電気通信事業法は、電気通信回線設備を設置提供するいわゆる通信キャリアから、インターネットへの接続を提供するサービス、そしてインターネット上で提供されるWebサービスやアプリケーションにまでその適用範囲を広げ、同法の対象となる事業者は年々増加しています。

 

現代では、ほとんどの企業でWebサイトやアプリを通じた情報発信やビジネス、情報収集を行っていますが、ユーザがWebサイトを閲覧するアクセスに付随して、広告配信のターゲティング用の情報やアクセス解析用のデータなど、利用者に関連するあらゆる情報を収集するための膨大な通信も発生しています。

 

2023年6月に施行された改正電気通信事業法では、利用者がWebサイトを閲覧する行為に付随して、Webサービスとは直接関連のない第三者にデータを送信させる行為に関する規律「外部送信規律」が新設されました。

 

外部送信規律は、一部では「Cookie規制」とも呼称されており、Webサイトのアクセス解析やユーザの行動分析、ターゲティング用のデータ収集に大きな影響を及ぼす規律です。現在、ほとんどのWebサイトで使用されているGoogle Analyticsも例外ではなく、場合によっては法的なリスクがゼロではないケースがあることをご存じでしょうか。

 

この記事では、改正電気通信事業法の外部送信規律と、Google Analyticsの懸念点について見ていきます。

改正電気通信事業法がアクセス解析へ及ぼす影響

kaiseidenki-google-analytics-1

電気通信事業法で「外部送信規律」が新設された背景とはどのようなものだったのでしょうか?

 

2018年5月に施行されたGDPR、2022年4月に施行された改正個人情報保護法では、個人データのプライバシーを保護する目的で法規制が強化されていますが、Webサービスやアプリケーションを通じた個人データの収集を情報通信の観点から規律として定めたのが「外部送信規律」です。

外部送信規律とは

利用者情報の外部送信に関する規律です。電気通信事業を営む者(電気通信事業者と第3号事業者の一部)は、利用者の端末外部送信を指示するプログラム(データ収集を目的としたタグ等)を送る際は、あらかじめ、送信される内容を利用者に通知・公表(利用者が知り得る状態に置く)等をしなければなりません。

外部送信規律が制定された背景

SNSや動画共有、ニュース配信、検索等、無料で利用できるインターネット上のサービスの利用が広がる一方で、これらを無料で提供するプラットフォーマーが利用者の情報を収集し、蓄積し、場合によっては事業者の間で共有しています。

 

問題になっているのは、 ”利用者が知らないうちに” 利用者に関する情報が事業者間で共有され、その活用によって利用者が影響を受ける可能性が高まっている点、あるいは実際にすでに影響を受けている点であり、近年、プライバシー保護の観点から各所で問題視されています。

 

Webサービスやアプリケーションを利用する際に、利用者が認識していない状態で利用者に関する情報が収集され、プログラムからの指示によって利用者が認識していない状態で利用者の端末から第三者に自動的に送信されており、この種類の通信は増加の一途を辿っています。

 

その結果、表示されるコンテンツや広告配信の内容が自動でカスタマイズされたり、特定のカテゴリに勝手にターゲティングされるなど、利用者が知らないうちに利用者が閲覧する情報が選別され、影響や不利益を被るケースが増加しています。

 

このような背景から、改正電気通信事業法では、利用者が安心してサービスを利用できるようにするため、該当する電気通信事業者がタグや情報収集モジュール(SDKなど)を使用し、利用者に関する情報を利用者に外部送信させるデータについては、その内容を通知・公表し、利用者が確認できるようにする規律、「外部送信規律」を新設しました。

参考:総務省 外部送信規律について

改正電気通信事業法とCookie

外部送信規律の対象に「タグ等のプログラムによって、外部の第三者に送信させるユーザに関する情報」とありますが、アクセス解析においては、Cookieを用いてユーザに関する情報の記録を行い、タグで解析サーバに送信する手法が一般的です。

 

Cookieには、Webサイトの機能上必要不可欠なCookie、いわゆる必須Cookieやアクセス解析などユーザのトラッキングを目的としているCookie、いわゆるトラッキングCookieなど、さまざまな種類があります。外部送信規律で規律の対象としているのは、「Webサイトの機能上必要不可欠なCookie以外のCookie」と記述されています。

 

電気通信事業者もしくは第3号事業者で要件に該当する事業者で、タグによってGoogle Analyticsなどのアクセス解析やユーザの行動分析、ターゲティング等に用いるデータを外部に送信させ、Cookieを用いてユーザに関する情報の収集を行っている場合は、同規律への対応が必要となるかどうか、必ず確認しましょう。

 

また、第三者ではなく事業者自身で管理するサーバに送信する1st Party Cookieに含まれる情報であっても、利用者に関する必要不可欠ではない情報は、外部送信規律の対象となるという総務省のコメント(参考リンク内の問6-3参照)もあり、判断には十分な留意が必要です。

参考:総務省 外部送信規律FAQ

改正電気通信事業法の外部送信規律に対応するためには

kaiseidenki-google-analytics-2

改正電気通信事業法の外部送信規律は、事業者に対して、ユーザに情報の取扱いに関する方針を明示し、ユーザに確認の機会を与えることを義務付けています。具体的には、「通知・公表」「ユーザの同意取得」「オプトアウト」のいずれかを実施することを求めています。

ユーザへ伝えるべき情報の取扱いに関する説明

ユーザに対して、以下の3点を明確に伝える必要があります。

 

1.ユーザのデバイスからサーバへ送信される情報の内容

2.1の情報を取扱う者の氏名または名称

3.1の情報の利用目的

通知・公表

情報の取扱いに関する説明を、ユーザへ通知するか、容易に確認できる状態(公表)に置きます。通知の場合は、ユーザのブラウザにポップアップなどでメッセージを表示し、上記の内容をユーザへ通知します。公表の場合は、ユーザが容易にたどり着ける場所に上述の内容を記載します。

 

それぞれ日本語で、専門知識を持たないユーザでもわかりやすい文面を適切な文字サイズで表示させなければなりません。

ユーザの同意取得

情報の取扱いに関する説明について、同意するためのチェックボックスや確認ボタンをユーザの画面に表示します。ユーザが能動的に同意することが重要であり、自動的にチェックを入れておく、閉じるボタンで閉じた場合は同意と見なす、などは認められません。

オプトアウト

ユーザが情報収集や利用を拒否できる仕組みを実装します。オプトアウト措置を講じており、なにをすればユーザがオプトアウトを申込めるのかを明確に表示します。また、オプトアウトにより停止される情報はなにか、サイト上の機能が制限されるか、といった情報も合わせて記載しましょう。

参考:総務省 外部送信規律について

 

対応方法にはいくつかの選択肢がありますが、いずれにしても「情報の取扱いに関する説明」は、ユーザへ明確に伝えなくてはなりません。総務省では、通知または公表を義務としています。

 

一方で事業者がサービス提供にあたり必要不可欠な情報(必須Cookie等)や事業者が利用者に送信した識別符号でサービス提供上必須のもの(認証情報等)、利用者がオプトインした情報、利用者が通知・公表で認識している情報でかつ利用者がオプトアウトを求めていない情報、については通知または公表は不要としています。

 

外部送信規律によって、ユーザが安心してサービスを利用できる環境が整うことはもちろんですが、事業者側の透明性をアピールすることで、適切で健全な情報収集やデータ活用の推進にも繋がります。改正電気通信事業法の要件を整理し、他の関連法(GDPRや改正個人情報保護法)との要件の差異を今一度、確認してみるとよいでしょう。

Google Analyticsの懸念点

kaiseidenki-google-analytics-3

Google Analyticsは、日本において数多くの企業がアクセス解析のために使用しているツールのひとつです。しかし、昨今のプライバシー保護を目的とした規制を考慮した場合、Google Analyticsの利用がリスクとなる可能性がある点を知っておきましょう。

Cookieの取扱い

現在公開されているGoogle Analytics4では1st party cookieを用いていますが、Google Analyticsで収集した情報を分析するためにGoogleが管理しているサーバへデータを送信しています。これは、改正電気通信事業法の外部送信規律の対象となるため、前述した対策が必要となります。まずは、自社のサービスが外部送信規律の対象となるのかどうかを確認しましょう。

参考:総務省 外部送信規律について

関連法規との差分の確認

GDPRや改正個人情報保護法への対応として、同意取得ツール(CMP)の実装やプライバシーポリシー、セキュリティポリシーの公開等、すでに対応を完了している場合も、改正電気通信事業法の外部送信規律の通知・公表の要件を今一度確認し、差分をチェックすることをお勧めします。

・GDPR

個人データの収集や管理、利用に関して定められたEU圏の規則です。EU圏の居住者の情報が対象とされており、日本企業であってもインターネットを通じてEU圏の個人データを扱う場合はGDPRの規則が適用されます。

 

GDPRは違反した際の制裁金が高額であることで知られ、事業者が意識しなければならない規則のひとつです。Google Analyticsの利用がGDPR違反であると裁定され、実際に制裁金が課されたケースも存在しており、日本企業であってもGDPR違反を指摘されるリスクは存在します。

内部リンク:GDPRがgoogle analyticsの利用に与える影響とは?

・改正個人情報保護法

個人関連情報(Cookieや位置情報等の識別子など)の第三者提供について、提供先の第三者が個人関連情報をデータの照合などを通じて、個人データとして取扱うことが想定される場合は、個人情報の第三者提供に準じた規制対象となるため、事前に本人からオプトインを取得する必要があります。

参考:個人情報保護員会 個人関連情報を第三者に提供する場合に留意すべき事項とは?

 

個人情報保護法は、改正を経て、現在では国内のほぼすべての事業者が同法の適用対象となっています。違反時の罰則も厳罰化されており、国内で初の逮捕者が出た事案も発生しています。外部送信規律の対象となるデータ送信がこのケースに該当しないかどうか、自社の個人関連情報の収集や管理状況を再確認することをお勧めします。

内部リンク:改正個人情報保護法の適用範囲は?

改正電気通信事業法への対応を前提としたサービスの活用

改正電気通信事業法を遵守し、適切な範囲で情報収集やアクセス解析を行うことは、ユーザのプライバシーを保護するために欠かせない企業の責務と言えます。

 

法規制が強化される以前では、特別な理由がなければGoogle Analyticsを利用することで安定したアクセス解析を実現できていましたが、アクセス解析ツールは自社の要件と法的リスクの双方を加味し、慎重に選定することが求められてきていると言えるでしょう。

 

RTmetricsは、改正電気通信事業法やGDPRなどの法令遵守を前提としたアクセス解析基盤を構築し、安全かつ多角的な分析を可能とするアクセス解析ツールです。既存のサイトにも導入しやすく、求められる法的な要件のハードルを緩和することにも繋がります。

 

アクセス解析と法令遵守の最適解にお悩みの方は、ぜひご検討ください。