【I&S インサイト】クッキー規制の導入!?(3)
〜改正電気通信事業法における利用者情報外部送信規律の議論状況〜

執筆者:今村敏

目次

 1 はじめに

 2 利用者に関する情報の適正な取扱いに係る制度整備

 3 「利用者に関する情報の外部送信」における規律の枠組み

 4 当該措置をとらなかった場合

 5 最後に

 

1 はじめに  

2022(令和4)年6月13日、「電気通信事業法の一部を改正する法律」(令和4年法律第70号)は参議院本会議において賛成多数で可決・成立し、617日に公布されました。そして、同法は一部の規定を除き、公布の日から1年を超えない範囲内において政令で定める日に施行することとなりました1

同法に関する議論状況はこれまでも当所インサイト2やセミナー等において解説してきたところですが、同法における規律の詳細は「総務省令で定める」となっている部分も多く、その議論動向は下記の「今後の検討の進め方(案)」を参考に、省令、ガイドラインやその解説、FAQ等の議論状況を引き続き注視する必要があります。

 

2022617日 総務省「今後の検討の進め方について(案)」

 

そのような前提ではありますが、926日、電気通信事業法施行規則等の一部を改正する省令案等に対する意見募集3が開始されましたので、今回は改正事項のうちCookie規制との評価もあり、特に注目度の高く、影響を受ける事業者の範囲も従来の電気通信事業法の適用範囲から拡大される「利用者に関する情報の外部送信」に係る内容に関してこれまでの議論状況も踏まえ改めて解説します4

 

2 利用者に関する情報の適正な取扱いに係る制度整備

2.1 改正イメージ

電気通信事業法は、通信の秘密に関する憲法第21条第2項の規定を受けて、「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。」(電気通信事業法第4条)として規定を設けているところです。

今回の改正イメージは、電気通信事業法第4条との比較で、大枠として以下のような枠組みで考えると理解しやすいと思われます。すなわち、①電気通信事業法の規律対象となる「電気通信事業者」の範囲に関して、これまで届出が不要とされてきたいわゆる第三号事業者(電気通信事業法第164条第1項第35のうち「大規模な検索サービス」及び「大規模なSNS」に対象範囲を広げること、②利用者情報の取扱いに関して安全管理措置に係る規律が明確化されたこと、③通信の秘密に係る部分として、「特定利用者情報」に関する保護及び利用者に関する情報の外部送信に係る「情報送信指令通信」に関する制度的な規律が設けられたこと、として捉えることができます。

 

※ 改正のイメージ(当方作成)

 

.2 検討体制

今回の改正において、利用者に関する情報の適正な取扱いに係る制度整備として大きく2つの枠組みで議論がなされています。すなわち、(i)「利用者情報の適正な取扱い」に係る部分(主に前述①②③の特定利用者情報に係る部分)と、(ii)「外部送信」に係る規律の部分(主に前述③の情報送信指令通信に係る部分)です。

両者の詳細な検討は2つの検討会(ワーキンググループ)において主に行われているところです。このため、来年の改正法施行にむけては両検討会の動向を見ていく必要があります。はじめにも述べましたが、今回はそのうち特に幅広い事業者が新たな規律の対象になり得る、「外部送信」に係る規律部分にスポットを当てて解説を試みるものです(なお、特定利用者情報の適正な取扱いに関する議論部分に関しては別の機会での解説を予定しています。)。

 

※ 総務省令等に関する検討体制(当方作成)

 

3 「利用者に関する情報の外部送信」における規律の枠組み

3.1 概要

利用者に関する情報の外部送信の際の措置として、改正法第27条の12(情報送信指令通信に係る通知等)は、「電気通信事業者又は第三号事業を営む者(中略)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(中略)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。」として規定します。

 

※ 総務省「プラットフォームサービスに係る利用者情報の取扱いに関するWG(第10回)」

 

当該規定は、Webサイトの閲覧やアプリの利用において、Webサイトに設置されたタグやアプリに設置された情報収集モジュールなどのプログラムにもたらされる情報送信指令通信により、利用者の端末設備(スマートフォンやタブレットなど)が有する情報送信機能を起動させることで、当該利用者の意思によらずに、当該利用者に関する情報を当該利用者以外の者に送信するものであり、利用者が安心して電気通信役務を利用することを妨げ、電気通信の信頼性を損ねることにつながり得るものであるという問題意識から議論されました。そして、電気通信の信頼性を確保し、利用者の利益を保護することで、法の目的である電気通信の健全な発達を実現する観点から、電気通信役務を提供する者が、利用者の端末設備を送信先とする情報送信指令通信を行うことで、当該利用者の端末設備が有する情報送信機能を起動させ、当該利用者に関する情報を当該利用者以外の者に送信させようとするときに、当該利用者に対して適切な確認の機会を付与するための規定の整備を行うことが必要であるとして設けられています。

 

3.2 規律の対象

情報送信指令通信に係る規律の対象事業者は「電気通信事業者又は第三号事業を営む者内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る)」)とされています。

ここで、「第三号事業を営む者」6が本規律において対象とされていますが、情報送信指令通信は、Webサイト、アプリ等の提供を通じて行われることが一般的であるところ、これらの電気通信役務を提供する電気通信事業には、法の適用対象となっている電気通信事業だけではなくいわゆる第三号事業も多く含まれているところです。そのため、規律の対象とする者を適切に捕捉し、規律の効果を十分なものとする上では、法に基づく登録又は届出を行なっていない第三号事業を営む者も規律の対象とすることが必要であることから、本規律の対象は、電気通信事業者及び第三号事業を営む者とすることが適当とされています。

そして、総務省令で定める事項とされていた「利用者の利益に及ぼす影響が少なくないもの」総務省令案第22条の2の27(利用者の利益に及ぼす影響が少なくない電気通信役務)において、

   利用者間のメッセージ媒介サービス(第1号)

  SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等(第2号)

  ③ オンライン検索サービス(第3号)

  ④ 各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)(第4号)

として、サービスの類型ごとに区別した案となっています。

 

※ 総務省「プラットフォームサービスに係る利用者情報の取扱いに関するWG(第15回)」7

 

なお、当初「利用者の利益に及ぼす影響が少なくない」との要件の一つの目安として、「ウェブサイト中のいずれかのウェブページにおける月間PV数が○○以上(例:1,000程度)」、「アプリケーションの累計ダウンロード数(アップデートに伴うダウンロード数を除く。)が○○以上(例:10,000程度)」といった閾値に関する記載8も見られたところですし、また、改正電気通信事業法の法制局審査資料を確認すると、「情報送信指令通信が起動する情報送信機能によって送信される利用者に関する情報が比較的少なく、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少ない電気通信役務を提供する者(設立後間もない事業者、零細な事業者等)を本規律の対象から除くことが適当であると考えられる」とされ、「Webサイトのアクセス数、アプリのダウンロード数等が少ない場合、送信される利用者に関する情報が少なく、利用者の利益に及ぼす影響が少なくなると考えられることに鑑み、総務省令においては、電気通信役務の種類を定めるとともに、アクセス数、ダウンロード数等について一定の基準を設けた上で、当該基準を上回る電気通信役務を提供する者を本規律の対象とすることを想定する」との記載9もあり、何らかの閾値を設けることを予定していたものと思われます。

他方、その後のワーキンググループ等での議論において「利用者が少ないことでリスクが小さくなるわけではないという意見が多くあった。」10との資料も残されており、同様の趣旨で「利用者が少ないことが直ちにリスクが少ないことにつながらないのではないか、将来的に成長が見込まれるサービスは最初からプライバシーにも配慮した説明や設計が求められるのではないかとの意見があった。」との記載が「プラットフォームサービスに関する研究会 第二次取りまとめ」の報告書11ではなされており、現時点では数値的な閾値は設けない方向になったものと思われます。

 

.3 規律の内容12

次に、改正法第27条の12(情報送信指令通信に係る通知等)は、規律の内容としては、外部送信を指令するための「通信」を行う時は、当該通信によって送信されることとなる当該利用者に関する情報等を当該利用者に、

 (i)「通知又は容易に知り得る状態に置く(本文柱書)、

 (ii)同意を取得(第3号)、

 (iii)オプトアウト(第4号

のいずれかの措置をとることを求めるものです。

なお、前述の措置をとることが不要な「情報」13として、①利用者が当該電気通信役務を利用する際に送信することが必要な情報(第1号。例:OS情報、画面設定、言語設定に関する情報など)14、②電気通信事業者又は第三号事業を営む者が当該利用者に対して送信した識別符号(第2号。例:First Party Cookieなど)も定められています。規律自体は「通信」を対象とするものですが、当該通信の結果やりとりされる「情報」に着目して例外の規律を定めている点が特徴的です。

 

3.3.1 通知又は容易に知り得る状態

「通知又は容易に知り得る状態」の措置を求めた趣旨は、一定の情報を利用者に通知し、又は容易に知り得る状態に置くことにより、当該利用者は、情報送信指令通信によって自身に関する情報が送信されること、送信される情報の内容、情報の送信先等を認識することが可能となるため、当該利用者が利用する電気通信役務の変更・停止等により自身に関する情報が送信されることを未然に防ぐことが可能となると考えられたことによるものです。そのため、「通知又は容易に知り得る状態」に置くべき事項は、総務省令案第22条の2の第29条(利用者に通知し、又は利用者が容易に知り得る状態に置くべき事項)において、送信されることとなる利用者に関する情報(第1号)、情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称(第2号)、情報の利用目的(第3号)とされています。

そして、通知又は利用者が容易に知り得る状態に置く際に満たすべき要件として、総務省令案第22条の2の28(利用者に通知し、又は利用者が容易に知り得る状態に置く方法)において、「共通事項」として「日本語を用い、専門用語を避け、及び平易な表現を用いること」(第1項第1号)、「操作を行うことなく文字が適切な大きさ」で表示されるようにすること(第1項第2号)、利用者が、送信されることになる利用者に関する情報、送信先となる者の氏名又は名称、送信する情報の利用目的について「容易に確認できるようにすること」(第1項第3号)が要求されています15

加えて、「通知する場合」は、通知すべき事項又は当該事項を表示したWebページやアプリケーションの所在に関する情報(URL等)を即時にポップアップ第1項第2号等により表示する(項第1号)及び上記と同等以上に利用者が容易に認識できるように表示する(第2項第2号)が要求されて、他方で、「容易に知り得る状態に置く場合」16に関しては、情報送信指令通信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて表示する(第3項第1号)、情報送信指令通信を行うアプリケーションを利用する際に最初に表示される画面又は当該画面から容易に到達できる画面において公表すべき事項を表示する(第3項第2号)、及び上記と同等以上に利用者が容易に到達できるように表示する(第3項第3号)が要求されています。

 

3.3.2 同意取得

次に、一部のWebサイト、アプリ等では、送信される情報の内容等を利用者に通知し、又は当該利用者が容易に知り得る状態に置く方法ではなく、利用者の同意を取得する方法により、利用者に対し、自身に関する情報の送信を認識させ、選択する機会を付与している場合があるが、この場合であっても、規定の趣旨を満たすことから、例外の規律として設けられています(改正法第27条の12第3号)。今回の規律において、通知又は容易に知り得る状態を認めず、同意の取得を原則とすると、利用者が情報送信指令通信の都度同意を求められる可能性があるところであり、「同意疲れ」としてグローバルにも議論されている状況を誘発する可能性があり、また、電気通信役務を提供する者が利用者の同意状況の管理や利用者に同意を求めるためのシステム改修等を行わなければならない事態が生じることが想定されるため、全ての電気通信事業者又は第三号事業を営む者が適切に対応できるとは限らないため、利用者の同意を必要とすることを原則としないこととなったと思われます。

なお、同意の取得方法等については、総務省令事項ではなくその詳細は、今回特に明らかにされていないため、現時点で詳細は不明ですが、「同意」は、「通知又は容易に知り得る状態」の代替として許容されている手段であるため、いわゆる包括的な同意でも足りるのではないかと思われます。また、同意事項は通知又は容易に知り得る状態に置くべき事項と同様と思われるところです。

どのような形で同意取得を行うことが適当であるか、要件や望ましい手法等については、電気通信事業における個人情報保護に関するガイドライン等で今後示されることが予想され、当該検討においては、「利用者が十分な情報を得た上で意思決定を行うことを可能とすることが重要であり、利用者を誘導したり、誤認させるいわゆるダークパターンとならない観点からも注意が必要」17とされています。

 

3.3.3 オプトアウト措置

オプトアウト措置は、送信される情報の内容等を利用者が容易に知り得る状態に置いた上で、当該利用者に情報の送信又は送信された情報の利用の停止を求めることを可能とするものであり、送信される情報の内容等を利用者に通知し、又は当該利用者が容易に知り得る状態に置くことに着目した場合には、改正法第27条の12柱書18の義務と何ら差異はないように思われますが、オプトアウト措置の場合、当該措置の対象となる情報のみが容易に知り得る状態に置かれることも想定されることから、改正法第27条の12第4号において別に規定されているものです。

そして、オプトアウト措置を設ける場合には、利用者が容易に知り得る状態に置くべき事項として、総務省令案第22条の2の31(オプトアウト措置に関し利用者が容易に知り得る状態に置くべき事項)は、オプトアウト措置を講じていること(第1号)、オプトアウト措置の内容(情報の送信を停止又は送信された情報の利用の停止)(第2号)、利用者の求めを受け付ける方法(第3号)、オプトアウト措置を求めた場合において受けるサービスの制限に関する内容(第4号)、送信されることとなる利用者に関する情報の内容(第5号)、情報の送信を受けてこれを取り扱う者の氏名又は名称(第6号)、送信される情報の利用目的(第7号)を要求しています。

 

4 当該措置をとらなかった場合

対象事業者であるにもかかわらず当該措置をとらなかった場合には、業務の改善命令(改正法第29条第2項第4号)、報告及び検査(改正法第166条第1項)、法令等違反行為を行った者の氏名等の公表(改正法第167条の2)を行われる可能性があります。また、業務の改善命令に従わなかった場合や、報告及び検査において報告をしない、検査を拒否するなど不十分な対応等を行った場合には罰則(改正法第186条第3号、第188条第17)の対象となるので注意が必要になります。

なお、これまで電気通信事業法における利用者情報の取扱いに係る文脈において業務改善命令等の処分が取られたことはそれほど多くありませんが、「通信の秘密」に関しては、「通信の秘密の確保に支障があるときの業務の改善命令の発動に係る指針」を示すなど、情報管理等に対する世間の関心の高まりに呼応するように、今後は執行にも意欲的な姿勢を示してくることも考えられるところです。

 

5 最後に

当該改正は、これまで登録届出の対象であった電気通信事業者のみならず、第三号事業を営む者も対象とするものです。特に、第三号事業を営む者は、これまで電気通信事業法を特に意識をしていなかった事業者も多いと思われるところであり、メッセージ等の媒介サービスを提供する事業者のみならず幅広くインターネットにおいてサービスを提供する事業者が対象となり得るものであって、各種情報のオンライン提供等のサイトは相当数あるため、自社がインターネット上で提供しているサービスや情報サイトが今回の規律の対象にならないかどうかについて、すぐに検討を開始すべきではないかと思われます。

仮に規律の対象となった場合には、利用者が判断するため、様々な事項(送信される情報、送信先の氏名・名称、送信される情報の利用目的)について、「通知又は容易に知り得る状態」にしなければなりません。

当該改正によって求められる措置については、様々な手段が認められていますが、通知又は容易に知り得る状態として対応すること最も容易な手段であるため選択する事業者が多いのではないかと考えられますが、当該手段が良いのか、それともそれ以外の手段が良いのかについては、提供するサービスや現在実施している措置にも合わせプライバシーリスク及び対応コストとの兼ね合いで検討する必要があると思われます。

もっとも、当該検討にあたっては、事業者としてのコストの観点のみではなく、利用者にとってどの手段が最も利益になるのかという観点も考慮に入れ、プライバシー保護にも資する形での対応をすることが、プライバシー対応を十分行っているサービスとして評価を受け、顧客からの信頼も得られる(又は炎上のリスクが低下する)ため、結局もっともコストの少ない手段になり得るという点にも留意して対応の選択をする必要があると考えます。

 

以上


 

  1. 参議院 第208回国会(常会)「議案情報―電気通信事業法の一部を改正する法律案
  2. クッキー規制の導入!?(2)〜改正電気通信事業法(案)の概要及び求められる今後の対応〜」、「クッキー規制の導入!?「通信関連プライバシー」?〜令和2年個人情報保護法改正の対応及びその先の動向を見据えた対応〜
  3. 総務省「電気通信事業法施行規則等の一部を改正する省令案等に対する意見募集の実施
  4. なお、本稿ではいわゆるクッキー規制に係る部分を対象としており、改正事項の全てを網羅しているものではない点ご留意ください。
  5. 電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務(中略)を電気通信回線設備を設置することなく提供する電気通信事業。
  6. 「第三号事業」とは、「電気通信事業法第164条第1項第3号に掲げる電気通信事業」を意味する(改正法第2条第7号イ)。例えば、オンライン検索サービス、SNS、各種情報のオンライン提供等が該当し、インターネット上で提供されているものの広範なサービスが該当し得る(総務省「電気通信事業参入マニュアル(追補版)」、総務省「電気通信事業参入マニュアル(追補版)ガイドブック」。
  7. 2022年617日 総務省「利用者に関する情報の外部送信の際の措置について
  8. 同上
  9. 2022年8月5日総務省「情報通信政策研究 第6巻第1号」における電気通信事業法の一部を改正する法律に関する立案担当者解説にも同様の趣旨の記載がある。
  10. 2022年8月25日 総務省「第17回会合における構成員等からの主なご意見
  11. 2022年8月25日 総務省「プラットフォームサービスに関する研究会 第二次とりまとめ」注釈176
  12. 当該規律は、「通知」や「同意」等を内容とするものであるが、当該枠組みを検討する上では、プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第2回資料「実効性のある通知・同意取得方法の在り方に関する実証事業の報告」や、第12回資料「プライバシーポリシー等のベストプラクティス及び通知同意取得方法に関するユーザー調査結果」の分析検討が活用されていると思われる。
  13. これらの情報は、電気通信役務を適正に表示するために必要な情報その他の電気通信役務を利用するために送信することが必要な情報や電気通信役務を提供する者が利用者に送信した識別符号については、送信しなければ適正に電気通信役務を利用することができないこと、使途が限定的であることといった理由から、情報の送信について利用者の判断を経る必要性が低いと考えられるため除外として規定されている。
  14. 総務省令案第22条の2第30(利用者が電気通信役務を利用する際に送信することが必要な情報)として、OS情報、画面設定情報、言語設定情報(第1号)、入力をした情報の保持等に必要な情報(第2号)、認証に必要な情報(第3号)、セキュリティ対策に必要な情報(サービス提供者のセキュリティに関するものに限る(第4号)、ネットワーク管理に必要な情報(第5号)と規定しています。
  15. なお、「通知又は公表を行う際の方法について、GL等において、文字の色の使い方を含め、利用者の認識や理解の向上につながる好事例を随時追加すること」が外部送信規律の施行に向けて配慮すべき事項とされています。
  16. なお、個人情報保護法においても「容易に知り得る状態」(第27条第2項など)との文言での規定があります。そして、当該解釈として「「本人が容易に知り得る状態」とは、事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならない(規則第11条第1項第2号)。」とされているところであり、当該解釈を意識したものと思われます。もっとも、個人情報保護法においては、「第三者に提供される個人データによって識別される本人(中略)が当該提供の停止を求めるのに必要な期間をおくこと」(規則第11条第1項第1号)としているところであって、時間的な余裕も求めている点が異なると評価できるかもしれません。
  17. 「プラットフォームサービスに関する研究会 第二次とりまとめ」注釈183
  18. 改正法第27条の12柱書の総務省令で定める事項は、情報送信指令通信ごとに①当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容、②情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称、③①の情報の利用目的(総務省令案第22条の2の29

詳細情報

執筆者
  • 今村 敏
取り扱い分野

Back to Insight Archive