【この記事は法務系 Advent Calendar 2022 における5日目のエントリーです】
今年は擬古文先輩こと@keibunibuさんからバトンをいただきました。
(Twitterのスペースと連動した企画は、視聴者側が主体的に関与できる感じもあって面白いですよね。教育の分類、興味深く拝聴&拝見しました。私の今日の記事とは少しずれてしまうので、感想は脚注で。*1)
1.自己紹介
Advent Calendar経由で来てくださるはじめましての方も多いと思うので、簡単に自己紹介をさせてください。
- LINE株式会社でPrivacy Counselという、セキュリティとプライバシーしかやらないインハウスをやっています。
- 法律事務所LEACTで、クライアント企業向けに弁護士業もしています。こちらでも取扱いはセキュリティ・プライバシー関連だけに絞っています。
- 好きなことしかやっていないので毎日とても楽しいです。
2.今年のテーマ
折角のAdvent Calendarなのでキャリアの話とかを書こうかなと思ったのですが、皆様の業務に直接お役に立つようなものも良いかな…と考え直し、今年は改正電気通信事業法についての記事を書いてみます。Cookie規制とかって呼ばれているやつですね。
2022/09/13に弁護士ドットコム株式会社さんで実施した2022年版プライバシーポリシー作成の最新トレンドのセミナーでも簡単にお話ししましたが、今日はここを深掘っていきます。
(電気通信事業法の話はP.36から)
3.転ばぬ?
まずはタイトルを回収しておきます。
というのも今回の改正電気通信事業法は、業法のくせに対象となる企業の範囲が業法のそれではない…というと少し言い過ぎかもしれませんが、対象であるときちんと認識できていない企業が恐らく相当数存在するからです。
(1)え、うちって対象だっけ?
今回の改正法のうち、「外部送信規律」と呼ばれている部分で対象になっている可能性があります。本記事もここに絞って記述します。条文はあまりに長くて読みにくいので脚注に飛ばします*2。
ア 対象企業
(脚注に飛ばした)条文にある通り
- 電気通信事業者
又は
- 第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)
が外部送信規律の対象企業です。
恐らく「対象であるときちんと認識できていない」のは、登録・届出が不要で普段からあまり電気通信事業法に触れる習慣がない後者の企業(第三号事業を営む者)だと思うので、本記事の記述対象をさらに後者に絞ります。
イ 第三号事業を営む者
電気通信事業参入マニュアル[追補版]というものに、第三号事業の具体例が載っています。一旦わーと列挙してみると…
- IoTサービス (物品位置 管理、混雑 状況検知システム等)
- Webサーバ等用のサーバ貸与(レンタルサーバ、 VPS3、PaaS)
- オンラインストレージ
- ファイル共有 サービス/ファイル転送サービス
- ソフトウェアのオンライン提供( SaaS 、ASP)
- 各種情報のオンライン提供
- Webサイトの オンライン検索
- ECモール/ネットオークション/ フリマアプリの 運営
- 電子掲示板
- オープン・チャット
- 電子メールマガジンの配信
なのですが、「ソフトウェアのオンライン提供( SaaS 、ASP)」「各種情報のオンライン提供」が死ぬほどワイルドカードなので注意が必要です。繰り返しますが、これに該当すると「第三号事業を営む者」です。登録・届出が不要なので普段は電気通信事業法なんてあまり読んでおられないと思いますが、今回ここがスコープに入ってくるのでこうして注意喚起をしている訳です。
「ソフトウェアのオンライン提供( SaaS 、ASP)」については
クラウド上にアプリケーションソフトウェアを構築し又はアプリケーションソフトウェアをインストールしたサーバ等を設置し、インターネット等を経由して当該ソフトウェアを企業や個人等に利用させるものをいう(SaaS、狭義のASPサービス)。このサービスは、自己と他人(利用者)との間の通信を行っており、他人の通信を媒介していないことから、サービス提供者が電気通信回線設備を設置していない場合には、登録及び届出が不要な電気通信事業と判断される。
「各種情報のオンライン提供」については
電気通信設備(サーバ等)を用いて、天気予報やニュース等の情報を、インターネットを経由して利用者に提供するものをいう。このサービスは、利用者(他人)の需要に応ずるためにインターネット経由での情報の送信(電気通信役務の提供)自体を目的として行っていることから、電気通信事業に該当するが、自己と他人(利用者)との間の通信であり、 他人の通信を媒介していないことから、電気通信回線設備を設置していない場合には、登録及び届出が不要な電気通信事業と判断される。
と書かれています。
ウ 利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者
「とはいえかっこがきで、”利用者の利益に及ぼす影響が少なくないもの”って限定してくれているじゃないか。そっちで逃れられるのでは?」と思いますよね。
ここでいう総務省令も長くて読みにくいので脚注に飛ばしますが*3、確かにこちらの柱書&各号で一定の限定はされています。しかし四号の
四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
というのが、またしても死ぬほどワイルドカードなのです。これ本当に「利用者の利益に及ぼす影響が少なくないもの」に限定する気あるんですかね。「インターネットって何ですか」への回答みたいなキャッチオール具合です。
(2)え、本当に対象なの?
ア ワーキンググループでの議論
プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループの第18回会合における構成員等からの主なご意見では、
第4号はより一層深刻で、「各種情報のオンライン提供」ということで、コーポレートサイトで自社の情報しかなければ、これは他人の通信の用に供するということにはならないということになると思うが、大抵のウェブサイトは何らかの情報を提供しており、極端なことを言えば広告を張ったらそれ自体が各種情報のオンライン提供になりかねないといったところ、非常に外延があやふやになる。
や
外延に当たるかどうかで一々一つ一つのサービスを事業者が聞くのは非常に不毛だと思っており、当たりそうだったら、Cookieポリシーを書いていただく、問い合わせている暇があったらつくったほうが早いというようなメッセージを出していただくのが良いのではないかと思う。
や
外部送信をしているということの情報提供をするということの方が合理的であり、やってもらうということかと思う。また、問合せのことも全くごもっともで、これはそんなに大したことをお願いしているわけではないということが大きな前提になっているだろうと思う。外部送信されているわけだから、それは通知、公表していただいて別に特に問題のないことであり、自分たちはどうなのだとか、これはどういう概念だと言っている間にやっていただくということが全く適切なのかなと思った。
といったコメントも出ていて、読んでいて流石に笑いました。強い。
また、続く第20回会合における構成員等からの主なご意見では
ニュース配信サイトとコーポレートサイトの境目というのも、全く明確ではないので、もし明確にできないのであれば、こういうのだけはホワイトであると、要するに全く自社の商品を売っているだけだったらオンラインショッピングモールでもないし、それは他人のためでもないので良いと。コーポレートサイトも全く自社のIRと会社情報とアクセスぐらいしか載っていないのだったら良いと。ほかは基本駄目であると書いてあげないとこれだけでは分からない。
と、今までの「不明確だよね」という論調からさらに一歩進んだ感もあります。
イ 私の考え
上記のワーキンググループでの議論については、私も概ね同じ意見です(いや、自分も中の人として手を動かしている手前「大したことをお願いしているわけではない」には流石に共感しかねますが…)。ユーザーとの信頼関係を構築するためにも必要な説明はきちんとするべきだし、こっそり情報をかすめとるようなことはすべきではありません。本来あってしかるべき制度だと思います。*4
一方で「できなかったら法令違反です」「罰則があります」「知らなかったんですか、期限は来月までです」となってくると、どうしても制度に対するヘイトが溜まってきて気持ちよく対応できなくなってきますよね。心の余裕があるうちに、本件ぜひ進めませんか。
4.何をいつまでにすればいいの
(1)何を
(出所:https://www.soumu.go.jp/main_content/000829032.pdf)
正確な内容は前述の法律と総務省令を参照いただきたいのですが、イメージを掴んでいただくために非常に雑に要約すると
【要件】
自社のWebサイトにCookieなどのタグを仕込んだり(画像向かって左)、自社のアプリにSDK*5などのモジュールを仕込んで(画像向かって右)、利用者に関する情報を取得させている場合に
【効果】
- 通知公表
- 同意取得
- オプトアウト
のどれかを行う必要がある、ということになります。
新規のサービスリリースでない限り、既存ユーザーから再同意を取得する負担が大きいため2は取りづらいかなと考えており、オプトアウト用のサービス(Cookieの同意を取りにくるポップアップよく見ますよね)はSDKをカバーしていないと思うので3だけで乗り切ることもできず、基本路線としては1でいく企業が多いのかな…なんて想像しています。
そこで、以下では1.通知公表に絞って記述します。
(2)いつまでに
ア スケジュール
施行期日が6/16のようなので、年明けから半年弱のプロジェクトを組むとした場合、想定される大まかなスケジュールとしては
- 1月:全体像理解*6
- 2月:調査票作成・社内展開
- 3月:調査票回収
- 4月:Cookie / SDKポリシー文案作成
- 5月:Cookie / SDKポリシー公開に向けて社内調整
- 6月:Cookie / SDKポリシー公開、継続的な維持管理体制の構築
って感じでしょうか。そんなに余裕はないですよね。
イ 注意したいポイント
また今回の改正法対応を行う上では、最初から6月以降の「継続的な維持管理体制の構築」を見据えて動くということが非常に重要だと思っています。企業側が継続的にWebサイトを改善し、新たなアプリ/機能をリリースし続けていく以上、これらのポリシーは一度作って終わりというものではありません。
メンテナンスを行わなければ内容はすぐに陳腐化し、せっかくの苦労が無意味になってしまいます。問題意識を持った人が初期の対応をするものの属人的な対応に留まってしまい、体制が構築されずに制度として残っていかない…みたいなのは本当にありがちな失敗ですよね。今回の改正法対応で、継続的な維持管理体制の構築までやってしまいましょう。
(3)ゴール
プロジェクトを進める上でゴールイメージも持っておくと効率的かと思い、参考になりそうな先行事例を共有します(なお、これらは現時点で必ずしも改正法に対応して作成されている訳ではないと思うので、あくまでイメージです)。
5.まとめ
以上です。記事へのご意見・ご感想はオープンにできるものはぜひぜひTwitterのハッシュタグ#legalACで、オープンにできないものはコンタクトフォームからいただけると嬉しいです。
それでは皆さんAdvent Calendarとともに良い年末をお過ごしください、私も明日からは再び読者として楽しみます。明日はたっしー@司法書士受験生(一回休み)さんです!
6.Special Thanks!
- @Hide_Sekihara
- Imai Tatsuya
- @Informationlaw1
- @MamiYoshidaUza1
- @mmw_385
- @ShMiura
*1:@keibunibuさんの記事のうち、「暗黙知」についての「先輩やその他の師からの稽古、OJT」という部分にひっかけて少し感想を書いてみます。私は司法修習終了後に法律事務所に行かず、新卒としてコンサルティングファームに行ったのですが、教育という言葉を聞いて思い出すのはやはりこの頃の経験です。ペーペーだったジュニアスタッフ時代の「師」というと尊敬する先輩の顔が思い浮かびますし、現場を任されるようになったシニアスタッフ時代ではクライアントの顔が「師」として強く思い浮かびます。
尊敬を集めるコンサルの先輩は多忙で、仮説を持たずに質問にいけばひたすら詰められました(仮説を持っていってもひたすら詰められました)。またクライアント、とりわけプロジェクトオーナーを任されるようなキーパーソンは非常に深い学びを与えてくれる相手ではありますが、教育を受けるべき相手ではないので「教えてください」という態度で接していい訳ではありません。
そこでどうしたかというと、ひたすら先輩・クライアントに対する解像度を上げていきました。背景情報を事前にインプットし、発言の意図に想像を巡らせ、プロジェクトでの議論を通じてそれとなく答え合わせをしました。そうすると段々「この人だったらこの質問にはこう答えるだろう」「この人はこの状況ではこう動くんじゃなかろうか」といったことがリアルに想像できるようになっていき、自分の中に仮想的な先輩・クライアントの人格?のようなものが出来上がっていく感覚がありました。
こうなるともうこちらのもので、仮説なんか持っていなくても(自分の中の)先輩・クライアントに質問し放題なわけです。やわい初期仮説をぶつけても詰められることはありません。「あなたはお金を貰って教育を受けにきているんですか?」と嫌味を言われることもありません。
#萌渋スペースで「暗黙知は、形式知として引き出されて初めて暗黙知であったことが知覚される」(意訳)みたいなお話がありました。この話にはすごく納得感があったのですが、私はひょっとすると上記の方法で、先輩・クライアントの暗黙知を形式知として引き出すことを試みていたのかもしれないな…なんて振り返っていて思いました。
というわけで、とても学びの多いお話でした。@keibunibuさん含め#萌渋スペースの皆さんありがとうございました。関連して、少し前に@shibaken_law先生が話されていた「アレ取ってこい」の話も共通する部分があったなと思い出しました。
*2:- 法第二十七条の十二(情報送信指令通信に係る通知等) 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報 二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの 三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報 四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報 イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。 ⑴ 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信 ⑵ 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用 ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。
*3:規則第二十二条の二の二十七(利用者の利益に及ぼす影響が少なくない電気通信役務)法第二十七条の十二の総務省令で定める電気通信役務は、次の各号のいずれかに該当する電気通信役務であつて、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものとする。 一 他人の通信を媒介する電気通信役務 二 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 三 入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。次条において同じ。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
*4:とはいえ、個人情報保護法もそうですが、ガイドラインやFAQまで読み込まないと基本的な部分でも正しく対応ができないルールというのは何とかならないものかなとは思いますよね。ルールが込み入ってくると学習コストが高くなるということに加えて、誤解に基づいて自信満々に独自少数説を唱えるお偉いさんなんかが出てきたりして交渉ごとなどで本当に本当に難儀します。
*5:あるシステムに対応したソフトウェアを開発するために必要なプログラムや文書などをひとまとめにしたパッケージのこと。システムの開発元や販売元が希望する開発者に配布あるいは販売する。インターネットを通じて公開されているものもある。(https://e-words.jp/w/SDK.html)
*6:全体像を理解する上では、外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案についてが参考になると思います。
