改正個人情報保護法への対応が終わったと思ったら次は改正電気通信事業法への対応が迫られる。

 

アドテクも進化するし規制の変化も早いし最近インプットが追い付かないなぁ～…

 

ということで、また調べた限りのことを書いていくが、おそらく電気通信事業法という言葉自体を初めて聞く人もいるし、それがどうwebマーケに関わってくるのか全く知らない人も多いと思うのでweb担のこの漫画ページを事前に読むとめっちゃわかりやすいです。

• 改正電気通信事業法の外部通信規律がwebサイト運営にも影響する？
• 改正電気通信事業法の外部通信規律（いわゆるcookie規制）の規制対象は誰なのか
• どんな行為が規制対象となるのか
• 何をしなければならないのか
• どのような事項を記載して公表すればよいのか
• まとめ
• 改正個人情報保護法との混乱に注意
• cookie規制の流れには逆らえないから先んじて対策しておくべき

 

改正電気通信事業法の外部通信規律がwebサイト運営にも影響する？

もともと電気通信事業法はプロバイダー業者とか携帯キャリアとかいわゆる一般的に認識さているような電気通信サービスを提供している会社が対象の法律でした。なのであまり気にする機会はなかったと思います。

 

しかし、2023年6月16日に施行された改正電気通信事業法において新設された「外部通信規律」が一般の事業会社にも適用される可能性が高く、cookie規制への対応が必要になるかもしれません。

 

外部送信規律とは改正電気通信事業法第27条の12で以下のように記載されている。

電気通信事業者又は第三号事業を営む者（内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信（利用者の電気通信設備が有する情報送信機能（利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信をいう。以下この条において同じ。）を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。

全く読む気にもならないし読んだとて理解もできないのでここはスッと飛ばそう。

 

簡単に言うと外部送信規律とは「対象事業者が、cookieなどの情報を外部のサーバーなどに送信する場合は、事前にプラポリ等で公表しとけよ」という感じです。

 

以下で詳細を見ていく。

 

改正電気通信事業法の外部通信規律（いわゆるcookie規制）の規制対象は誰なのか

前半は根拠条文など記載して難解な文章が続くが後半でわかりやすく記載する。

 

まず、改正電気通信事業法27条の12にて「電気通信事業者又は第三号事業を営む者」が対象事業者とされている。

おそらくこのページを見ている人は「第三号事業を営む者（第三号事業者）」に該当する可能性がある事業者だと推測される。

 

その「第三号事業を営む者」とは改正法164条1項3号のことを指し、電気通信事業法施行規則第22条の2の27にてメディア運営者も規制対象になる可能性があると解釈される。

 

その規制対象事業者の具体例が総務省のガイドブックに記載されている。

このガイドブックの11ページ目を見ると、以下のような例が規制対象事業者となるとされている。

1. SNS
2. オンライン検索サービス
3. オンラインショッピングモール/オークションモール
4. 各種情報のオンライン提供

4番の「各種情報のオンライン提供」の範囲が広くかつ他の例と比較しても曖昧な感じがする。

色々なサイトを見る限り下記のような見解があった。

• ニュースサイトや天気情報・地図情報などの情報発信系メディアは規制対象
• コーポレートサイトや日記ブログなどは規制対象外（ただし当該サイト内でアフィリエイトをしている場合には規制対象になる）
• モールのようなプラットフォーム形態ではない自社ECサイトは規制対象外（オンラインサービスの提供ではなく商品の販売が目的だからという理由）
• SaaS事業者は規制対象になる可能性あり
• オウンドメディア運営者も規制対象の可能性あり（規制対象外という見解も多かった）

サイトや専門家によっても意見が分かれているケースも多く見られたので法務担当に自社の事業が規制対象になりうるのか確認するのがよい。

 

どんな行為が規制対象となるのか

改正電気通信事業法27条の12にて「その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信（利用者の電気通信設備が有する情報送信機能（利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信をいう。以下この条において同じ。）を行おうとするとき」が問題となるとされている。

 

つまりはcookieとかの情報を第三者外部のサーバーなどに送信する場合などである。
※cookieに限定されるわけではないがここではcookieを中心に話を進めていく。

 

GA4を使用する場合も規制対象になると解釈される。

ユーザーの端末からGoogle（第三者）に対してcookieを送信していることになるからだ。GAに限らずほかのツールでも同様だ。

もちろんGoogle広告タグを埋めてリタゲ配信することも同様だし、例えばヒートマップツールなどもユーザーのエンゲージメント情報を外部に送信している点で同様であろう。

 

なお、この規制対象にファーストパーティcookieが含まれるかについて意見が分かれているサイトもあるが、結論としてファーストパーティcookieだろうがサードパーティcookieだろうが関係ない。

 

サードパーティcookieは当然のことながら、ファーストパーティcookieであっても自社のサービス提供にあたり「真に必要な情報」とは言えないcookieについて改正施行規則22条の2の30の1号の適用除外には該当しないと解釈される。

電気通信事業における個人情報等の保護に関するガイドラインの17ページにおいてもファーストパーティcookieだからOKというような書き方はされていない。

 

何をしなければならないのか

改正電気通信事業法27条の12にて「あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。」とされている。

 

つまり、下記4つのいずれかの方法をとる必要がある。

1. 公表
2. 通知
3. オプトアウト
4. 同意

実務上は1番の「公表」の手段をとるのが通常だと考えられる。

公表であればウェブサイトのフッター部分に所定の事項を記載したリンクを設置するだけで基本的には対応が済むからだ。

以下は公表の手段をとる前提で解説を進めていく。

 

どのような事項を記載して公表すればよいのか

公表すべき事項は改正施行規則22条の2の29において下記のように記載されている。

第二十二条の二の二十九　法第二十七条の十二本文の総務省令で定める事項は、情報送信指令通信ごとに、次に掲げる事項とする。
一　当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容
二　前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称
三　第一号に規定する情報の利用目的

 

簡単に言うとGoogle・Yahoo・Facebook（meta）などの送信先ごとに下記の4点を公表する必要がある。

• どんな情報を
• 誰に対して
• どんな目的で送信し
• 送信先ではどんな目的で使用されるのか

法律上の要件を満たすためには上記4点を公表すれば問題ないが、外部送信規律に係る
電気通信事業における個人情報保護に関するガイドラインの解説案では下記3点も公表することが望ましいとされている。

• オプトアウト措置の有無
• 送信される情報の送信先における保存期間
• 情報送信指令通信に係る送信元における問合せ先 等

なお、これら事項は送信先ごとに記載する必要があるため、例えばGoogle広告とYahoo広告の両方でリタゲなどを行う場合にはGoogle社とYahoo社の両方について各々記載しなければならない。

 

記載方法の例は下記が参考になるかもしれない。

引用：一般社団法人MyDataJapan「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」への意見

 

下記は2023年5月30日現在の国土交通省自動車局審査リコール課の実際のプライバシーポリシーである。こちらは実際の記載例として参考になると思われる。

 

まとめ

新設された「外部送信規律」にcookieも該当する。
GAでアクセス解析するだけでも規制対象の行為に該当する可能性が高い。

 

あなたも規制対象事業者（第三号事業者）に該当する可能性もあるため法務に確認すべき。

 

規制対象でだったら必要事項を「公表」しておけばよい。

 

改正個人情報保護法との混乱に注意

2022年4月に施行された改正個人情報保護法での対応と混乱されるのでポイントを記載しておく。

• 個人情報保護法ではGAで解析するだけなら対応不要。しかしリタゲ等に使用する場合には「事前同意（ポップアップ）」が必要。
• 改正電気通信事業法ではGAで解析するだけでも対象事業者は「公表」が必要。

詳細は過去記事を参照。

ad-notebook.hatenablog.com

 

ad-notebook.hatenablog.com

cookie規制の流れには逆らえないから先んじて対策しておくべき

これまで見てきた通り、リタゲ等には使用せず（個人関連情報を第三者に提供せず）、個人が特定できない範囲でアクセス解析等に使用するためにcookieを取得すること自体はポップアップによるユーザーの事前同意は不要であり、プラポリ等に必要事項を記載するだけで基本的には改正個人情報保護法と改正電気通信事業法の法律要件を満たすことができる。

 

ただし、今後はcookieの取得自体もユーザーの事前同意が必要になる可能性は高い。

 

EUのGDPRではすでにcookieは個人データとしてみなした法規制がしかれているため、日本も海外の規制に遅れをとっちゃダメだよね、といつか日本政府が判断するだろう。今回の諸々の改正も海外の規制に合わせるためという背景もあるし。

 

また、パブコメ等でも現行より厳しい規制にすべきという意見もある。

一般社団法人MyDataJapanの2023年4月23日の意見書によれば対象事業者を電気通信事業者又は第三号事業を営む者に限定することなく外部送信を行う全事業者にすべきという意見やオプトアウトの義務化の意見を提出している。

 

そのため、ポップアップによる事前同意を今のうちに実施しておいたほうがよいだろう。おそらく法務部等の法律関係者（特に上場会社の法務部）に意見を仰ぐとポップアップ同意を得ておくべきと言われるが、マーケティング部門関係者からしたら猛反発だろう。（私も広告運用する身なのでポップアップ反対派だが…）

 

結局のところCVRとのバランスになるのかなぁ～…

 

 

Twitterやってます。お仕事のご相談とかはお気軽にDMください！

@kinokowork