改正電気通信事業法における利用者情報の外部送信規律の実務対応

この記事は2023年6月30日に「The Finance」で公開された「改正電気通信事業法における利用者情報の外部送信規律の実務対応」を一部編集し、転載したものです。

---

本稿では、改正電気通信事業法の規制対象者と類型、また実行スケジュールを整理したうえで、企業の具体的な対応について実装方法からプロセスまでを解説する。

利用者情報の外部送信規律とは

改正電気通信事業法における利用者情報の外部送信規律は、利用者のWebサイト閲覧履歴や端末（PC、スマートフォン、タブレットなど）の情報を含む利用者情報を外部ベンダに送信している場合、送信先のベンダ毎にその目的、送信先のベンダ名、利用者情報の利用目的を通知・公表する、利用者から同意を取得する、または利用者にオプトアウト手段を提供することをWebサイト運用者やアプリ提供者に義務付けるルールである。

Webサイトに訪問した際に、このようなcookieバナーを見ることが増えた。このcookieバナーは、後述するように利用者のプライバシーの保護を強化する観点から任意の公表または同意取得しているケースやGDPRの適用があるWebサイトやアプリについてGDPRの法的対応の一環として利用者情報の外部送信について同意取得をしているケースであり、利用者にどのような外部送信先があるのかを通知し、また外部送信について同意することを制御する機能を有しているが、残念ながら、改正電気通信事業法には準拠していない。

そこで、cookieバナーを実装していない企業はもちろん、cookieバナーを実装している企業においても、改正電気通信事業法の準拠対応が必要となる。
この利用者情報の外部送信規律は、固定電話サービス、携帯キャリア、電子メール、インターネットプロバイダーなど通信事業を行っている事業者以外にも、Webサイト運営者やアプリ提供者に広く適用されるが、この適用範囲の広さを認識できていない企業も多い。そのため、まずは自社にこの利用者情報の外部送信規律が適用されるか、規制対象事業者となるかを確認する必要がある。

何のために改正電気通信事業法対応をするのか？

電気通信事業法改正の実行スケジュール

利用者情報の外部送信規律に関する法改正の施行日が2023年6月16日となっており、「電気通信事業における個人情報保護に関するガイドライン（令和 4 年個人情報保護委員会・総務省告示第 4 号）の解説」（以下「ガイドライン解説」という。）の改正版がリリースされたほか、外部送信規律FAQが順次、公開されており、ガイドライン解説とこのFAQが実務対応の具体策を検討するにあたって有益な参考資料となる。

規制対象事業者

規制対象事業者については、ガイドライン解説にて以下の規制対象となる4類型の役務が示されている。

^{（参照）電気通信事業参入マニュアル（追補版）ガイドブック}
【図表：規制対象となる4つの役務類型】

（役務類型）

（1）他人の通信を媒介する電気通信役務

（具体例）メールサービス、ダイレクトメッセージサービス、参加者を限定したクローズドのWeb会議システム

（２）利用者が情報を入力（書き込み、投稿、出品、募集など）し、その情報を不特定の利用者が受信（閲覧）できるサービス

（具体例）SNS、電子掲示板、動画共有サービス、オンラインショッピングモール（※自社ECサイトは含まれない。）、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、オンラインゲーム

（３）検索エンジンサービス（※全てのWebサイトを対象とした検索サービスに限る）

（具体例）Google検索、Yahoo検索、マイクロソフトBing検索

（４）不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス

（具体例）ニュースや気象情報等の配信を行うWebサイトやア プリケーション、動画配信サービス、オンライン地図サービス

この４つの役務類型で、最もその判断に迷うのが「各種情報のオンライン提供サービス」である。この点、オンラインメディアが規制対象サービスとなることは明確であるが、例えば、企業のコーポレートサイトやサービス紹介サイトが、「各種情報のオンライン提供サービス」に該当するかが問題となる。
企業が会社概要や自社の商品・サービスを紹介するサイトは、「他人の需要」のためではなく、「電気通信事業」にあたらず、規制対象サービスに該当しない。
他方で、企業が自社の商品・サービスを紹介するサイトに利用者を誘因するためのメディア（いわゆるオウンドメディア）については、各種情報のオンライン提供サービスに該当すると考えられる。本来業務の遂行手段としての範囲を超えて、独立した事業としてオンラインサービスを提供している場合には、当該オンラインサービスは「電気通信事業」に該当すると考えられるためである。
この点、ガイドライン解説7－1－2の対象役務では、以下の通り規制対象役務に該当するか否かの有益な区別例が示されている。
『例えば、金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供は「電気通信事業」に該当しないが、当該金融事業者が証券・金融商品等についてのオンライン販売のWebサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は情報の送信（電気通信役務の提供）の事業として独立していると考えられ、「電気通信事業」に該当する。』

この具体例を敷衍して、企業の商品・サービスの紹介サイトとオウンドメディアとの区分を考えるに、自社の商品・サービスに着目した商品・サービスの用途や利用場面、消費者の商品・サービスの使用感をまとめたメディアは規制対象役務に該当しないが、他方で、自社の商品・サービスに限定せず、ある商品・サービスが属する他社商品・サービスを含めた商品・サービスカテゴリー全体にかかる情報のオンライン提供は、規制対象役務に該当する可能性があると考える。
例えば、キャンプ用品を販売する会社が自社販売するテントの用途や使用感の紹介は規制対象役務に該当しない一方で、テントの一般的な種類とそれに合う利用シーンの説明、テントの選び方、テントの素材、テントの設営方法の紹介動画は、特にそれらが自社の商品ラインナップ外のテントの情報も含まれていれば規制対象役務に該当する可能性となる限界事例となるであろう。

利用者情報の外部送信の仕組み

まず、利用者がWebサイトを閲覧する場合には、利用者が外部送信タグの設置されたWebサイトを閲覧すると、Webサイト運営者のWebサーバから利用者の端末に対して、利用者の情報を外部ベンダのサーバへ送信するように指示がなされる。そして、利用者の端末から利用者の情報が外部ベンダへ送信される。
同様に、利用者がアプリを利用する場合については、利用者が情報通信モジュール（SDK：Software Development Kit。ソフトウェアを開発する際に用いられるツールをいう。）の設置されたアプリを利用すると、アプリ提供者のアプリサーバから利用者の端末に対して、利用者の情報を外部ベンダのサーバへ送信されるように指示がなされる。そして、利用者の端末から利用者情報が外部ベンダへ送信される。

【図表：利用者情報の外部送信の仕組み】
出典：総務省 学術雑誌『情報通信政策研究』第 6巻第1号立案担当者解説「電気通信事業法の一部を改正する法律」Ⅳ－39

このように利用者がPC、スマートフォン等の端末でWebサイトを閲覧する際やアプリを利用する際に、Webサイト運営者・アプリ提供者のサーバからコンテンツと併せて利用者の端末に記録されている利用者情報を外部ベンダに送信させる指令が送信され、利用者端末から第三者ベンダのサーバに、いわば自動的に利用者情報が送信されることになる。この利用者情報の外部送信については、利用者が自ら氏名・住所・メールアドレスなどの個人情報を登録して、Webサイト運営者・アプリ提供者にデータを渡すケースと異なり、利用者が意識しないまま外部ベンダに利用者の情報を渡す仕組みである。そこで、利用者にこの外部ベンダへの情報提供の流れを確認する機会を付与するのが電気通信事業法改正の趣旨である。

_{当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容
例：訪問者が閲覧したウェブページのURL、IP アドレス、OS、ブラウザ等の情報}

^{（参照）プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ（第12回）配布資料より}

_{前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称
例：広告系および解析系ベンダの会社名（Google Inc.　Twitter.Inc.　Facebook, Inc.LINE株式会社　ヤフー株式会社など}

^{（参照）プラットフォームサービスに係る利用者情報の取扱いに関する WGとりまとめ（案）}

企業の具体的な対応方法

企業がWeb・アプリサービスの利用者のPC・スマ―トフォン・タブレット端末に対して、利用者のCookie ID、AppleアプリのIDFA、GoogleアプリのADIDなどの広告識別子、IPアドレス、Webサイトを閲覧しているユーザーのデバイス・OS・ブラウザ、それらのバージョンなどの情報（ユーザーエージェント情報）などの情報（利用者情報）を外部ベンダに送信するための指令通信を行う場合に、以下のクリアランス手段のどれか１つを実装する必要がある。

（i）クリアランス手段①通知・公表
以下の必要的記載事項を利用者に通知又は公表する（ガイドライン解説7-3-1 通知等を行うべき事項）。

【必要的記載事項】
①送信される利用者情報の項目
②送信先となる外部ベンダの名称
③送信される利用者情報の送信元の事業者および送信先の外部ベンダでの利用目的

ガイドライン解説では、通知の方法として、いわゆるCookieポップアップの即時通知などが想定されている（ガイドライン解説7-2-2 通知の場合に特に求められる事項）。
また、当該事項の一部のみを表示する場合においては、 1 回程度の操作で到達できるリンク先の画面に当該事項が表示されており、かつ、即時通知の画面において、リンク先の画面に残部の表示があることが利用者にとって理解できる形にする。この点、送信先の外部ベンダは、外国企業であることも多く、外部ベンダが示す英語の記載のプライバシーポリシーのリンクを貼るのみでは、利用者に送信先となる外部ベンダでの利用目的を適切に認識させることが困難であるため、これらの記載は日本語を用いて、平易な表現にすることなどが求められている。

【公表文の参考例】
本サイトやアプリご利用者のアクセスを解析し、画面毎のアクセス回数や滞在時間、利用環境や地域毎の利用者数、流入経路や検索語句等を分析し、利便性の向上やコンテンツの最適化、広告の効果測定などを行うために以下のサービスにパーソナルデータを送信しています。

（ii）クリアランス手段②同意
利用者情報が外部送信されることについて利用者の同意を取得する方法である（ガイドライン解説7-4-2 利用者が同意している情報）。もっとも、同意の前提として、あらかじめ、利用者に対し、（i）クリアランス手段①通知・公表で述べた必要的記載事項を通知・公表することが望ましい。
また、同意の取得により適切な確認の機会を付与したというためには、利用者の具体的かつ能動的な同意を取得することが必要である。したがって、情報送信指令通信ごと、すなわちWebページやアプリに埋め込まれたタグや情報収集モジュールごとに同意を取得することが望ましい。

（iii）クリアランス手段③オプトアウト
利用者に対して情報の送信又は利用を停止する措置（オプトアウト措置）を講ずるクリアランス手段である（ガイドライン解説7-4-3 送信又は利用の停止を求めていない情報）。
もっとも、この場合でも以下の項目を公表しておく必要がある。
①オプトアウト措置を講じている旨
② オプトアウト措置が、情報の送信又は情報の利用の停止のいずれの行為を停止するものであるかの別
③オプトアウト措置に係る利用者の求めを受け付ける方法
④利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときはその内容
⑤送信されることとなる利用者に関する情報の内容
⑥利用者に関する情報を取り扱うこととなる者の氏名又は名称
⑦利用目的

どのクリアランス手段を講ずるかの選択
上記のクリアランス手段①から③を見てもわかる通り、クリアランス手段①の通知・公表をするというクリアランス手段に対して、②または③のクリアランス手段は要件が加重されている関係にある。そのため、最も運用負荷の軽い、必要最低限のクリアランス手段を選択したい場合には、クリアランス手段①を採用することになる。
他方で、クリアランス手段②同意やクリアランス手段③オプトアウトは、Webサイト・アプリの利用者に対して利用者の意思決定の機会を与えることによって、よりプライバシーに配慮した企業姿勢をアピールすることが可能となる。
もっとも、クリアランス手段②同意を選択した場合には、Webサイトやアプリの利用者は、同意をしないことが多いため、これまで収集・利用できていた利用者情報を活用したWebサイトのアクセス解析や利用者情報から得た利用者の属性に着目したデジタルマーケティングの施策ができなくなってしまうというデメリットも勘案する必要がある。この点で、利用者情報の解析やオンライン広告への活用を担当するマーケティング部の意見を参考にすることが必須となろう。

クリアランス手段のメリット・デメリット

クリアランス手段の実装方法

では、企業としては、どのように上記のクリアランス手段を実装していくべきか。

（１）①通知・公表
まず、クリアランス手段として最低限必要な①通知・公表を採る場合の実装方法としては、クリアランス手段①通知・公表における必要的記載事項を既存のプライバシーポリシーやCookieポリシーに追記する方法が考えられる。
なお、これまで一部の企業においてプライバシーへの配慮から実務的に行われていたWebサイトやアプリのCookieポリシーで記載されていた各タグや情報収集SDKごとに情報送信先となるベンダ名、当該ベンダのプライバシーポリシー・オプトアウトリンクを貼るということでは、必要的記載事項として不足があることに注意が必要である。

（２）②同意
次に、クリアランス手段②同意を採用する場合の実装方法はいかにすべきか。
この場合は、CMP（Concent Management Platformの略で、同意管理システムを言う。）の導入を検討する必要がある。すなわち、ある利用者が、外部送信に対して同意したか否か、またタグや情報収集SDKごとに同意の有無を管理し、同意の有無にしたがった利用者情報の収集・利用を制御する必要があるため、これらの機能を備えたCMPの導入が実務的には必須となる。また、クリアランス手段③オプトアウトを採用する場合も同じである。

企業の対応プロセス

【図表：企業の対応プロセスとそのステップ】

（１）フェーズ1・対象事業者か否かのアテハメ・該当性判断
自社が運営している全てのWebサイト・アプリを網羅したリストを作成し、各Webサイト・アプリサービスが規制対象役務に該当するか、すなわち自社が規制対象事業者に該当するかをチェックする。

（２）フェーズ2・データマッピング
フェーズ1の工程で、規制対象役務に該当したWebサイト・アプリについて、外部ベンダへの送信状況をすべて調査するデータマッピングを実施する。その際には、クリアランス手段①通知・公表での必要的記載事項である①から③に加えて、以下の④、⑤も併せて調査すると良い。

【必要的記載事項】
①送信される利用者情報の項目
②送信先となる事業者の氏名又は名称
③送信される利用者情報の送信元および送信先ベンダでの利用目的
④送信先となる外部ベンダのWebサイトのアドレス
⑤当該外部ベンダのプライバシーポリシー・オプトアウトリンク

（３）フェーズ3・クリアランス手段の検討
クリアランス手段の選択の項目でも述べたようにクリアランス手段を法務部、デジタルマーケティング部、Webサイト・アプリ開発・運用部と協議しながら選択する。

（４）フェーズ4・実装
フェーズ3で選択したクリアランス手段の実装フェーズである。ここでは、CMPを導入したうえで実装するか、または、各種のCMPのサービスやサービス提供会社を選択していくこととなる。

CMP実装の必要性

（１）各クリアランス手段とCMP実装の必要性
（i）クリアランス手段②同意または、③オプトアウトの場合
クリアランス手段として②同意または、③オプトアウトを選択する場合には、利用者の同意やオプトアウトしたステータスを管理する必要性から事実上、CMPの導入は必須となる。

（ii）クリアランス手段①通知・公表の場合
クリアランス手段①通知・公表を選択した場合はどうか。
この場合でも、フェーズ2のデータマッピング、フェーズ4の実装を手動で遂行することは、Webサイト・アプリに実装されるタグや情報収集モジュールの導入が随時、設置または廃止されていくことが発生することに鑑みると、それらをその度にマニュアルで更新し、通知・公表文に反映させていく運用負荷がかかることを覚悟する必要がある。そのため、新規のタグや情報収集モジュールの設置や廃止をタイムリーに把握するための体制整備や業務フローの構築が必要となる。

これらの対応を自社にてマニュアルで行うということに対比して、CMPを導入することにより相当量の運用負荷が軽減されることになる。そのため、CMP導入は必ずしも必要とは限らないものの、CMPを導入する企業が今後も増えていくことが予想される。なお、CMPは、その設定により、通知・公表モード、同意モード、オプトアウトモードの選択が可能であり、クリアランス手段の①から③のいずれも対応可能である。

（２）CMPベンダの選定ポイント
CMPは、元来、EUの個人情報保護規制であるGDPR（欧州一般データ保護規則）や米国のCCPA（カリフォルニア州消費者プライバシー法）の要求事項のクリアランス手段として開発されたものであり、必ずしも日本の改正電気通信事業法における利用者情報の外部送信規律のクリアランス手段に対応していない。特に、日本の電気通信事業法で要求される通知・公表の必要的記載事項を充足していないケースがあるため、適切なCMPベンダの選定や既存のCMPベンダからの切り替えが必要となる。

また、CMPの中には、技術的仕様から利用者情報の外部送信状況の一部しか検出できないCMPもあり、網羅的なデータマッピングが不可能なケースがある。そのため、利用者情報の外部送信状況をどのような技術的手法で検出しているか、また、検出できない外部送信はどのようなケースかの技術的仕様を含めたCMPベンダの選定を慎重に行う必要がある。

GDPRとの関係

この利用者情報の外部送信規律の対応前に、既に一定数の企業がWebサイトやアプリにおいて、利用者情報の外部送信状況をCMPを導入することにより公表し、または同意取得の対応をしている。これは、利用者のプライバシーの保護を強化する観点から任意の公表または同意取得しているケースやGDPRの適用があるWebサイトやアプリについてGDPRの法的対応の一環として利用者情報の外部送信について同意取得をしているケースが含まれる。
それゆえ、改正電気通信事業法の施行日以降は、既にGDPRの法的対応として、利用者情報の外部送信について同意を取得している企業においても、GDPRに加えて、改正電気通信事業法の対応を重畳的に実施する必要があることになる。

罰則・制裁

規制対象事業者が、上記のクリアランス手段のいずれかを実施しなかった場合、業務改善命令の対象となり、業務改善命令に従わなかった場合には罰則もあり得る。
また、この場合には事業者名の公表の制裁がなされる可能性があることに留意が必要である。