とは、「通信内容にとどまらず、通信当事者の住所・氏名、発受信場所、 通信年月日等通信の構成要素及び通信回数等通信の存在の事実の有無を含む。※」としており、通信当事者の死亡後であっても保護の対象となる。
※ほかにも、電話番号等の当事者の識別符号、通信量やヘッダ情報等の構成要素も含まれる。
電気通信分野の個人情報保護ガイドラインでも以下のような図で説明している。

しかし、外部送信規律において、通信の秘密に該当しうるものが、果たしてどれだけあるか、起こりうるか、漏えいを引き起こした事業者は誰か、このあたりは、実際にインシデントが起こった際に悩ましいと思われる。

いいなと思ったら応援しよう!