今回は、個人情報法務ということで、電気通信事業法による外部送信規律の概要について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
外部送信規律とは
近年、インターネットサービスの発達に伴って、ウェブサイトやアプリケーションを利用する際、利用者自身が認識していないうちに、利用者の端末から第三者に利用者の情報が送信されている場合があります(外部送信)。
そこで、透明性を高めるとともに、利用者が安心してサービスを利用できるようにするために、電気通信事業を営む者のうち一定の事業者は、利用者の端末に外部送信を指示するプログラムを送る際は、あらかじめ、送信される情報の内容を通知・公表するなどして、利用者に確認の機会を与えなければならないという規制が設けられました。
これが外部送信規律であり、制度概要と趣旨に関するFAQは以下のとおりです。
▽外部送信FAQ 問1-1、問1-3(※【 】は管理人注)
外部送信規律の概要を教えてください。
利用者のパソコンやスマートフォン等の端末で起動されるブラウザやアプリケーションを通じて電気通信役務を提供する事業者が、利用者の端末に対して、当該端末に記録された利用者に関する情報を外部に送信するよう指令するプログラム等を送信することがあります。外部送信規律は、このような場合において、電気通信役務を提供する事業者に対し、当該プログラム等により送信されることとなる利用者に関する情報の内容や送信先について、当該利用者に確認の機会を付与する義務を課すものです。
確認の機会の付与の方法としては、通知、利用者が容易に知り得る状態に置く(いわゆる公表)、同意取得又はオプトアウト措置の提供のいずれかを行う必要があります。
ただし、利用者の端末に適正な画面表示をするためなど、当該電気通信役務の利用のために送信することが必要な情報や、当該電気通信役務を提供する事業者が利用者を識別するために自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID)の外部送信については、確認の機会の付与は不要です。
なぜ外部送信規律は導入されたのですか。
Webサイトや、スマートフォン等のアプリ等を閲覧・利用する際に、Webサイトに埋め込まれたタグや、アプリに組み込まれている情報収集モジュールといったプログラム【=端末に記録された利用者に関する情報を外部に送信するよう指令するプログラム】が利用者の端末に送信され、その結果、利用者が認識しないまま、当該端末に記録された利用者に関する情報が、当該利用者以外の者に送信される状況が生じています。送信される利用者に関する情報は、Cookieや広告ID等の識別子、閲覧履歴・行動履歴など幅広く、様々な用途に用いられる可能性があります。 利用者が認識しないままにこのような情報の外部送信が行われていると、利用者が安心して電気通信サービスを利用することができず、ひいては、電気通信サービスの信頼性が損なわれ、電気通信サービスの健全な発達に支障を及ぼすおそれがあります。 よって、利用者が安心して電気通信サービスを利用することができるように、このような情報の外部送信について、利用者に確認の機会を付与することを義務付けたものです。
Cookieとは
外部送信を指示するプログラムとしては、Cookieが代表的です。
Cookieとは、利用者がウェブサイトを訪問した際に、ブラウザを介して利用者の端末に保存される小さなファイルのことで、
- 1st Party Cookie:
利用者が訪問しているウェブサイトのドメインが発行するCookie - 3rd Party Cookie:
利用者が訪問しているウェブサイトのドメイン以外のドメインが発行するCookie
があります(Cookieの発行元による区別)。
1st Party Cookieの場合、利用者がウェブサイトを訪問すると、ウェブサーバが利用者のブラウザに対してCookieを送りつけます。以後、利用者が同じウェブサイトを訪問すると、ブラウザがウェブサーバに対してCookieを送り返すため、ウェブサーバ側は、同じ閲覧者が訪問したこと等を確認できるようになるわけです。
▽日本経済新聞電子版のXアカウント
Cookie規制、対応進む 主要100社の8割が共有先を公表https://t.co/MH9XKggFDF
— 日本経済新聞 電子版(日経電子版) (@nikkei) July 9, 2023
ただ、Cookieは典型例というだけで、外部送信を指示するプログラムはCookieに限られない点に留意が必要です。
▽外部送信FAQ 問1-7
当社のウェブサイトではCookieを利用していません。今回の外部送信規律の適用は受けないと考えてよいでしょうか。
外部送信規律は、利用者の端末から外部に情報を送信するよう指令するプログラム等を利用者の端末に送信する行為全般を規制するものです。このような行為を行っていれば、Cookieを利用していなかったとしても規律対象となります。
根拠条文(電気通信事業法27条の12)
外部送信規律の根拠条文は、電気通信事業法27条の12になります。
非常に長い条文ですが、先に骨子だけ見ておくと以下のような条文構造になっています。
【電気通信事業法27条の12の骨子】
【適用対象事業者】
〇電気通信事業者又は第三号事業を営む者で、
〇利用者の利益に及ぼす影響が少なくない電気通信役務を提供する者は、
【適用対象場面】
〇情報送信指令通信を行おうとするときは、
【義務の内容】
〇送信されることとなる利用者に関する情報の内容などの所定事項を利用者に通知し、または利用者が容易に知り得る状態に置かなければならない(通知・公表義務)
↓ ただし、以下の情報については通知・公表義務はない
【適用除外となる情報】
①サービス提供にあたって必要な情報
②サービス提供者が利用者に送信した識別符号
③利用者の同意を取得している情報
④オプトアウト措置を講じている情報(利用者がオプトアウト措置の適用を求めていない情報)
先ほど見たFAQでは、利用者に確認の機会を付与する方法として、
Ⅰ.通知または利用者が容易に知り得る状態に置く(いわゆる公表)
Ⅱ.同意取得
Ⅲ.オプトアウト措置の提供
という3つが挙げられていましたが、条文の建付けとしては、Ⅱの同意取得とⅢのオプトアウト措置の提供に関しては、通知・公表義務の適用除外という形で定められていることになります(上記の適用除外情報の③と④)。
条文も確認してみます(※かなり長いので適用除外の前と後で大きく区切っています)。
▽本文:適用対象事業者/適用対象場面/義務の内容
(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。…ただし、…
▽ただし書:適用除外となる情報(※【 】は管理人注)
…ただし、当該情報が次に掲げるものである場合は、この限りでない。
【1号:サービス提供にあたって必要な情報】
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
【2号:サービス提供者が利用者に送信した識別符号】
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの
【3号:利用者の同意を取得している情報】
三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報
【4号:オプトアウト措置を講じている情報】
四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置【=オプトアウト措置】を講じていること。
⑴ 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
⑵ 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。
以下、それぞれについて概略を眺めてみます。
適用対象事業者
外部通信規律の適用対象事業者は、
- 電気通信事業者又は第三号事業を営む者で、かつ、
- 利用者の利益に及ぼす影響が少なくない電気通信役務を提供する者、
とされています。
「電気通信事業者」または「第3号事業を営む者」
「電気通信事業者」または「第3号事業を営む者」の部分は、外部送信規律に限って設けられたルールではなく、電気通信事業法の参入規制に関する一般的なルールになります。そのため、これが何なのかを把握するのはかなりややこしいです。
だだ、大ざっぱに整理すると、
- 電気通信事業者:
他人の通信を媒介するタイプの電気通信事業を行う者で、そのために登録または届出の参入手続を済ませた”事業者” - 第3号事業を営む者:
他人の通信を媒介しないタイプの電気通信事業(かつ回線非設置事業)を行う者で、それは適用除外にあたるため参入手続が不要なので、参入手続をせずにそのまま事業を”営む者”
という感じです。
両者とも電気通信事業を行うことは共通しているわけですが、そこで重要なのは、「他人の需要に応ずるために」電気通信役務を提供していることです。
「電気通信事業」は、電気通信役務を、他人の需要に応ずるために提供する事業、と定義されているためです(法2条4号)。
四 電気通信事業 電気通信役務を他人の需要に応ずるために提供する事業(放送法(昭和二十五年法律第百三十二号)第百十八条第一項に規定する放送局設備供給役務に係る事業を除く。)をいう。
逆にいうと、自己の需要に応ずるためである場合、つまり、自己の取引上の通信を扱っているにすぎない場合(ex.小売業者がウェブサイトを開設して商品販売を行っている場合)は、電気通信事業を行っていませんので、適用対象事業者とはなりません。
利用者に及ぼす影響が少なくない電気通信役務
「利用者に及ぼす影響が少なくない」の部分が、外部送信規律の適用対象にしたいサービスを指定しているイメージです。
なので、適用対象事業者に関する要件は、
”利用者に及ぼす影響が少なくない電気通信役務が外部送信規律の対象なんだけれども、そもそも上記のような事業者(電気通信事業者または第三号事業を営む者)であることが前提ですよ”
というニュアンスのことを言っているのだと考えればよいです(管理人的な理解)。
この「利用者に及ぼす影響が少なくない」電気通信役務は、「対象役務」と呼ばれることもあります。
具体的には、
- メッセージ媒介サービス(1号)
メッセージングアプリなど、特定の利用者間のメッセージ交換をテキスト、音声、画像、動画によって媒介するもの(ビジネスマッチングサイトやオンラインゲームなど、サービスの一部として特定の利用者間でのダイレクトメッセージ機能を提供している場合も含む) - SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等(2号)
不特定多数の利用者間での、テキスト、音声、画像、動画の投稿・閲覧機能により発信者と閲覧者がやりとりを行う「場」を提供するもの - オンライン検索サービス(3号)
広範なWebサイトのデータベースを構築し、検索語を含むWebサイトのURL等を、利用者に提供するもの - ホームページの運営(ニュースサイト、まとめサイト等各種情報のオンライン提供)(4号)
インターネット経由で天気予報やニュース、映像などの情報を利用者へ提供するもの
とされています(規則22条の2の27)。
適用対象となる場面(情報送信指令通知)
「情報送信指令通信」とは何かというと、利用者の端末に、外部送信を指示するプログラムを送ることです。
外部送信を指示するプログラムというのは、利用者に関する情報を利用者の端末デバイスから外部に送信させ、収集するための仕組みを実現するコード等であり、
- ウェブサイトの場合:
HTML、CSS、JavaScript等の言語で記述されたウェブサイトを構成するソースコードのうち、上記仕組みを実現する部分(上記仕組みを実現するHTML要素をDOMの中に生成するJavaScriptコード等を含む)など - アプリケーションの場合:
アプリケーションに埋め込まれている情報収集モジュール等の情報送信機能の起動の契機となるプログラムなど
が例として挙げられています(電気通信ガイドライン解説7-1-1-⑴)。
定義としては、
利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能)を起動する指令を与える電気通信の送信
とされています(法27条の12括弧書き)。
ここでいう、外部送信先となる「利用者以外の者の電気通信設備」とは、利用者が電気通信役務を利用する際に通信の相手方となっている者の電気通信設備をいい、第三者のサーバだけでなく、利用者が利用している電気通信サービスを提供している電気通信事業者(ウェブサイトの運営者やアプリケーションの提供者)のサーバも含まれます(電気通信ガイドライン解説7-1-1-⑷参照)。
「第三者」というと、普通、当事者(相手と自分)以外のすべての者を指します
しかしここでは、「利用者以外の者」となっているので、ユーザーから見て、自分以外のすべての者が含まれる、つまり相手方当事者も含まれるということになります
言い換えると、外部送信には、いまユーザーが利用しているサイトやアプリの運営者(=相手方当事者)のサーバに送信することも含まれる、ということです
義務の内容(通知・公表義務)
外部送信規律が適用される場合に、履行しなければならない義務の内容は、所定事項を「通知」または「利用者が容易に知り得る状態」に置くこと(以下「公表」)です。
通知・公表事項
通知・公表事項は、
- 外部送信される利用者情報の内容(1号)
- 送信先で利用者情報を取り扱う事業者名(2号)
- 利用目的(3号)
の3つとされています(施行規則22条の2の29)。
外部送信される利用者情報の内容(1号)
①の利用者情報の内容は、利用者に確認の機会を付与するという外部送信規律の趣旨を踏まえて、利用者が適切に認識できる内容にする必要があります。
例えば、送信される情報を具体的に列挙しないまま「等」や「その他」を安易に使用することは避けるべきとされています(電気通信ガイドライン解説7-3-1-⑴)。
この利用者情報には、以下のように様々なものが含まれます。
▽外部送信規律FAQ 問4-1
「当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容」には、具体的にはどのような内容が含まれますか。(第1号)
利用者の端末に記録されている利用者に関する情報全般を指し、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます。
記載の粒度(特定の程度)としては、あくまでも一例ですが、例えば、利用者が閲覧したWebサイトに関する情報等が外部送信されるような場合において、
「閲覧したWebサイトのURL、当該サイトを閲覧した日時等」
といった記載が考えられます(外部送信規律FAQ問4-7参照)。
利用実態及び利用者の利便に合わせて、実際に送信されている情報がどのような情報か、利用者が適切に認識できるように記載する必要があります。
送信先で利用者情報を取り扱う事業者名(2号)
②の送信先事業者については、事業者名よりサービス名の方が利用者に認知されやすい場合は、サービス名も併記することが望ましいとされています(電気通信ガイドライン解説7-3-1-⑵)。
ただ、サービス名のみの記載は不可とされています(外部送信規律FAQ問4-2参照)。
利用目的(3号)
③の利用目的については、送信元の利用目的(=外部送信のプログラムを送る目的)と、送信先の利用目的(=外部送信された利用者情報を取り扱う目的)の双方を記載する必要があるとされています(電気通信ガイドライン解説7-3-1-⑶)。
また、利用目的は、利用目的が記載された送信先のウェブページや、プライバシーポリシーページへのリンクを示す方法で対応することもできる。この場合、リンクだけでなく、リンク先の内容の概略も併せて示すことが望ましいとされています(電気通信ガイドライン解説7-3-1-⑶)。
通知・公表の方法
通知・公表の方法は、施行規則22条の2の28に定められています。
概略にすると、以下のとおりです。
通知・公表の方法 | 通知の場合 | 公表の場合 |
---|---|---|
通知・公表に共通する方法 | ・日本語で記載する ・専門用語は使わない ・平易な表現を使う ・拡大、縮小等の操作を行うことなく文字が適切な大きさで表示されるようにする ・その他、利用者が通知・公表事項を容易に確認できるような方法にする | |
プロパーの方法 | ・通知・公表事項あるいは通知・公表事項を記載した画面へのリンク等を、ポップアップ等により表示する | ・ブラウザの場合、外部送信のプログラムを送るページ又はそのページから容易に到達できるページ等において、通知・公表事項を表示する ・アプリの場合、最初に表示される画面またはその画面から容易に到達できる画面において、通知・公表事項を表示する |
適用除外となる情報(法27条の12但書)
以上に対して、情報送信指令通信を行おうとするときであっても、例外として、一定の適用除外となる情報については、通知・公表義務を負わないことになっています。
適用除外とされている趣旨は、これらの場合には、利用者に外部送信されることへの確認の機会を付与する必要性が低いと思われるためです。
サービス提供にあたって必要な情報(1号)、サービス提供者が利用者に送信した識別符号(2号)
1号と2号は、利用者に通知等を行う必要まではないと考えられる情報になります。
1号は、電気通信役務を適正に表示するために必要な情報など、その電気通信役務を利用するために送信することが必要な情報です。
具体的には、
- OS情報、画面設定情報、言語設定情報、ブラウザ情報等、電気通信役務の提供のために真に必要な情報(1号)
- 入力した情報の保持等に必要な情報(2号)
- ユーザー認証に必要な情報(3号)
- セキュリティ対策に必要な情報(4号)
- ネットワーク管理に必要な情報(5号)
が挙げられています(規則22条の2の30)。
2号は、電気通信役務を提供する者が利用者に送信した識別符号であって、その電気通信事業者に送信されるもの、です。
この識別符号とは、いわゆる1st Party Cookie(そのCookie ID)のことで、2号の趣旨は、
- この識別符号は利用者が利用している電気通信事業者が生成するものであり、利用者からその電気通信事業者自身に外部送信させてこれを取得しても、利用者に自らが付した識別符号を回収しているに過ぎないこと
- また、その使途も ID・パスワードの入力の省略等と限定的であることが想定されること
からすると、かかる外部送信については利用者の判断を経る必要性が低いと考えられる、という点にあります(電気通信ガイドライン解説7-4-1-2参照)。
では、1st Party Cookie に保存された情報のうち、Cookie ID以外の情報はどうなるのか?というと、この2号には該当しないので、外部送信規律の対象となり得るが、基本的には1号のうち「電気通信役務の提供のために真に必要な情報」に該当するだろう、とされています(電気通信ガイドライン解説7-4-1-2(※1)参照)。
▽外部送信規律FAQ 問6-3
6-1に関連して、First Party Cookieに保存されたIDと一緒に当該電気通信事業者(当該電気通信役務の提供者)に送信される利用者に関する情報も同様に除外されますか。
除外されません。ただし、6-2にあるとおり、当該電気通信事業者に送信される情報は、原則として「真に必要な情報」に該当すると考えられますので、この原則の範囲内では除外されます。
ただし、上記FAQでも「この原則の範囲内では」とされているように、利用者がその電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できないような情報や、通常想定できない利用目的で利用されるような情報については、1号にも該当しません(外部送信規律FAQ問6-2参照)。
利用者の同意を取得している情報(3号)、オプトアウト措置を講じている情報(4号)
3号と4号は、利用者に対する確認の機会の付与の方法として、通知・公表義務の履行ではなく、同意取得(3号)またはオプトアウト措置(4号)を行うケースになります。
3号は、利用者が(外部送信について)同意している情報です。
これが適用除外とされているのは、情報送信指令通信によって送信先の電気通信設備に情報が送信されることについて利用者が同意している場合、電気通信事業者はその利用者に対し、同意の取得を通じて、その情報の送信を認識し、かつ選択する機会を付与しており、これにより確認の機会を付与していることとなるためです(電気通信ガイドライン解説7-4-2参照)。
4号は、所定事項を利用者の容易に知り得る状態に置いたうえで、オプトアウト措置(利用者の求めに応じた送信又は利用の停止)を講じているが、利用者がその措置の適用を求めていない情報、です。
オプトアウト措置を講じるにあたって容易に知り得る状態に置くべき事項(4号ロ)は、
- オプトアウト措置を講じているという事実(1号)
- オプトアウト措置が情報の送信と利用のどちらを停止するものか(2号)
- オプトアウト措置の申込みを受け付ける方法(3号)
- オプトアウト措置を適用した場合、サービス利用が制限がされる場合は、その内容(4号)
- 送信されることとなる利用者に関する情報の内容(5号)
- ⑤の情報を取り扱うこととなる者の氏名又は名称(6号)
- ⑤の情報の利用目的(7号)
とされています(規則22条の2の31)。
結び
今回は、個人情報法務ということで、電気通信事業法による外部送信規律の概要について見てみました。
なお、外部送信規律の根拠法は、個人情報保護法ではなく、電気通信事業法ですが、個人情報保護法の特定分野ガイドラインである電気通信ガイドラインで解説されており、いわゆるCookie等の個人情報保護法でいえば個人関連情報に相当するものを取り扱っていますので、イメージ的には、個人情報法務の関連と捉えた方がわかりやすいように思います。
外部送信規律については、総務省HPや、日本情報経済社会推進協会(JIPDEC)(※プライバシーマーク制度の運営主体)のHPなどに解説があります。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
外部送信規律に関するその他の記事(≫Read More)
主要法令等・参考文献
主要法令等
リンクをクリックすると、法令データ提供システム又は総務省HPの掲載ページに遷移します
- 電気通信事業法
- 電気通信事業法施行規則
- 電気通信ガイドライン(「電気通信事業における個人情報等の保護に関するガイドライン 本文」>第五章)
- 電気通信ガイドライン解説(「電気通信事業における個人情報等の保護に関するガイドライン 解説」>7 外部送信に係る利用者に関する情報の取扱い)
- 外部送信規律FAQ
- 電気通信ガイドラインパブコメ(令和5年5月18日付「『電気通信事業における個人情報保護に関するガイドラインの改正案』に対する意見募集結果」)
- 電気通信ガイドライン解説パブコメ(令和5年5月18日付「『電気通信事業における個人情報保護に関するガイドラインの解説の改正案』に対する意見募集結果」)
【法改正資料等】
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています