個人情報法務

電気通信事業法による外部送信規律|適用対象となる場面(情報送信指令通信)

著作者:creativeart/出典:Freepik

今回は、個人情報法務ということで、電気通信事業法による外部送信規律のうち適用対象となる場面について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

適用対象となる場面(法27条の12本文)

外部送信規律が適用されるのは、情報送信指令通信を行おうとするときです。

(情報送信指令通信に係る通知等)
第二十七条の十二
 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならないただし、当該情報が次に掲げるものである場合は、この限りでない
一~四 (略)

この「情報送信指令通信」が、適用場面の中核概念になります。

情報送信指令通信

情報送信指令通信」とは何かというと、利用者の端末に、外部送信を指示するプログラムを送ることです。

外部送信を指示するプログラムというのは、利用者に関する情報を利用者の端末デバイスから外部に送信させ、収集するための仕組みを実現するコード等であり、

  • ウェブサイトの場合

    HTML、CSS、JavaScript等の言語で記述されたウェブサイトを構成するソースコードのうち、上記仕組みを実現する部分(上記仕組みを実現するHTML要素をDOMの中に生成するJavaScriptコード等を含む)など
  • アプリケーションの場合

    アプリケーションに埋め込まれている情報収集モジュール等の情報送信機能の起動の契機となるプログラムなど

が例として挙げられています(電気通信ガイドライン解説7-1-1-⑴)。

「情報送信指令通信」の定義は、

利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能)を起動する指令を与える電気通信の送信

とされています(上記条文の括弧書き部分参照)。

簡略化しつつ箇条書きにすると、

利用者の電気通信設備が有する
○情報送信機能
 ・利用者の電気通信設備に記録された
 ・その利用者に関する情報
 ・その利用者以外の者の電気通信設備に送信する機能
 を
○起動する指令を与える電気通信の送信

となっています。

以下、太字部分を順に見てみます。

利用者の電気通信設備とは

「利用者の電気設備」とは、利用者が電気通信役務を利用するために使用している電気通信設備をいいます。

例えば、パソコン、携帯電話、スマートフォン、タブレットといった端末デバイスのことです(電気通信ガイドライン解説7-1-1-⑵参照)。

利用者に関する情報とは

「利用者に関する情報」とは、利用者の電気通信設備(端末デバイス)に記録されている情報をいいます。

例えば、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等です(電気通信ガイドライン解説7-1-1-⑶参照)。

利用者以外の者の電気通信設備とは

「利用者以外の者の電気通信設備」とは、利用者が電気通信役務を利用する際に通信の相手方となっている者の電気通信設備をいい、

  • 利用者がウェブサイトの閲覧やアプリケーションの利用を行う際に、(利用者が認識しているかを問わず)通信の相手方となっている第三者のサーバだけでなく、
  • 利用者がウェブサイトの閲覧やアプリケーションの利用を行う際に、その電気通信役務を提供している電気通信事業者(ウェブサイトの運営者やアプリケーションの提供者)のサーバも含まれる、

とされています(電気通信ガイドライン解説7-1-1-⑷参照)。

「第三者」というと、普通、当事者(相手と自分)以外のすべての者を指します。

しかしここでは、「利用者以外の者」となっているので、ユーザーから見て、自分以外のすべての者が含まれる、つまり、相手方当事者も含まれる、ということになります。

言い換えると、外部送信には、いまユーザーが利用しているサイトやアプリの運営者(=相手方当事者)のサーバに送信することも含まれる、ということです。

適用除外となる情報(法27条の12但書)

以上に対して、情報送信指令通信を行おうとするときであっても、例外として、一定の適用除外となる情報については、通知・公表義務を負わないことになっています。

条文としては、冒頭で見た法27条の12の

ただし、当該情報が次に掲げるものである場合は、この限りでない
一~四 (略)

というただし書の部分であり、1号~4号まで、4つの場合が定められています。

適用除外とされている趣旨は、これらの場合には、利用者に外部送信されることへの確認の機会を付与する必要性が低いと思われるという点です。

▽電気通信ガイドライン解説7-4-1

 情報送信指令通信が起動させる情報送信機能によって送信される情報には、利用者が電気通信役務を利用する上で当該電気通信役務を提供するために必要な情報等が含まれる。このような情報については、利用者が当該電気通信役務を利用している以上、その送信が一般的な利用者にとって想定できるものであり、利用者の判断を経る必要性が低いと考えられるため、本規律の適用除外として確認の機会の付与を義務付けないこととしている。

サービス提供にあたって必要な情報(1号)

1号と2号には、利用者に通知等を行う必要まではないと考えられる情報が定められています。

そのうち1号は、電気通信役務を適正に表示するために必要な情報など、その電気通信役務を利用するために送信することが必要な情報です。

一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報

具体的には、規則22条の2の30に定められており、

  • OS情報、画面設定情報、言語設定情報、ブラウザ情報等、電気通信役務の提供のために真に必要な情報(1号)
  • 入力した情報の保持等に必要な情報(2号)
  • ユーザー認証に必要な情報(3号)
  • セキュリティ対策に必要な情報(4号)
  • ネットワーク管理に必要な情報(5号)

が挙げられています。

1号(電気通信役務の提供のために真に必要な情報)に関しては、電気通信事業者が電気通信役務を提供するにあたっては、利用者の端末デバイスに対して送信する符号(文字や記号等)、音響(音楽、音声や効果音等)、影像(画像や動画等)を、利用者の端末デバイスの映像面(ディスプレイ等)に適正に表示する必要があり、そのためには、利用者の端末デバイスのOS情報、画面設定情報、言語設定情報、ブラウザ情報といった利用者の端末デバイスに関する一定の情報を必要とするので、これらの情報の送信については確認の機会の付与を義務付けないこととした、とされています(電気通信ガイドライン解説7-4-1-1-⑴参照)。

「真に必要な情報」かどうかの大まかな考え方としては、電気通信役務を提供している電気通信事業者に送信される情報は原則として該当するが、第三者に送信される情報は原則として該当しない、とされています。

くわしくいうと、

  • 利用者が利用を希望している電気通信役務を提供している電気通信事業者(つまりウェブサイトの運営者やアプリの提供者)に送信される情報
    • 基本的にはその電気通信役務の提供に必要なものであると考えられるため、原則として「真に必要な情報」に該当する
    • ただし、利用者がその電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しない
  • 上記電気通信事業者以外(つまり第三者)に送信される情報
    • 必ずしもその電気通信役務の提供のために必要とは考えられないため、原則として「真に必要な情報」には該当しない
    • ただし、利用者が利用を希望している電気通信役務を提供するにあたり、送信することが必要不可欠な情報については、この限りではない

とされています(電気通信ガイドライン解説7-4-1-1-⑴参照)。

別の言い方をすると、その電気通信役務の提供のために必要不可欠であれば、第三者に送信する場合でも、この「電気通信役務の提供のために真に必要な情報」に該当し得ます。

▽外部送信規律FAQ 6-2

 「その他当該電気通信役務の提供のために真に必要な情報」には具体的にはどのような情報が含まれますか。

 原則として、利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電気通信事業者に送信される情報(※1)(※2)や、利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信事業者以外の第三者に送信することが必要不可欠な情報が該当します。
…(略)…
※2:当該電気通信役務を提供する電気通信事業者に送信される情報であっても、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、該当しません。

2号(入力した情報の保持等に必要な情報)に関しては、例えば、利用者がオンラインショッピングモールにアクセスして特定の品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、その品物を買い物かごに入った状態で再表示するため(いわゆる「買い物かご」機能)に必要な情報などが考えられる、とされています(電気通信ガイドライン解説7-4-1-1-⑵参照)。

3号(ユーザー認証に必要な情報)に関しては、利用者の認証に関する情報を、再度その電気通信役務を利用する際に利用者の映像面に再表示することが利用者の便宜に資する場合があるため、とされています(電気通信ガイドライン解説7-4-1-1-⑶参照)。

4号(セキュリティ対策に必要な情報)に関しては、セキュリティ対策を講じ、不正アクセスやサイバー攻撃等によって、その電気通信事業者や、その電気通信役務の利用者に被害が生じることを防ぎ、また、被害を軽減する必要があるため、とされています(電気通信ガイドライン解説7-4-1-1-⑷参照)。

5号(ネットワーク管理に必要な情報)に関しては、例えば、オンラインゲーム等、利用者が多く多数のアクセスが集中する電気通信役務を提供する際には、特定のサーバ等に過剰な負担がかかることを防ぐため、負荷分散(ロードバランシング)等の措置が必要な場合がある、とされています(電気通信ガイドライン解説7-4-1-1-⑸参照)。

条文も確認してみます(規則22条の2の30)。

(利用者が電気通信役務を利用する際に送信をすることが必要な情報)
第二十二条の二の三十
 法第二十七条の十二第一号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。
 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報
 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報
 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報
 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報
 当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報

サービス提供者が利用者に送信した識別符号(2号)

2号にも1号と同じく、利用者に通知等を行う必要まではないと考えられる情報が定められています。

2号は、電気通信役務を提供する者が利用者に送信した識別符号であって、その電気通信事業者に送信されるもの、です。

二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの

この識別符号とは、いわゆる1st Party Cookie(そのCookie ID)のことであり、2号の趣旨は、

 電気通信事業者は、その利用者に対し電気通信役務を提供する際に、当該利用者を識別するために、文字列で構成された識別符号(First Party Cookie に保存されたID※1)等)を当該利用者に送信して、これを当該利用者の電気通信設備(端末設備)に記録させることがある。当該識別符号は当該電気通信事業者が生成するものであり、当該電気通信事業者が当該識別符号を当該利用者から当該電気通信事業者自身に送信させてこれを取得しても、当該利用者に自らが付した識別符号を回収しているに過ぎずその使途も ID・パスワードの入力の省略等と限定的であることが想定される。この点に鑑みると、当該識別符号の送信については、利用者の判断を経る必要性が低いため、送信される情報の内容等を当該利用者に通知等を行うことを要しないものである(※2)。

とされています(電気通信ガイドライン解説7-4-1-2)。

▽外部送信規律FAQ 6-1

 法第27条の12第2号により、規律対象事業者が「利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号」が、通知又は容易に知り得る状態に置かなければならない情報から除外されています。ここでいう識別符号とは何のことですか。

 ご指摘の識別符号は、電気通信事業者が利用者に対し電気通信役務を提供する際に、当該利用者を識別するために、文字列で構成された識別符号を当該利用者に送信して、これを当該利用者の電気通信設備(端末設備)に記録させることがありますので、そういった場合のFirst Party Cookieに保存されたIDなどのことをいいます。

Cookieとは

 Cookieとは、利用者がウェブサイトを訪問した際に、ブラウザを介して利用者の端末に保存される小さなファイルのことで、

・1st Party Cookie
利用者が訪問しているウェブサイトのドメインが発行するCookie
・3rd Party Cookie
利用者が訪問しているウェブサイトのドメイン以外のドメインが発行するCookie

があります(Cookieの発行元による区別)。

 1st Party Cookieの場合、利用者がウェブサイトを訪問すると、ウェブサーバが利用者のブラウザに対してCookieを送りつけます。以後、利用者が同じウェブサイトを訪問すると、ブラウザがウェブサーバに対してCookieを送り返すため、ウェブサーバ側は、同じ閲覧者が訪問したこと等を確認できるようになります。

▷参考リンク:用語集 クッキー(Cookie)|日本情報経済社会推進協会(JIPDEC)HP

では、1st Party Cookie に保存された情報のうち、Cookie ID以外の情報はどうなるのか?というと、この2号には該当しないので、外部送信規律の対象となり得ますが、基本的には1号のうち「電気通信役務の提供のために真に必要な情報」に該当するだろう、とされています(電気通信ガイドライン解説7-4-1-2(※1)参照)。

▽外部送信規律FAQ 6-3

 6-1に関連して、First Party Cookieに保存されたIDと一緒に当該電気通信事業者(当該電気通信役務の提供者)に送信される利用者に関する情報も同様に除外されますか。

 除外されません。ただし、6-2にあるとおり、当該電気通信事業者に送信される情報は、原則として「真に必要な情報」に該当すると考えられますので、この原則の範囲内では除外されます。

また、1st Party Cookieに保存されたIDを利用してその電気通信役務を提供する電気通信事業者以外の第三者に利用者に関する情報を送信することもあり得ますが、このような第三者への送信に関しては、送信することが必要不可欠な情報(=1号のうち「電気通信役務の提供のために真に必要な情報」)でない限り、原則どおり利用者に通知・公表を行うことを要する、とされています(電気通信ガイドライン解説7-4-1-2(※2)参照)。

▽外部送信規律FAQ 6-4

 6-1に関連して、First Party Cookieに保存されたIDを利用して当該電気通信役務提供する電気通信事業者以外の第三者に利用者に関する情報が送信されますが、この場合も同様に除外されますか。

 除外されません。ただし、6-2にあるとおり、当該電気通信事業者以外の第三者に送信される情報が、利用者が利用を希望している電気通信役務を提供するに当たり必要不可欠な情報の場合は、除外されます。

利用者の同意を取得している情報(3号)

3号と4号は、利用者に対する確認の機会の付与の方法として、通知・公表義務の履行ではなく、同意取得(3号)またはオプトアウト措置(4号)を行うケースになります。

3号は、利用者が同意している情報です。

三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報

これが適用除外とされているのは、情報送信指令通信によって送信先の電気通信設備に情報が送信されることについて利用者が同意している場合、電気通信事業者はその利用者に対し、同意の取得を通じて、その情報の送信を認識し、かつ選択する機会を付与しており、これにより確認の機会を付与していることとなるためです(電気通信ガイドライン解説7-4-2参照)。

同意の取得の仕方として、同意するためのチェックボックス等にあらかじめチェックを付しておくなど(いわゆるデフォルトオン)、利用者が能動的に同意を行ったとはいえないような方法は採るべきではないとされています(外部送信規律パンフレット(総務省)13頁参照)。

オプトアウト措置を講じているが利用者がその措置の適用を求めていない情報(4号)

4号は、所定事項を利用者の容易に知り得る状態に置いたうえで、オプトアウト措置(利用者の求めに応じた送信又は利用の停止)を講じているが、利用者がその措置の適用を求めていない情報、です(※以下の【 】は管理人注)。

 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置【=オプトアウト措置】を講じていること。
 ⑴ 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
 ⑵ 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
 イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

容易に知り得る状態」は、規則第22条の2の28で定められている、通知又は容易に知り得る状態に置く方法に準じる方法によることが望ましいとされています(外部送信規律FAQ 5-2)。つまり、外部送信規律における通知・公表義務の履行(▷参考記事はこちら)と同様の方法がよい、ということです。

オプトアウト措置を講じるにあたって容易に知り得る状態に置くべき事項(上記のロ)は、規則22条の2の31に定められており、

  • オプトアウト措置を講じているという事実(1号)
  • オプトアウト措置が情報の送信と利用のどちらを停止するものか(2号)
  • オプトアウト措置の申込みを受け付ける方法(3号)
  • オプトアウト措置を適用した場合、サービス利用が制限がされる場合は、その内容(4号)
  • 送信されることとなる利用者に関する情報の内容(5号)
  • ⑤の情報を取り扱うこととなる者の氏名又は名称(6号)
  • ⑤の情報の利用目的(7号)

とされています。

3号と4号については、FAQに以下のような解説があります。

▽外部送信規律FAQ 5-3、5-4

 「オプトアウト措置に係る利用者の求めを受け付ける方法」として、どのような方法を取ればよいですか。(第3号

 当該電気通信役務の利用者にとって利用しやすい方法を採用する必要があります。例えば、以下のような方法が考えられます。
・ボタンのクリックやタップ
・ホームページ上の指定フォームへの入力
・ダッシュボードでの操作
・リンクの表示

 「利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の提供に制限があるとき」とは、どのような場合を指していますか。(第4号

 利用者がオプトアウト措置の適用を求めた場合に、利用者が提供を受けるサービスの利用が制限されることになる場合を指しています。例えば、情報送信指令通信を行うウェブサイト等を利用できなくなる、当該ウェブサイト等の特定の機能を利用できなくなる、といったことが想定されます。

条文も確認してみます(規則22条の2の31)。

(オプトアウト措置に関し利用者が容易に知り得る状態に置くべき事項)
第二十二条の二の三十一
 法第二十七条の十二第四号ロの総務省令で定める事項は、次に掲げるものとする。
 法第二十七条の十二第四号イに規定する措置(以下この条において「オプトアウト措置」という。)を講じている場合にあつては、その旨
 オプトアウト措置が法第二十七条の十二第四号イ⑴又は⑵のいずれの行為を停止するものであるかの別
 オプトアウト措置に係る利用者の求めを受け付ける方法
 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容
 情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報(法第二十七条の十二第一号及び第二号に掲げるものを除く。)の内容
 前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称
 第五号に規定する情報の利用目的

結び

今回は、個人情報法務ということで、電気通信事業法による外部送信規律のうち適用対象となる場面について見てみました。

なお、外部送信規律の根拠法は、個人情報保護法ではなく、電気通信事業法ですが、個人情報保護法の特定分野ガイドラインである電気通信ガイドラインで解説されており、いわゆるCookie等の個人情報保護法でいえば個人関連情報に相当するものを取り扱っていますので、イメージ的には、個人情報法務の関連と捉えた方がわかりやすいように思います。

外部送信規律については、総務省HPの以下のページに解説があります。

▷参考リンク:外部送信規律|総務省HP

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

外部送信規律に関するその他の記事

個人情報法務

2023/11/14

電気通信事業法による外部送信規律|規制の仕組み

個人情報法務

2023/11/7

電気通信事業法による外部送信規律|適用対象となる場面(...

個人情報法務

2023/11/10

電気通信事業法による外部送信規律|適用対象事業者

個人情報法務

2023/10/14

電気通信事業法による外部送信規律|義務の内容(通知・公...

主要法令等・参考文献

主要法令等

リンクをクリックすると、法令データ提供システム又は総務省HPの掲載ページに遷移します

【法改正資料等】

  • 令和4年改正法(令和4年法律第70号「電気通信事業法の一部を改正する法律」)
  • 令和4年改正法案(令和4年3月4日提出「電気通信事業法の一部を改正する法律案」)
  • 省令パブコメ(令和5年1月16日付「電気通信事業法施行規則等の一部を改正する省令案等に対する意見募集の結果」)

-個人情報法務
-