icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

改正電気通信事業法(2023年6月16日施行)における、利用者情報の外部送信規制のポイント(2023年5月31日更新版)

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

NO&T Technology Law Update テクノロジー法ニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

※本ニュースレターは、総務省による2023年5月18日の電気通信事業における個人情報保護に関するガイドラインとその解説及びパブリックコメント結果の公表を受け、2023年5月31日付で記事の内容をアップデートしています。

はじめに

 2023年6月16日に、電気通信事業法の一部を改正する法律(以下、「改正法」といいます。)が施行されます。改正法の対象は多岐に及びますが※1、本ニュースレターにおいては、多数の事業者に影響が生じることが予想される、利用者情報の外部送信に関する規制(以下、「外部送信規制」といいます。)を取り上げます。

 総務省は、プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループの議論※2を経て、2023年3月24日から1ヶ月間、「電気通信事業における個人情報保護に関するガイドラインの解説の改正案」をパブリックコメント手続きに付しました。そして、2023年5月18日、総務省は、同ガイドラインの解説の改正案に対する意見募集の結果※3(以下、「パブコメ結果」といいます。)を公表すると共に、「電気通信事業における個人情報等の保護に関するガイドライン」の改正版※4及び同ガイドラインの解説の改正版※5(以下、「GL解説」といいます。)を公表しました。

 本ニュースレターでは、外部送信規制の全体像と事業者が取るべき対応について、ポイントを解説すると共に、GL解説、パブコメ結果及び総務省が公開しているFAQ※6(以下、「FAQ」といいます。)のうち実務上留意が必要な点をまとめております。なお、本ニュースレターは、2023年5月31日時点の情報に基づきます。

利用者情報の外部送信規制の背景

 ウェブサイトを閲覧したり、スマートフォン等のアプリを利用したりする際、ウェブサイトに埋め込まれたタグや、アプリに組み込まれているプログラムが利用者の端末に送信され、それにより、端末に記録されたCookie※7や広告ID等の識別子、閲覧履歴等が利用者に認識されない形で事業者に送信されることが、一般的に行われています。これらは利用者の利便性に資する面も多い一方で、利用者が認識しないまま利用者に関する幅広い情報が外部に送信されることへの不安も強いことから、そのような外部送信が行われる場合に、利用者に確認の機会を付与することを義務付けたのが、この外部送信規制の趣旨です。

 外部送信規制が適用される場面には色々なバリエーションがありますが、典型的かつシンプルな設例として、A社が、自社ウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社のウェブサイトを閲覧した利用者の閲覧履歴を取得している場合を考えます。

 ある個人の利用者の閲覧履歴は、個人情報保護法(以下、「個情法」といいます。)上、それ自体では通常「個人関連情報」(個情法2条7項)に該当しますが、上の設例の場合、個別の事情次第ではあるものの、A社がB社に閲覧履歴を「提供」(個情法31条1項)したのではなく、B社が直接に利用者から閲覧履歴を取得したと整理されているケースが実務上多く見られます※8。個情法上は、そのようなB社による直接取得について、本人である利用者からの同意の取得やオプトアウトは要求されないことから、上記のとおり利用者が自己の閲覧履歴の外部送信について認識しない状況が生じていました。

 もっとも、利用者はタグを設置する事業者(上の設例のA社)のサイトを閲覧していることから、従前からの自主的な措置として、同サイト上に、設置するタグを発行する事業者名(上の設例のB社)、並びにプライバシーポリシーやオプトアウトページへのリンクを設置することが望ましいとされていました※9。今回の改正は、こうした措置を一部法制化したものとも理解することができます。

外部送信規制の対象となる事業者

 外部送信規制の対象となる事業者(以下、「対象事業者」といいます。)は、以下の2つの要件を満たす者です(改正法27条の12柱書)。以下、それぞれの要件について説明します。

  • ① 電気通信事業者又は第三号事業を営む者(第三号事業者)であって、
  • ② 内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者

1. 電気通信事業者・第三号事業者(要件①)

 電気通信事業者とは、電気通信事業の登録又は届出をした者をいい(改正法2条5号)、第三号事業者とは、電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務を、電気通信回線設備を設置することなく提供する電気通信事業を営む者をいいます(改正法2条7号イ、164条1項3号)。第三号事業者には、典型的には、オンライン検索サービス、SNS、電子掲示板※10、ECモール、インターネットニュース等が含まれます。関連する概念を図示すると以下のとおりです※11

電気通信役務を提供する者
 
電気通信事業を営む者 電気通信事業を営む者に
該当しない
 
電気通信事業者  
登録又は届出 必要 登録及び届出 不要 (具体的には①から③の1つでも
該当しない場合)
電気通信回線設備を設置
又は
他人の通信を媒介
法164条1項の
電気通信事業を営む者
第三号事業者を含む)
① 「他人の需要に応じるため」
② 「電気通信事業」
③ 「営む」

 第三号事業者は、これまで、検閲の禁止及び通信の秘密の保護を除き、電気通信事業法の適用対象外とされてきましたが、本改正により外部送信規制の対象となります。電気通信事業者以外の企業におかれては、改めて第三号事業者に該当しないか、電気通信事業参入マニュアルの判定フローチャート※12を利用する等して、確認することが望ましいと思われます。

 なお、上図のとおり、「電気通信事業を営む者」に該当しない場合は、電気通信事業法の適用を受けません。例えば、自己の需要のために電気通信役務を提供している場合(例:自社商品を自社ウェブサイトにおいてオンライン販売する場合)、又は「事業」に該当しない場合(例:利益を得ようとせず、無償や原価ベースで電気通信役務を提供する場合)がこれに当たります。

2. 利用者の利益に及ぼす影響が少なくない電気通信役務(要件②)

 外部送信規制の対象事業者の2つ目の要件である、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務」とは、以下のとおり整理できます。なお、実際の利用者数が少なくとも、以下のサービスの類型に該当する限り、この要件を満たすことになります。

  改正施行規則※13 22条の2の27各号 具体例※14
1号 他人の通信を媒介する電気通信役務

  • 情報の加工・編集を行わず、かつ、送信時の通信の宛先として受信者を指定する場合
  • メールサービス
  • ダイレクトメッセージサービス
  • 参加者を限定した会議が可能なウェブ会議システム
2号 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務

  • 不特定の利用者には、アカウント登録や利用料の支払いをすれば誰でも受信・閲覧できる場合も含まれる※15
  • SNS
  • 電子掲示板
  • 動画共有サービス
  • オンラインショッピングモール※16
  • シェアリングサービス
  • マッチングサービス
  • ライブストリーミングサービス
  • オンラインゲーム
  • オンライン教育
3号 入力された検索情報に対応して、当該検索情報が記録された全てのウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務
  • オンライン検索サービス
    (但し、特定分野に限った検索サービスは、4号の対象)
4号 不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの

  • 不特定の利用者には、アカウント登録や利用料の支払いをすれば誰でも受信・閲覧できる場合も含まれる※17
  • ニュースや気象情報等の配信を行うウェブサイトやアプリ
  • 動画配信サービス
  • オンライン地図サービス
  • 乗換案内
  • 就職・転職・アルバイト等の情報提供サービス

3. 実務上問題となり得る事例

 実務上は、要件①・②を満たすか否かが問題になり得る事例も少なくないと想定されます。例えば、各種情報のオンライン提供サービスについて、GL解説※18においては、企業が自己の情報発信のために運営する場合は、「他人の需要に応ずる」ために提供しているものではないから要件を満たさないが、本来業務の遂行手段としての範囲を超えて、独立した事業としてサービスを提供している場合は、要件を満たす場合もあるとされており、具体例として以下が挙げられています。FAQ等を通じた更なる明確化が待たれるところです。

  • 金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供
    ⇒電気通信事業に該当しない
  • 当該金融事業者が、証券・金融商品等についてのオンライン販売のウェブサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合
    ⇒電気通信事業に該当する

 この点について、パブコメ結果では、「他人の需要に応ずる」ために提供しているかという要件について、以下の考え方が示されました※19。ただし、これにより「他人の需要に応ずる」ための提供か否かが明確化したとは言い難く、引き続き、本要件への該当性については慎重な検討が必要となります。

  • 「オンライン取引等とは独立した金融情報のニュース配信」とは、例えば、株取引の仲介業務とは独立して、運用のコツや狙い目の銘柄等を紹介しているようなウェブサイトなどが該当する。
  • 「その多くにおいては自社に関する情報又は自社の製品若しくはサービスに関する情報を提供するものの、一部においては関連する情報(業界団体、事業環境にかかる情報や、業務提携先の企業にかかる情報など)もあわせて提供する自社サイト」のような場合は、「他人の需要に応ずる」に該当するものとして判断される場合がある。
  • レビューや口コミの機能のみを捉えて、「電気通信事業」の該当性を判断するものではなく、これらの機能を有するウェブサイトについて、「電気通信事業」の該当性を判断する。当該ウェブサイトが、自社商品のオンライン販売サイトであれば、自己の需要のために電気通信役務を提供しているため、「電気通信事業」に該当しない。

外部送信規制の内容

 対象事業者は、上記2.の利用者の利益に及ぼす影響が少なくない電気通信役務を提供する際に※20、下記1.の外部送信行為を行おうとするときは、あらかじめ、下記2.の所定の事項について、下記3.の方法で、事前に利用者に通知し、又は当該利用者が容易に知り得る状態に置く(本ニュースレターでは、分かりやすさを考慮して「公表」といいます。)義務を負います。

1. 対象となる外部送信行為

 対象行為は、「情報送信指令通信」を行うことです※21(なお、対象事業者に該当する場合でも、「情報送信指令通信」を行っていないのであれば、外部送信規制の対象外です※22。)。

 「情報送信指令通信」とは、利用者の電気通信設備(利用者のパソコン、携帯電話、スマートフォン、タブレット等の端末設備)が有する「情報送信機能」(すなわち、利用者の端末設備に記録された当該利用者に関する情報を、当該利用者以外の者の電気通信設備に送信する機能)を起動する指令となるプログラム等を送信すること※23を指します(改正法27条の12柱書)。

 「利用者に関する情報」は、利用者の電気通信設備に記録されている情報であり、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます※24。外部送信規制は「Cookie規制」等と説明されることがありますが、Cookieのみが規制対象というわけではありません。なお、利用者自身がウェブページやアプリケーションにおいて入力して送信した情報は、外部送信規制の対象外です※25

 また、利用者以外の者への情報送信行為が対象ですので、対象事業者への情報送信機能を起動する指令を与えるプログラム等の送信(例えば、1st Party Cookie)も、「情報送信指令通信」に該当します※26

2. 事前通知・公表の対象事項

 対象事業者が「情報送信指令通信」を行おうとするときは、「情報送信指令通信」ごとに(すなわち、ウェブページやアプリに埋め込まれたタグや情報収集モジュールごとに)以下の事項を事前に通知・公表する必要があります(改正施行規則22条の2の29)。

  • ① 外部送信されることとなる利用者に関する情報の内容※27

    • * 「ウェブサイト閲覧履歴」、「サービス購入履歴」、「商品購入履歴」等の記載粒度でも問題なし※28
  • ② ①の情報の送信先の名称※29
  • ③ ①の情報の利用目的

    • * 情報送信指令通信を行う(送信元)事業者の利用目的と、送信先の事業者の利用目的の両方を記載する必要あり※30
    • * 「当社の商品やサービスの運用・向上、新商品や新サービスの企画、アンケート調査その他マーケティング分析のため」、「お客さまにお勧めする商品・サービス・コンテンツ等のご案内のため」、「お客さまに適した当社および他社の広告の表示・配信のため」等の記載粒度でも問題なし※31

 また、GL解説では、上の事項に加えて、オプトアウト措置の有無、送信される情報の送信先における保存期間、送信元における問合せ先等の事項についても、通知・公表することが望ましいとされています※32

3. 事前通知・公表の方法

 対象事業者が利用者に対して通知又は公表(利用者が容易に知り得る状態に置くこと)を行うにあたっては、以下の方法に従う必要があります(改正施行規則22条の2の28)。

通知・公表に共通する方法
  • 日本語を用い、専門用語を避け、及び平易な表現を用いること
  • 操作を行うことなく文字が適切な大きさで利用者の電気通信設備の映像面に表示されるようにすること
  • 通知・公表事項(上記2.における①~③の事項。以下同じ。)について利用者が容易に確認できるようにすること
    (例) 背景色との関係で視認性の高い文字色を採用すること、ウェブページの階層化等によりスクロールを行うことなく端末の画面に全体が表示されるようにすること※33
通知の方法
下記のいずれか:

  • 通知・公表事項又は当該事項を掲載した画面の所在に関する情報を当該利用者の電気通信設備の映像面に即時に表示すること(当該事項の一部のみを表示する場合には、利用者がその残部を掲載した画面に容易に到達できるようにすること)
    (例) ウェブサイトやアプリケーションの画面上で、ポップアップ形式によって即時通知を行うこと※34
  • 上記と同等以上に利用者が容易に認識できるようにすること
公表の方法
下記のいずれか:

  • 情報送信指令通信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、通知・公表事項を表示すること※35
    (例) 情報送信指令通信を行うウェブページから1回程度の操作で到達できる遷移先のウェブページに当該事項が表示されており、かつ、情報送信指令通信を行うウェブページにおいて、当該遷移先のウェブページに当該事項の表示があることが利用者にとって理解できる形でリンクが配置されていること※36
  • 情報送信指令通信を行うソフトウェアを利用する際に、利用者の電気通信設備の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、通知・公表事項を表示すること
    (例) アプリケーションの起動後最初に表示される画面において、当該事項を表示する画面へのリンクを記載すること※37
  • 上記2つの方法と同等以上に利用者が容易に到達できるようにすること

 また、通知・公表事項が記載された送信先のウェブページのリンクを示す、既存のプライバシーポリシーやクッキーポリシーに記載した上で当該ページへのリンクを示すといった方法による場合、リンク先で表示される通知・公表事項の概略を併せて示すことが望ましいとされています※38

 さらに、1つのウェブサイトのドメインに複数の「利用者の利益に及ぼす影響が少なくない電気通信役務」が存在している場合に、通知・公表事項をまとめて表示することも考えられますが、その場合、電気通信役務ごとに、通知・公表事項に差異があるのであれば、当該差異が分かるようにする必要があります※39

4. 事前通知・公表の適用除外

 対象事業者に該当したとしても、以下の情報について情報送信指令通信を行おうとするときには、利用者に対して事前通知・公表をする必要はありません※40

適用除外①    利用者が電気通信役務を利用する際に送信をすることが必要な情報

適用除外②    対象事業者が利用者に対して送信した識別符号であって、対象事業者の電気通信設備を送信先として送信される情報(例:1rst Party Cookieに保存されたID)

適用除外③    利用者が送信に同意している情報

適用除外④    オプトアウト措置を適切に講じているが、利用者がオプトアウト措置の適用を求めていない情報

(ア)適用除外①:利用者が電気通信役務を利用する際に送信をすることが必要な情報(改正法27条の12第1号)

 下表の情報を送信させる情報送信指令通信を行おうとする場合は、利用者にとって送信が想定できるものであることから、事前通知・公表は不要とされています。

  改正施行規則22条の2の30 具体例※41
1号 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報 利用者の電気通信設備(端末設備)のOS情報、画面設定情報、言語設定情報、ブラウザ情報といった利用者の電気通信設備(端末設備)に関する一定の情報、その他電気通信役務の提供にあたって必要不可欠な情報
2号 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報 利用者がオンラインショッピングモールにアクセスして特定の品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、当該品物を買い物かごに入った状態で再表示するために必要な情報
3号 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報 当該利用者の認証に関する情報の再表示を行うために必要な情報
4号 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報 当該電気通信役務のセキュリティ対策に必要な情報
5号 当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報 オンラインゲーム等、利用者が多く多数のアクセスが集中する電気通信役務を提供する際において、特定のサーバ等に過剰な負担がかかることを防ぐため、負荷分散(ロードバランシング)等の措置を行う場合における、当該措置に当たり必要な情報

 1号の「その他当該電気通信役務の提供のために真に必要な情報」については、GL解説において、送信先が対象事業者自身の場合は、原則として「真に必要な情報」に該当し、例外的に、当該電気通信役務を利用する際に必ずしも必要がなく、送信が通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」に該当せず、適用除外の対象とならないとの考え方が示されています。

(イ)適用除外②:対象事業者が利用者に対して送信した識別符号であって、対象事業者の電気通信設備を送信先として送信されるもの(改正法27条の12第2号)

 本号は、対象事業者が利用者を識別するために、対象事業者が生成した識別符号(典型的には、1st Party Cookieに保存されたID)を利用者に送信して、利用者の電気通信設備に記録した場合において、対象事業者がその識別符号を利用者から回収する通信については、対象事業者自身が利用者に付した識別符号を回収しているに過ぎないため、事前の通知・公表を不要とするものです。

(ウ)適用除外③:利用者が送信に同意している情報(改正法27条の12第3号)

 利用者に関する情報の外部送信について当該利用者が同意※42している場合、事前の通知・公表等は不要です。但し、同意取得にあたっては、あらかじめ、利用者に対し、上記2.及び3.に記載する方法により、情報送信指令通信について事前通知・公表を行うことが望ましいとされています※43

 また、利用者の具体的かつ能動的な同意を取得することが必要とされており、GL解説においては、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに同意を取得することが望ましく、同意のためのチェックボックスにあらかじめチェックを付しておく方法(デフォルト・オン)等、利用者が能動的に同意を行ったとはいえないような方法は避けるべきとされています※44

(エ)適用除外④:オプトアウト措置を適切に講じている場合に、利用者がオプトアウト措置の適用を求めていない情報(改正法27条の12第4号)

 対象事業者が、情報の送信又は利用を停止する措置(オプトアウト措置)を適切に講じており、利用者が当該措置の適用を求めていない情報については、事前の通知・公表は不要です。但し、対象事業者は、単にオプトアウト措置を講じるだけではなく、以下の事項を公表する(利用者が容易に知り得る状態に置く)※45必要があります(改正施行規則22条の2の31各号)。

 ① オプトアウト措置を講じている旨

 ② オプトアウト措置が、情報の送信又は情報の利用の停止のいずれの行為を停止するものであるかの別

 ③ オプトアウト措置に係る利用者の求めを受け付ける方法

 ④ 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容

 ⑤ 送信されることとなる利用者に関する情報の内容※46

 ⑥ ⑤の情報を取り扱うこととなる者の名称

 ⑦ ⑤の情報の利用目的※47

施行日までに必要となる対応

 外部送信規制が適用される可能性のある企業におかれましては、本年6月16日の施行に向けて、以下のような対応を取る必要があると思われます※48

  • ① 自社が外部送信規制の対象事業者(登録・届出済電気通信事業者又は第三号事業者)に該当するか、どのサービスについて外部送信規制が適用されるかの見極めを行う。
  • ② 外部送信されている利用者情報の内容、送信先(自社・第三者)、自社及び送信先での利用目的、適用除外等を確認する。
    *既にCookieポリシーやCookieバナーをおいている場合、既存のポリシーやバナーと外部送信規制のギャップ分析を行う。
  • ③ 事前通知・公表、同意取得、オプトアウト措置のいずれに依拠するか決定し、それに応じた記載内容を検討し、各適用対象サービスに実装する。

 また、本改正を機に、法令上最低限の対応を超えて、ユーザーに対する透明性の観点からベストプラクティスに沿った対応を検討されたり、GDPR・eプライバシー指令あるいはカリフォルニア消費者プライバシー権法に基づくクッキー規制への対応との整合性を確認するのも望ましい対応と思われます。

脚注一覧

※1
改正法の他の対象事項としては、①一定のブロードバンドサービスに対する交付金制度、②所定の設備を用いた卸役務の提供義務及び料金算定方法等の提示義務、③大規模な事業者が取得する利用者情報について適正な取扱いを行う義務等があります。

※2
プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第22回資料「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案について」(以下、「GL解説案」といいます。)

※7
Cookie(クッキー)とは、利用者がウェブサイト等にアクセスした際に、ウェブサーバが、ウェブブラウザを通じて利用者の端末に預けておく小さなファイルをいい、利用者がアクセスしているウェブサイトのドメインが発行するCookieを1st Party Cookieといい、それ以外のドメインが発行するCookieを3rd Party Cookieといいます。Cookieを利用することにより、例えば、ウェブサイトの閲覧者の識別や認証が可能になったり、Cookieに紐付く利用者の閲覧履歴等の把握が可能となったりします。

※8
『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(2022年5月26日更新)のQA8-10(法第31条の適用の有無について)。なお、上の設例において「A社がB社のタグにより収集される閲覧履歴を取り扱ってい」る場合は、「提供」に該当する余地があるとされています。

※9
一例として、一般社団法人日本インタラクティブ広告協会(JIAA)が2022年12月19日に公表した「ユーザー情報の安全な取扱いに関するガイダンス」の「UG-5 タグを通じて他社が直接取得することについての考え方」

※10
但し、利用者数が1,000万以上となるオンライン検索サービス、SNSや電子掲示板は、検索情報電気通信役務又は媒介相当電気通信役務として届出が必要となります(改正法164条1項3号)。

※11
画像は、総務省総合通信基盤局「電気通信事業参入マニュアル(追補版)ガイドブック」(令和5年1月30日改定)4頁の図を加工したものです。

※12
総務省総合通信基盤局「電気通信事業参入マニュアル[追補版]」(令和5年1月30日改定)10~14頁

※13
電気通信事業法施行規則等の一部を改正する省令による改正後の電気通信事業法施行規則(以下、「改正施行規則」といいます。)

※14
GL解説7-1-2(1)~(4)

※15
GL解説7-1-2(2)

※16
インターネット経由で複数の店舗でネットショッピングを行うことができる又は複数の出品者の商品等を購入できる「場」を提供するものをいいます。

※17
GL解説7-1-2(4)

※18
GL解説7-1-2(4)

※19
パブコメ結果46~47頁

※20
当該対象事業者が、「利用者の利益に及ぼす影響が少なくない電気通信役務」に該当しないサービスを提供する際には、外部送信規制は適用されません(FAQ1-10)。

※21
対象となる「情報送信指令通信」は、「その利用者に対し電気通信役務を提供する際に」行われるものに限られます。したがって、個別の事案次第ではあるものの、対象事業者のウェブサイトに掲載される広告に関連する第三者(広告主やDSPなど)、利用者に対して当該役務を提供するものではなく対象事業者にサービスを提供するような第三者、および対象事業者のウェブサイトに設置されたWebトラッキングコードを発行した第三者については、対象事業者に該当したとしても、当該ウェブサイトとの関係では、外部送信規制の対象にならない場合もあると考えられるとされています(パブコメ結果36~39頁)。

※22
この場合に「外部に送信する情報はありません」や「外部送信規律の対象になる情報の送信はありません」といった通知等をする必要はありません(パブコメ結果35頁)。

※23
なお、電子メールマガジンであって、受信者による開封の際に当該受信者に固有の識別子が第三者のサーバに送信されることによって開封の有無を判別する機能を有するものの送信は、当該送信それ自体により情報送信機能が起動するわけではないため、「情報送信指令通信」に該当しないと考えられるとされています(パブコメ結果39~41頁)。

※24
GL解説7-1-1(3)

※25
パブコメ結果41頁

※26
GL解説7-1-1(1)

※27
現時点で送信される利用者に関する情報に加えて、これと区別した上で、将来的に送信され得る利用者に関する情報について、併せて通知等を行うことは妨げられません(パブコメ結果57頁)。

※28
パブコメ結果54頁

※29
正確には、①の「情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称」(改正施行規則22条の2の29第2号)

※30
GL解説7-3-1(3)。なお、送信先に送信された後、送信先から送信元に提供する場合や、送信先からさらに別の者に提供される場合等については、いずれも送信先が当該情報を取得した後に第三者(送信元も含む)に提供するものであり、外部送信規制の対象外となります(FAQ4-3、4-4)。

※31
パブコメ結果54~55頁。ただし、例えば、利用者に関する情報から、当該利用者に関する行動・関心等の情報を分析する場合、どのような取扱いが行われているかを当該利用者が予測・想定できる粒度で利用目的を記載しなければならないとされています。

※32
GL解説7-3-2

※33
GL解説7-2-1(3)

※34
GL解説7-2-2(1)

※35
一例として、プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第21回資料「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案 記載例および好事例について」(一般社団法人電気通信事業者協会作成)によると、ウェブサイトのヘッダーもしくはフッター部分に、プライバシーポリシーと同様に「外部送信について」というリンクを設置することが考えられます。

※36
GL解説7-2-3(1)。なお、GL解説におけるこの記載は、あくまで適切な通知又は容易に知り得る状態に置く方法の一例であって、個別具体的な態様・実状に鑑み、より利用者の容易な理解・把握・確認に資する場合(1ページに記載したのでは、記載事項が複雑かつ膨大となる場合等)には、掲載するウェブページを複数のウェブページに分割・区分・整理したうえで、リンク等を用いて利用者に当該情報を供することも許容されるとされています(パブコメ結果51~52頁)。

※37
GL解説7-2-3(2)。なお、「アプリケーションの起動後最初に表示される画面」とは、起動後すぐの画面を意味するのではなく、当該アプリケーションを利用する際に一般的に初期とされる画面をいいます(パブコメ結果52~53頁)。また、「リンクを記載」は、単純なリンクではなく、アプリケーション独特のメニュー等のインターフェースによる遷移も可能とされています(パブコメ結果52~53頁)。

※38
GL解説7-3-1(3)

※39
パブコメ結果55~57頁

※40
改正法27条の12各号の例外事由に、個情法27条5項各号に相当する例外規定は含まれていませんので、利用者に関する情報の取扱いの委託に伴って、委託先の第三者に対して利用者に関する情報が送信される場合であっても、対象事業者は確認の機会を付与することが必要となります(GL解説7-1の(※3))。

※41
GL解説7-4-1-1

※42
ここにいう「同意」とは、個情法27条1項の「本人の同意」ではなく、改正法27条の12第3号における「同意」をいいます(GL解説7-1の(※1))。

※43
GL解説7-4-2-1

※44
GL解説7-4-2-2

※45
かかる公表にあたっては、上記3.において述べた公表の方法に準じるのが望ましいとされています(GL解説7-4-3-2)。

※46
公表を選択した場合の記載同様、「ウェブサイト閲覧履歴」、「サービス購入履歴」、「商品購入履歴」等のような記載粒度でも問題ないとされています(パブコメ結果58~59頁)。

※47
公表を選択した場合の記載同様、「当社の商品やサービスの運用・向上、新商品や新サービスの企画、アンケート調査その他マーケティング分析のため」、「お客さまにお勧めする商品・サービス・コンテンツ等のご案内のため」、「お客さまに適した当社および他社の広告の表示・配信のため」等の記載粒度で問題なく、ただし、例えば、利用者に関する情報から、当該利用者に関する行動・関心等の情報を分析する場合、どのような取扱いが行われているかを当該利用者が予測・想定できる粒度で利用目的を記載しなければならないとされています(パブコメ結果58~59頁)。

※48
③の事前通知・公表、同意取得、及びオプトアウト措置の記載内容については、事業者団体等の見解も示されており、参考になると思われます。一例として、プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第21回資料「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案 記載例および好事例について」(一般社団法人電気通信事業者協会作成)。このほかに、GL解説案の旧版において、通知・公表の記載例が示されています(プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第21回資料「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案について」8頁)。但し、最新のGL解説案ではこの記載は削除されている点にご留意ください。


更新

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

テクノロジーに関連する著書/論文

テレコムに関連する著書/論文

インターネット/ITサービス/クラウドに関連する著書/論文

データ・IoTに関連する著書/論文

デジタルプラットフォームに関連する著書/論文

決定 業務分野を選択
決定