なんだかどこかで聞いたことがあるタイトルですが、皆さんいかがお過ごしでしょうか。
タイトルの通り、最近はすっかり改正電気通信事業法の外部送信規律(いわゆるcookie規制)一色という感じで、日々タグや情報収集モジュールと格闘しています。
ちょうど1年前(まだ1年前なんですね!)に改正個人情報保護法の対応をしているときにも思ったのですが、企業間の紛争とは直接関係ない領域での知見は、溜め込まず共有した方が皆が幸せだと思うので、本件に関して得た学び・悩みについて書いていきます。
皆で幸せな6月を迎えましょう。
改正電通法対応
— 法務のいいださん🦈🐬 (@Iidasame) January 25, 2023
#法務を最小文字数で鬱にさせるチャレンジ
1.前提
(1)外部送信規律とは
昨年電気通信事業法が改正され、外部送信規律と呼ばれるルールが追加されました。
(https://www.soumu.go.jp/main_content/000829032.pdf)
ざっくり説明すると
- Webサイト
- アプリケーション(Web, スマートフォンなど)
なんかにタグや情報収集モジュールを組み込んで、第三者や自社のサーバに情報を送信している場合に*1、事業者に対して同意取得・通知/公表・オプトアウトを求めるものです。
(2)何が辛いか
条文が死ぬほど読みづらい…というのもあると思うのですが*2、もう少し踏み込んでみると…
- 規制対象になるともならないとも読める文言
- (今まで多数派の企業があまり意識してこなかったものの、歴史が古く多くの解釈が積み重ねられてきた)電気通信事業法という法律による規制
- 技術理解や他部署とのコミュニケーションの必要性
あたりなんだろうなと思っています。
(3)今日は何を書きたいか
冒頭で書いた通り年明けからずっとこのテーマをやっているので、
- 自分で考えたこと
- 社内外の有識者と議論したこと
を踏まえた、種々の学び・悩みを書いていきます。多分それなりにマニアックな話も含まれると思うのですが、一部の皆さんはまさに今、その他の皆さんは数ヶ月後、きっとぶつかる話なんじゃないかと思うんです。
「外部送信規律とか初めて聞いたよ」という方は、良かったら年末に書いたこちらの記事を先にご覧ください。
2.学び・悩み
(1)結局どこまでが規制対象なの
ア 問題の所在
まずはやはりここですよね。詳細は↑のブログでご説明したのでここでは省略しますが、規制対象は
-----------------------------
- 電気通信事業者
又は
- 第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)
-----------------------------
です。
イ 「電気通信事業者」
電気通信事業者の皆さんは、以前から総務省とのコミュニケーションもあり、本改正の元ネタともいうべき
もよくご存知だと思います。いわば腹も括れている人たちだと思うのです。
ウ 「第三号事業を営むもの」
他方で、今回事実上新たに規制対象になるカテゴリーである第三号事業の皆さんは、スコープに入るのかどうかが定まらないとなかなか動き出せないし、準備する気にもならないと思います。
電気通信事業参入マニュアル[追補版]というものに第三号事業の具体例が載っていますが、一旦わーと列挙してみると…
- IoTサービス (物品位置 管理、混雑 状況検知システム等)
- Webサーバ等用のサーバ貸与(レンタルサーバ、 VPS3、PaaS)
- オンラインストレージ
- ファイル共有 サービス/ファイル転送サービス
- ソフトウェアのオンライン提供( SaaS 、ASP)
- 各種情報のオンライン提供
- Webサイトの オンライン検索
- ECモール/ネットオークション/ フリマアプリの 運営
- 電子掲示板
- オープン・チャット
- 電子メールマガジンの配信
が該当します。太字、スコープかなり広いですよね。
エ (内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)
上記の通り、「第三号事業を営む者」は一定程度は具体化されているので*3、検討が必要になるのはとりわけ下線部分に対応する総務省令*4の4号、
四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
の解釈ということになります。
なぜこのような「期待を煽るものの、何を言っているのかがあまりよくわからない条文」が出来上がったかというと*5、途中で方針変更がなされたからです。
オ 経緯
プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第15回)までは、「利用者の利益に及ぼす影響が少なくない」の解釈について以下の通り
-----------------------------
- ウェブサイト
- PV数
- アプリケーション
- ダウンロード数
-----------------------------
による規制が想定されていました。その妥当性は一旦置くとして、条文への忠実さというか「利用者の利益に及ぼす影響」を考慮している感じはしますよね。
(https://www.soumu.go.jp/main_content/000820411.pdf)
しかしながら、これが当日の議論でかなり叩かれてしまいました。
(https://www.soumu.go.jp/main_content/000831308.pdf)
その結果として現在の文言に落ち着き、どの辺りで「利用者の利益に及ぼす影響」を考慮しているのかが分かりにくい、「規制の対象外になるかな」という期待を煽りながらも核心は教えてくれない状況が出来上がりました。
(再掲)
四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
カ どう解釈するか
ここはもう各社のリスク判断ということになろうかと思いますが、以下の議事録踏まえると対象外として押し切るのはなかなか難しいだろうなと思います。
(https://www.soumu.go.jp/main_content/000843867.pdf)
キ 外部弁護士としての悩み
もっともこの辺、外部の弁護士として「規制対象になるよ」「やらなきゃいけないよ」と言って回るのには結構抵抗もあります。
ある種のマッチポンプ的に写ってしまうと、クライアントとの信頼関係も何もあったものではないので、どこまで注意喚起するかはいつも悩んでいます。
(2)外部送信ってどこまで含まれるの
今回の改正法対応において判断の拠り所となる「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案について」では、「タグや情報収集モジュール」という言葉が使われていて、実務上は
- cookie
- SDK
なんかを主として意識した議論がなされています。これらのうち、ユーザーのデータを飛ばす機能を持っているものが検討対象ということですね。
他に何かないのかというと、ユーザーに対するリダイレクト処理を挟んで、別のサーバを遷移させてから何か情報をとらせるような構成をとっている場合もあたり得るんじゃないかという話も有識者と議論しました。
とはいえもうこの辺りは結局、最後は人力というか調査票を作ってのヒアリングベースで検討することになると思うので、可能な範囲で情報収集するしかないですね(去年の改正電気通信事業法における、個人関連情報への対応が思い出されます)。
(3)調査票って開発やマーケ部門に渡したらよしなにやってくれるものなの
流石にそんなことないです。
我々法務部門より当然知見はお持ちですが、今回調査する必要がある項目を普段から全て把握している方というのは少数派だと思います。
ア Webサイト
後述の通り、cookieなんかはある程度は外から(法務から)でも調べられるので、こちらで一定程度調査票を埋めてから、
- 記載済みの部分は、その内容が正しいかを確認してください
- 未記載の部分は、調査の上で追記をお願いします
と依頼するのが良さそうです。丸投げが良くないことは、法務の皆さんも普段重々ご理解されていることと思います。
イ アプリケーション
アプリケーション部分については、基本的には外から調べることはできない(しない)ので、エンジニアの方にまるっと依頼することになります。
ここでは事前調査ができないことの穴埋めとして、研修やワークショップなんかを実施するのが良さそうです。
改正電気通信事業法の概要や、依頼したいことの背景をきちんとご説明することで、調査票の記入結果についての認識のずれを潰しておくことが目的です。
(4)どんなcookieが入ってるかって調べられるの
例えば、cromeをブラウザとしてお使いの場合、デベロッパーツールで確認することができます(参考)。また、cromeの拡張機能ではより便利なものもあります(参考)
(5)そのcookieの詳細って調べられるの
https://cookiedatabase.org/というところが、cookieのデータベースを公開してくれています。一定程度の事前情報はここで集められます。
日本のアドテクベンダが発行しているものなんかは情報足りていないことも多いのですが、まずはここでcookieのあたりをつけ、必要に応じて追加情報を探してくるのが効率的です。
(6)cookieってどこまでが規制対象なの
ア 規則の記載
適用除外になるものについて、規則は以下の通りの記載しています。とはいえ、解説案を見ても結構解釈はふわふわとしているので、実務上は一旦広く調査をした上で、最終的にこれに該当しそうなものを落としていくことになると思います。
電気通信事業法施行規則第 22 条の 2 の 30
法第 27 条の 12 第 1 号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。
(1) 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設 備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のため に真に必要な情報
(2) 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通 信設備の映像面に再表示するために必要な情報
(3) 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利 用者の電気通信設備の映像面に再表示するために必要な情報
(4) 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被 害の軽減等を図るために必要な情報
(5) 当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報 その他の当該電気通信設備の適切な運用のために必要な情報
なお「First Party Cookieなら全て適用除外」というのはありがちな間違いなので、少なくともその点はご注意を。ユニバーサルアナリティクス(UA)は対象だけど、Google Analytics 4(GA4)は対象外みたいなのは誤解です。
(https://www.soumu.go.jp/main_content/000853183.pdf)
イ 参考資料
cookieについては分類方法としてICC UK Cookie guideという資料が出ていて、世にあるcookieを以下の4つのカテゴリーに分類してくれています。
- strictly necessary cookies
- performance cookies
- functionality cookies
- targeting cookies or advertising cookies
Appleもこの分類を使っているみたいですね。分類の説明とかも結構面白いので、頭の体操的にこういった分類について考えてみるのもおすすめです。
(7)情報更新ってどこまで必要なの
初期対応としての公表が完了したとしても、継続対応としての情報の更新が必要になります。ここは法務への情報連携を制度化していないと確実に陳腐化します。
タグや情報収集モジュールは頻繁に追加されるので、うっかりしているとすぐに「あらかじめ」の要件に違反した状態が出来上がります。
(情報送信指令通信に係る通知等) 第二十七条の十二
電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(中略)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。
タグや情報収集モジュールを追加する際には法務にご連絡いただけるよう、今回の対応を通して開発部門、マーケティング部門と合意しておくのが良いと思います。何気にここ、今回の対応で一番大事なポイントな気もします。
(8)同意、通知/公表、オプトアウトってどれがいいの
多くの企業が公表を前提に検討をしていたと思うのですが、この「情報更新が非常に手間だ」という点を踏まえると、一周回ってオプトアウトとかの方がいいかなとも一瞬考えました。
ですが、今後オプトアウトされてしまうと立ち行かなくなる(けれども適用除外にはならない)タグや情報収集モジュールが出てくる可能性が捨てきれません。
ユーザーとの信頼関係構築という意味でオプトアウトを入れておくのは大変意味があることだと思うのですが、適法性の担保はやはり通知/公表で行くのが良さそうです。
昨年の改正個人情報保護法対応における越境移転の所で、「同意取得」と「基準適合体制の整備」の併用を行なった企業も一定程度あったと思うのですが、同じ発想ですね。
----------------
以上です。
判断に悩む部分も多く、まだまだいろいろな人と議論しながら検討をしているところです。今日の記事が、少しでも役に立ってくれれば嬉しいです。
〜改正電気通信事業法をめぐる実務対応の最前線・補遺〜
— 世古修平 (@seko_law) January 28, 2023
【法律のたてつけ】
・(原則)外部送信規律のスコープには、3rdへの送信だけじゃなくて1stへの送信も含まれる
・(例外)「真に必要な情報」はスコープ外で、1stへの送信は原則として「真に必要な情報」にあたるのでスコープ外
(1/N)
*1:「当該電気通信役務を提供する電気通信事業者に送信される情報は、基本的には当該電気通信役務の 提供に必要なものであると考えられるため、原則として「真に必要な情報」に該当すると考 えられる。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で 利用される情報については、「真に必要な情報」には該当しないと考えられる。」とあり、1st partyへの情報送信はどこまで正確に説明するかいつも迷います。
*2:- 法第二十七条の十二(情報送信指令通信に係る通知等) 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報 二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの 三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報 四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報 イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。 ⑴ 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信 ⑵ 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用 ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。
*3:「各種情報のオンライン提供」がどこまで含むか、というのも重要な論点ですが今日は一旦落とします。
*4:規則第二十二条の二の二十七(利用者の利益に及ぼす影響が少なくない電気通信役務)法第二十七条の十二の総務省令で定める電気通信役務は、次の各号のいずれかに該当する電気通信役務であつて、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものとする。 一 他人の通信を媒介する電気通信役務 二 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 三 入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。次条において同じ。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
*5:「ある者が自らの業務の遂行に当たって 又はそれに付随して電気通信設備を業務上の関係を有する他人との通信の用に供することは、自己の需要に応ずるものと判断され、基本的には、「他人の需要に応ずるため」に当たらない。」(電気通信事業参入マニュアル[追補版])と同趣旨の記載、という意味においては意味がありますかね。
