改正電気通信事業法（2023年6月16日施行）における、利用者情報の外部送信規制のポイント

利用者情報の外部送信規制の背景

　ウェブサイトを閲覧したり、スマートフォン等のアプリを利用したりする際、ウェブサイトに埋め込まれたタグや、アプリに組み込まれているプログラムが利用者の端末に送信され、それにより、端末に記録されたCookie※4や広告ID等の識別子、閲覧履歴等が利用者に認識されない形で事業者に送信されることが、一般的に行われています。これらは利用者の利便性に資する面も多い一方で、利用者が認識しないまま利用者に関する幅広い情報が外部に送信されることへの不安も強いことから、そのような外部送信が行われる場合に、利用者に確認の機会を付与することを義務付けたのが、この外部送信規制の趣旨です。

　外部送信規制が適用される場面には色々なバリエーションがありますが、典型的かつシンプルな設例として、A社が、自社ウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社のウェブサイトを閲覧した利用者の閲覧履歴を取得している場合を考えます。

　ある個人の利用者の閲覧履歴は、個人情報保護法（以下、「個情法」といいます。）上、それ自体では通常「個人関連情報」（個情法2条7項）に該当しますが、上の設例の場合、個別の事情次第ではあるものの、A社がB社に閲覧履歴を「提供」（個情法31条1項）したのではなく、B社が直接に利用者から閲覧履歴を取得したと整理されているケースが実務上多く見られます※5。個情法上は、そのようなB社による直接取得について、本人である利用者からの同意の取得やオプトアウトは要求されないことから、上記のとおり利用者が自己の閲覧履歴の外部送信について認識しない状況が生じていました。

　もっとも、利用者はタグを設置する事業者（上の設例のA社）のサイトを閲覧していることから、従前からの自主的な措置として、同サイト上に、設置するタグを発行する事業者名（上の設例のB社）、並びにプライバシーポリシーやオプトアウトページへのリンクを設置することが望ましいとされていました※6。今回の改正は、こうした措置を一部法制化したものとも理解することができます。

外部送信規制の対象となる事業者

　外部送信規制の対象となる事業者（以下、「対象事業者」といいます。）は、以下の2つの要件を満たす者です（改正法27条の12柱書）。以下、それぞれの要件について説明します。

1. 電気通信事業者・第三号事業者（要件①）

　電気通信事業者とは、電気通信事業の登録又は届出をした者をいい（改正法2条5号）、第三号事業者とは、電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務を、電気通信回線設備を設置することなく提供する電気通信事業を営む者をいいます（改正法2条7号イ、164条1項3号）。第三号事業者には、典型的には、オンライン検索サービス、SNS、電子掲示板※7、ECモール、インターネットニュース等が含まれます。関連する概念を図示すると以下のとおりです※8。

　第三号事業者は、これまで、検閲の禁止及び通信の秘密の保護を除き、電気通信事業法の適用対象外とされてきましたが、本改正により外部送信規制の対象となります。電気通信事業者以外の企業におかれては、改めて第三号事業者に該当しないか、電気通信事業参入マニュアルの判定フローチャート※9を利用する等して、確認することが望ましいと思われます。

　なお、上図のとおり、「電気通信事業を営む者」に該当しない場合は、電気通信事業法の適用を受けません。例えば、自己の需要のために電気通信役務を提供している場合（例：自社商品を自社ウェブサイトにおいてオンライン販売する場合）、又は「事業」に該当しない場合（例：利益を得ようとせず、無償や原価ベースで電気通信役務を提供する場合）がこれに当たります。

2. 利用者の利益に及ぼす影響が少なくない電気通信役務（要件②）

　外部送信規制の対象事業者の2つ目の要件である、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務」とは、以下のとおり整理できます。なお、実際の利用者数が少なくとも、以下のサービスの類型に該当する限り、この要件を満たすことになります。

3. 実務上問題となり得る事例

　実務上は、要件①・②を満たすか否かが問題になり得る事例も少なくないと想定されます。例えば、各種情報のオンライン提供サービスについて、GL解説案※13においては、企業が自己の情報発信のために運営する場合は、「他人の需要に応ずる」ために提供しているものではないから要件を満たさないが、本来業務の遂行手段としての範囲を超えて、独立した事業としてサービスを提供している場合は、要件を満たす場合もあるとされており、具体例として以下が挙げられています。GL解説案やFAQを通じた更なる明確化が待たれるところです。

• 金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供
  ⇒電気通信事業に該当しない
• 当該金融事業者が、証券・金融商品等についてのオンライン販売のウェブサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合
  ⇒電気通信事業に該当する

外部送信規制の内容

　対象事業者は、上記２.の利用者の利益に及ぼす影響が少なくない電気通信役務を提供する際に※14、下記1.の外部送信行為を行おうとするときは、あらかじめ、下記2.の所定の事項について、下記3.の方法で、事前に利用者に通知し、又は当該利用者が容易に知り得る状態に置く（本ニュースレターでは、分かりやすさを考慮して「公表」といいます。）義務を負います。

1. 対象となる外部送信行為

　対象行為は、「情報送信指令通信」を行うことです。

　「情報送信指令通信」とは、利用者の電気通信設備（利用者のパソコン、携帯電話、スマートフォン、タブレット等の端末設備）が有する「情報送信機能」（すなわち、利用者の端末設備に記録された当該利用者に関する情報を、当該利用者以外の者の電気通信設備に送信する機能）を起動する指令となるプログラム等を送信することを指します（改正法27条の12柱書）。

　「利用者に関する情報」は、利用者の電気通信設備に記録されている情報であり、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます※15。外部送信規制は「Cookie規制」等と説明されることがありますが、Cookieのみが規制対象というわけではありません。

　また、利用者以外の者への情報送信行為が対象ですので、対象事業者への情報送信機能を起動する指令を与えるプログラム等の送信（例えば、1st Party Cookie）も、「情報送信指令通信」に該当します※16。

2. 事前通知・公表の対象事項

　対象事業者が「情報送信指令通信」を行おうとするときは、「情報送信指令通信」ごとに（すなわち、ウェブページやアプリに埋め込まれたタグや情報収集モジュールごとに）以下の事項を事前に通知・公表する必要があります（改正施行規則22条の2の29）。

　また、GL解説案では、上の事項に加えて、オプトアウト措置の有無、送信される情報の送信先における保存期間、送信元における問合せ先等の事項についても、通知・公表することが望ましいとされています※19。

3. 事前通知・公表の方法

　対象事業者が利用者に対して通知又は公表（利用者が容易に知り得る状態に置くこと）を行うにあたっては、以下の方法に従う必要があります（改正施行規則22条の2の28）。

　また、通知・公表事項が記載された送信先のウェブページのリンクを示す、既存のプライバシーポリシーやクッキーポリシーに記載した上で当該ページへのリンクを示すといった方法による場合、リンク先で表示される通知・公表事項の概略を併せて示すことが望ましいとされています※25。

4. 事前通知・公表の適用除外

　対象事業者に該当したとしても、以下の情報について情報送信指令通信を行おうとするときには、利用者に対して事前通知・公表をする必要はありません※26。

（ア）適用除外①：利用者が電気通信役務を利用する際に送信をすることが必要な情報（改正法27条の12第1号）

　下表の情報を送信させる情報送信指令通信を行おうとする場合は、利用者にとって送信が想定できるものであることから、事前通知・公表は不要とされています。

　1号の「その他当該電気通信役務の提供のために真に必要な情報」については、GL解説案において、送信先が対象事業者自身の場合は、原則として「真に必要な情報」に該当し、例外的に、当該電気通信役務を利用する際に必ずしも必要がなく、送信が通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」に該当せず、適用除外の対象とならないとの考え方が示されています。

（イ）適用除外②：対象事業者が利用者に対して送信した識別符号であって、対象事業者の電気通信設備を送信先として送信されるもの（改正法27条の12第2号）

　本号は、対象事業者が利用者を識別するために、対象事業者が生成した識別符号（典型的には、1st Party Cookieに保存されたID）を利用者に送信して、利用者の電気通信設備に記録した場合において、対象事業者がその識別符号を利用者から回収する通信については、対象事業者自身が利用者に付した識別符号を回収しているに過ぎないため、事前の通知・公表を不要とするものです。

（ウ）適用除外③：利用者が送信に同意している情報（改正法27条の12第3号）

　利用者に関する情報の外部送信について当該利用者が同意※28している場合、事前の通知・公表等は不要です。但し、同意取得にあたっては、あらかじめ、利用者に対し、上記2.及び3.に記載する方法により、情報送信指令通信について事前通知・公表を行うことが望ましいとされています※29。

　また、利用者の具体的かつ能動的な同意を取得することが必要とされており、GL解説案においては、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに同意を取得することが望ましく、同意のためのチェックボックスにあらかじめチェックを付しておく方法（デフォルト・オン）等、利用者が能動的に同意を行ったとはいえないような方法は避けるべきとされています※30。

（エ）適用除外④：オプトアウト措置を適切に講じている場合に、利用者がオプトアウト措置の適用を求めていない情報（改正法27条の12第4号）

　対象事業者が、情報の送信又は利用を停止する措置（オプトアウト措置）を適切に講じており、利用者が当該措置の適用を求めていない情報については、事前の通知・公表は不要です。但し、対象事業者は、単にオプトアウト措置を講じるだけではなく、以下の事項を公表する（利用者が容易に知り得る状態に置く）※31必要があります（改正施行規則22条の2の31各号）。

　① オプトアウト措置を講じている旨

　② オプトアウト措置が、情報の送信又は情報の利用の停止のいずれの行為を停止するものであるかの別

　③ オプトアウト措置に係る利用者の求めを受け付ける方法

　④ 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容

　⑤ 送信されることとなる利用者に関する情報の内容

　⑥ ⑤の情報を取り扱うこととなる者の名称

　⑦ ⑤の情報の利用目的

施行日までに必要となる対応

　外部送信規制が適用される可能性のある企業におかれましては、本年6月16日の施行に向けて、以下のような対応を取る必要があると思われます。

　上記のとおり、本ニュースレターの執筆時点（2023年2月14日）では、GL解説案の内容が固まっていませんが、上の対応には一定の時間を要する可能性があります。また、本改正を機に、法令上最低限の対応を超えて、ユーザーに対する透明性の観点からベストプラクティスに沿った対応を検討されたり、GDPR・eプライバシー指令あるいはカリフォルニア消費者プライバシー権法に基づくクッキー規制への対応との整合性を模索されたりする企業もあるかもしれません。GL解説案やFAQ等のアップデートの状況をフォローしつつ、早めに検討を開始されることが望ましいと思われます。

　なお、③の事前通知・公表、同意取得、及びオプトアウト措置の記載内容については、事業者団体等の見解も示されており、参考になると思われます※32。