ブログ
外部送信規律の施行(2023年6月)が間近です
2023.04.13
はじめに
ウェブサイト運営者やアプリ提供者に広く適用される外部送信規律の施行が2023年6月16日に迫っていますが、適用範囲について誤解されているケースも多く、注意が必要です。
外部送信規律は2022年の電気通信事業法改正によって新たに導入された規律です。これまで、電気通信事業法による規制は、その多くが、同法に基づいて登録・届出を行った「電気通信事業者」にのみ適用されていました。しかし、今回新たに導入された外部送信規律という規制は、登録・届出の有無にかかわらず、ウェブサイト運営者/アプリ提供者に広く適用されるものです。
自社が運営するウェブサイト上に外部事業者のタグを設置したり、自社が提供するアプリに外部事業者の情報収集モジュール(SDK)を組み込んだりすることにより、外部事業者がユーザー(ウェブサイトの閲覧者やアプリの利用者)の閲覧履歴等を収集できるようにしている場合があります。外部送信規律は、このような情報収集が行われる場合に、ウェブサイト運営者/アプリ提供者に対して、一定の事項をユーザーに説明することなどを義務付けるものです。なお、後述する通り、ウェブサイト運営者/アプリ提供者が自ら行う情報収集にも、例外的に規律が適用される場合があります。
なお、改正電気通信事業法を踏まえて、個人情報保護委員会及び総務省が作成・公表する「電気通信事業における個人情報保護に関するガイドラインの解説」が改正され、「電気通信事業における個人情報等の保護に関するガイドラインの解説」となる予定であり、改正後のものには外部送信規律に係る考え方も追記される予定です。本稿執筆時点においては、当該改正の案文(以下「ガイドライン解説改正案」といいます。)が既に公表されており、2023年4月25日までのパブリック・コメント〔外部サイト(e-Gov)〕に付されています。以下の内容はこのガイドライン解説改正案の内容に基づきます。
規律の適用対象
規律の対象となるのは、①電気通信事業を営む者が、②法定の4類型のサービスのいずれかを行う場合です(改正電気通信事業法27条の12)。以下、順にご説明します。
(1) 電気通信事業を営む者
「電気通信事業」とは、電気通信役務を他人の需要に応ずるために提供する事業をいいます(法2条4号)。
「電気通信役務」とは、電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいいます(法2条3号)。ウェブサイトの運営やアプリの提供は、サーバという「電気通信設備」を他人(ユーザー)の通信の用に供するものであるため、「電気通信役務」に該当し、それが他人の需要に応ずるために行われるのであれば、「電気通信事業」に該当します。「電気通信役務」に該当する場合でも、それが自己の需要のために行われる場合には「電気通信事業」に該当しません。
他人需要と自己需要の判断基準については、事業者が、電気通信役務を必ずしも前提としない別の自らの本来業務の遂行の手段として電気通信役務を利用しているに過ぎない場合には、自己需要に該当すると判断されます。例えば、企業が会社概要や自社の商品・サービスについて周知・宣伝するためだけにウェブサイトを運営する場合には、自己需要で行うものであり「電気通信事業」には該当しません。
これに対して、オンラインニュースや映像コンテンツの配信など、自社のサービス自体がインターネット経由で提供される場合には、その提供のために行うウェブサイトの運営は、ユーザーという他人の需要に応ずるためのものであり、「電気通信事業」に該当します。
この区分に関しては、総務省が公表している「電気通信事業参入マニュアル(追補版)ガイドブック」において、具体的な事例ごとの考え方が示されていますが、自己需要か他人需要か、判断が難しいケースが多いのも現実です。判断が難しい場合には、法律の専門家に相談するか、安全策をとって電気通信事業に該当する前提で外部送信規律への対応を進めることが考えられます。
(2) 4類型のサービス
「電気通信事業」を営む者が提供する電気通信役務(ウェブサイトの運営/アプリの提供)のうち、外部送信規律が適用されるのは以下の4類型のいずれかに該当するものに限られます(改正電気通信事業法施行規則22条の2の27、ガイドライン解説改正案7-1-2)。もっとも、下記④の類型はその対象範囲がかなり広いため、注意が必要です。
類型 | 該当するサービスの例 | |
① | 他人の通信を媒介するサービス | メールサービス、ダイレクトメッセージサービス、クローズドチャット、ウェブ会議システム |
② | 利用者が情報を入力(書き込み、投稿、出品、募集などを含む)した情報を、不特定の利用者が受信(閲覧)できるようにするサービス | SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、参加型オンラインゲーム |
③ | オンライン検索サービス ※インターネット上の全てのウェブページを対象とした検索サービスのみが該当します。各ウェブサイト内での検索ツールなどはこれに該当しません。 |
Google検索、Yahoo!検索 |
④ | 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス | ニュースや気象情報等の配信サービス、電子書籍や動画の配信サービス、オンライン地図サービス |
前述のとおり、企業が会社概要や自社の商品・サービスについて周知・宣伝するためだけにウェブサイトを運営する場合には、他人の需要のためではなく、「電気通信事業」に該当しません(その結果、外部送信規律の適用を受けません)。これに対して、一般に「オウンドメディア」と呼ばれるウェブサイトの運営については、類型④のサービスに該当する場合が多いと考えられますので、「電気通信事業」を営むものかという点を含めて、外部送信規律の適用の有無を慎重に検討する必要があります。この点は見落とされがちであるため、注意が必要です。
なお、類型②・③の「不特定の利用者」という要件については、アカウント登録や利用料の支払いをすれば誰でも受信・閲覧できる場合も、「不特定の利用者」に含まれる点に注意が必要です(ガイドライン解説改正案7-1-2の(2))。
規律の内容と対応方法
規律の内容については、冒頭で簡単に説明しましたが、こちらでもう少し詳しく解説したいと思います。
外部送信規律により、事業者が利用者の端末に対して、「情報送信指令通信」を行おうとする場合には、下記の①~③のいずれかの措置を講じることが求められます。「情報送信指令通信」とは、簡単に言えば、利用者の端末に対して、端末に記録されたユーザーの情報を端末外に送信するよう指示する電気通信のことです。例えば、ユーザーがタグの設置されたウェブサイトを訪問した際や、情報収集モジュール(SDK)が組み込まれたアプリを利用した際には、ウェブサイト運営者/アプリ提供者のサーバから利用者の端末に対して、ブラウザ識別子(Cookie ID)、広告識別子、IPアドレス等の情報を外部事業者のサーバへ送信するように指示がなされますが、これが「情報送信指令通信」に該当します。また、外部事業者ではなく、ウェブサイト運営者/アプリ提供者のサーバへ送信するように指示する電気通信も、端末外への情報送信を指示するものではあるため、「情報送信指令通信」に該当します。
|
措置内容(いずれかを選択) |
① |
次の事項について、利用者に通知し、又は利用者が容易に知り得る状態に置く 【必須の事項】 【望ましい事項】 |
② |
利用者の同意を取得する |
③ |
オプトアウト措置を講じる |
事業者は、自らが講じる措置を上記の①~③から自由に選択することができますが、最も簡便であることから、措置①の「利用者が容易に知り得る状態に置く」方法(以下では、便宜上、「公表」と呼びます。)を採用する事業者が多いものと思われます。
公表措置を行う場合には、ウェブサイトであれば、「利用者情報の外部送信について」などと題するウェブページを設けて上記の事項をタグ/情報収集モジュールごとに記載し、当該ウェブページへのリンクを、「情報送信指令通信」が行われるすべてのウェブページのフッターに設置する方法が考えられます。他には、必要事項を既存のプライバシーポリシーに追記する方法も考えられます。アプリについては、アプリの起動後最初に表示される画面に「利用者情報の外部送信について」へのリンクを設置する方法などが考えられます。
規律対象外となる通信
以上が原則論ですが、ユーザーの端末外への情報送信であっても、例外的に外部送信規律の適用が無い(=公表等の必要がない)ものが存在します。その主なものが、電気通信役務の提供のために「真に必要な情報」を送信させる場合です。ガイドライン解説案によれば、ウェブサイト運営者/アプリ提供者以外の外部事業者に対して送信させる情報は、原則として「真に必要な情報」に該当しないものとされています。他方で、ウェブサイト運営者/アプリ提供者に対して送信させる情報は、原則として「真に必要な情報」に該当し、ユーザーが通常想定しない情報が送信される場合や、ユーザーが通常想定しない利用目的で情報が利用される場合には、例外的に、「真に必要な情報」に該当しないものとされています。
対応に向けたステップ
外部送信規律への対応に当たっての最初のステップは、ウェブサイトに設置されたタグや、アプリに組み込まれた情報収集モジュール(SDK)を特定することです。それに続いて、タグや情報収集モジュールごとに、送信先、送信される情報の内容及び利用目的を確認するというステップが必要となります。以上のステップの結果を踏まえ、公表文を作成することになりますが、公表文の掲示場所やリンクの設置方法については、社内のウェブサイト運営を所管する部門と早めに協議しておく必要があるでしょう。
外部送信規律への対応は、法務部門のみで実施できるものではないため、早い段階からウェブサイトの運営やアプリの提供に関わる部門や、タグの設置を主導している部門も巻き込んで、ワンチームで対応することが必要です。また、ウェブサイトやアプリの数が多いと、準備に相応の時間を要しますので、早めに準備を開始することも重要です。なお、ウェブサイトのタグの洗い出し作業を自動化するためのツールも存在しますので、対象となるウェブサイト数が多い場合などには、導入を検討することも考えられます。
以上
Member
PROFILE