Webサイトの運営やアプリの配信など、オンラインを通じて展開するビジネスにおいて、ユーザ情報の収集・活用は極めて重要な要素です。マーケットにおいて手法やツールが増加する中で、ユーザのプライバシーを適正に保護しながら、公正なデータ活用を推進する観点での関連法の改正や施行規則の施行の動きも急速に進んでいます。

 

ユーザのプライバシーを尊重・保護することと、自社の事業に有益な情報を継続的に収集し、データ活用を行うことは、今や事業者にとって両立すべき課題となっています。そのような中、2023年6月に施行された改正電気通信事業法では、「外部送信規律」というルールが新設されました。

 

電気通信事業法は数々の改正を経て、インターネット上で所定のサービスを提供する事業者や総務省への届出が不要な事業者の類型(第3号事業者)が追加されるなど、その適用範囲を年々拡大しており、外部送信規律は、インターネット上でサービスを展開する事業者であれば、押さえておくべき内容となっています。

 

この記事では、外部送信規律の基礎知識や対象となる事業者について解説し、万が一法律に抵触してしまった場合に想定されるリスクを解説します。

改正電気通信事業法の外部送信規律とは?

kaiseidenki-gaibusousinkiritu-1

電気通信事業法の一部改正が2022年に可決され、2023年6月に改正電気通信事業法として施行されました。デジタル技術が発展し、さまざまなサービスがインターネット上で提供される現状に対応し、引き続き各種通信サービスの公正な競争促進や利用者利益の保護、安全な通信を確保することを目的としています。

 

改正電気通信事業法についてはこちらの記事でも詳しく解説しています。併せてご覧ください。

【関連記事】:改正電気通信事業法とは?概要や企業が行うべき対策をわかりやすく解説!

外部送信規律とは

外部送信規律は、Webサイトやアプリを利用するユーザの端末から外部に情報を送信するよう指令するプログラム等をユーザの端末に送信する行為全般を規制するものです。

 

具体的には、ユーザに関する情報を外部に送信する指示を行うプログラムを送る際、どのような情報を送信し、その情報がどのように扱われるのかを「通知・公表」しなければならないとしており、規律の対象となる事業者は、ユーザに対して確認の機会を付与する義務が課されています。

 

現代では様々なWebサイトや通信を行うアプリが存在し、ユーザはPCやスマートフォンなどのデバイスから各種サービスを利用しています。その際、ユーザが認識していない状態で自身に関する情報が外部へ送信される状況が生じており、電気通信サービスの信頼性やユーザのプライバシーが大きく損なわれる事態が懸念されています。このような背景から外部送信規律が導入されました。

外部送信規律でやるべきこと

外部送信規律では、同規律の対象となる電気通信事業者が、利用者の端末に外部送信を指示するプログラムを送る際、あらかじめ、送信される利用者に関する情報の内容等を通知・公表(利用者自身が容易に知り得る状態に置く)等をしなければならない、としています。

 

具体的には、同規律の対象となる電気通信事業者に以下のいずれかの対応を求めています。

・情報取扱いに関する説明

収集する情報の内容や、その用途を平易な文章で記載します。

・同意の取得

確認ボタンやチェックボックスなどを配置し、ユーザが能動的に同意の意思を表示する仕組みを実装します。

・オプトアウト

情報の取扱いにユーザが同意しない場合、それを拒否できる仕組みを実装します。何をすれば拒否できるのかをわかりやすく表示する必要があります。

【参考】:総務省 外部送信規律について

 

ここでいう「利用者に関する情報」としては、Cookie等に記録されているIDや広告ID等の識別符号、利用者のWebサイトやアプリ上における行動履歴情報、端末IDや端末のシステム情報、システムログ等が挙げられます。

 

インターネット通信を活用したサービスを展開する事業者にとって、外部送信規律は知っておくべき重要な規律です。外部送信規律で行うべきことの詳細は、以下の記事でも解説しています。併せてご覧ください。

【関連記事】:Google Analyticsは大丈夫?改正電気通信事業法を遵守したアクセス解析とは

どのサービスが外部送信規律の対象となるのか?

kaiseidenki-gaibusousinkiritu-2

外部送信規律の対象となる事業者は幅広いため、自社のサービスが対象なのかどうか正しく把握する必要があります。ここでは、外部送信規律の対象となる基準や定義について見ていきましょう。

外部送信規律の対象となる事業者

総務省では、外部送信規律に従わなければならない事業者を「電気通信事業者又は第三号事業を営む者(いずれも電気通信事業を営む者)で、「利用者の利益に及ぼす影響が少なくない電気通信役務」を提供している電気通信事業者」としています。

【引用】:e-gov 電気通信事業法 第二十七条の十二

 

第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。

 

「利用者の利益に及ぼす影響が少なくない電気通信役務」とは、具体的にはブラウザやアプリを通じて以下に該当するサービスを指します。

①通信を媒介するサービス

利用者間のメッセージ媒介等(同条第1号)

②プラットフォームを提供するサービス

SNS、電子掲示板、動画共有サービス、オンラインショッピングモール等(同条第2号)

③情報検索サービス

オンライン検索サービス(同条第3号)

④情報配信サービス

ニュース配信、気象情報配信、動画配信、地図等の各種情報のオンライン提供(同条第4号)

 

また、同時に上記以外の他の電気通信役務(利用者の利益に及す影響が少ない電気通信役務)を提供する際の外部送信に関して規律を課すものではない、ともされています。まずは自社のサービスが外部送信規律の対象となるのかどうかを確認しましょう。

【参考】:総務省 外部送信規律FAQ

外部送信規律の対象となるか曖昧なケース

個別の状況により、自社サービスが外部送信規律の対象となるのかどうか、判りにくい場合もあるでしょう。いくつか例をご紹介します。

・利用者が少ないニュース配信サイト

「利用者の利益に及ぼす影響が少なくない電気通信役務」としてニュース配信サイトが該当しますが、利用者が少ない場合はどうでしょうか。

このケースでは、外部送信規律の対象となります。ニュース配信サイトであること自体が外部送信規律に該当し、利用者数が影響することはありません。

・実店舗での商品販売をせず、自社Webサイトにて販売している小売業

Webサイト上での商品販売を行っていますが、本来業務は小売業です。

このケースでは本来業務の遂行手段として電気通信を用いており、「電気通信事業」に該当しないことになります。そのため、外部送信規律は適用されません。

 

自社の本来業務や提供するサービスの特性により、外部送信規律の対象となるのかを正しく判断することが大切です。

改正電気通信事業法の外部送信規律に違反するリスク

kaiseidenki-gaibusousinkiritu-3

外部送信規律で対象としている「利用者に関する情報」は、事業者が公表・通知するとされています。ここで対象となる情報の多くは、いわゆる個人情報ではなく、個人情報保護法でいうところの「個人関連情報」に該当するものと想定されます。

 

これは、電気通信事業法では、Cookieや端末ID等、利用者に関する識別符号の情報単体で保護対象としていることを意味しています。

総務省によるガイドライン

総務省は、電気通信事業における個人情報等の保護に関するガイドラインを公開していますが、同書の解説内において、以下のように記述しています。

【参考】:電気通信事業における個人情報等の保護に関するガイドライン

 

「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法又は電気通信事業法違反と判断される可能性がある。一方、「適切である」、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法又は電気通信事業法違反と判断されることはないが、個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。

 

外部送信規律は、総務省への届出が不要な第3号事業者も適用対象に含まれているため、事業者が認識しない状態で法令違反をしている可能性も十分にあり得ます。まずは、自社の事業やサービスが外部送信規律の対象に含まれるかどうか、点検を行うことが重要です。

個人情報保護法など関連法規と外部送信規律の差分の確認

外部送信規律で送信する利用者に関する情報の多くは、個人情報保護法でいう「個人関連情報」に該当すると考えられます。個人情報保護法では、個人関連情報は個人情報には該当しませんが、後から情報が付加される、照合によって個人が識別できる、といった場合、その時点から個人情報に該当する、とされています。

 

外部送信後のデータ処理のプロセスにおいて、個人関連情報から個人情報になってはいないか?外部送信先が第三者であることによる、個人情報の第三者提供に該当していないか、一度、全体のデータフローとデータ処理のプロセスをチェックしておくとよいでしょう。

 

外部送信規律においては、①収集する情報の内容や用途の通知・公表 ②同意の取得 ③オプトアウト のいずれかの対応を対象となる事業者に求めていることをここまで見てきました。

 

一方で個人情報保護法では、個人データの第三者への提供には「あらかじめ本人の同意が必要」としています。また、個人情報の第三者提供においては、提供者と受領者の両方に確認・記録義務を課しています。

【参考】:個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)

 

別の例では、外部送信規律においては、委託先であっても第三者となりますが、個人情報保護法では、委託による個人データの提供先は第三者に該当しない、としています。

【参照】:個人情報の保護に関する法律についてのガイドライン(通則編)

 

近年では、プライバシー関連法規の法改正の頻度が上がっていることもあり、定期的に専門家や有識者にアドバイスを求めるなど、事業を主管している組織のより主体的な姿勢が望まれます。法律ごとの規律や規則の内容を正確に把握し、プライバシー関連法規全体へのコンプライアンスを確実に実行し、企業としてのリスク管理、信頼性確保、企業価値の向上などプライバシーガバナンスを有効に機能させる観点も重要です。

外部送信規律違反時の罰則

外部送信規律は新設された規律であり、対象としている「利用者に関する情報」は、長らく法的な規制がかかってきませんでした。改正法の施行から1年、総務省のホームページを確認すると2024年6月時点で関連する業務改善命令はまだ出ていないようですが、行政指導の実績は確認できます。

 

個人情報保護法違反で国内初の逮捕者が出るなど、プライバシー保護に対する世間の関心の高さもあり、今後は電気通信事業法の執行にもより意欲的な姿勢を示してくる可能性もあるでしょう。事業者としてはきちんとした対応を心掛けたいところです。

 

違反が認められた場合、行政指導や業務改善命令等の処分、法令違反を行った者の氏名等の公表などが行われる可能性があります。また、業務改善命令に従わない場合は、罰則や罰金の対象となります。その他、ビジネス上の信用リスクも認識しておく必要があるでしょう。

電気通信事業法の外部送信規律を遵守した情報収集を

外部送信規律は多くの事業者に適用され、小規模に立ち上げられるニュースサイトやSNSであっても該当するため、自社のサービスが対象となるのかをしっかりと見極めることが重要です。プライバシー保護の観点から、自分自身の情報がどのように取扱われているのか、関心を持つ利用者も確実に増加しています。

 

企業は法令を遵守しながら適切な情報管理を行い、それを顧客やステークホルダーに示さなければなりません。独自のプライバシー保護対策の他にも、既に多くの企業が導入している外部ツールを使用することで、多くのリスクや手間を排除することができる可能性があります。

 

中でもRTmetricsは、GDPRなど海外の法令にも対応し、1st party cookieにより柔軟に情報を収集・管理することができるアクセス解析ツールです。法令遵守しながら情報収集の質を維持し、様々な環境や要件に合わせて使用できるため、意図しない法令違反のリスクを大きく軽減することができます。

 

ご興味のある方はぜひご検討ください。