外部送信規律(電気通信事業法)とは?知っておきたい重要ポイントを解説!

法律 2023.07.24
外部送信規律(電気通信事業法)とは?知っておきたい重要ポイントを解説!
>>パーソナルデータ利用の悩みを解決!同意取得から管理、連携までワンストップで実現するには?

改正電気通信事業法が、2023年6月16日に施行されました。

外部送信規律」は改正に伴い新たに導入された規律であり、「(事実上の)日本版クッキー規制*」として注目されています。従来の電子通信事業法とは異なり、届出の有無にかかわらず、Webサービス・アプリのようなオンラインサービスを提供する事業者の多くに、広く適用されます。
*規制対象はクッキーのみに限りません。

本記事では、実務上重要だと考えられる基本概念と必要な対応に絞って解説します。ぜひ参考にしてみてください。

※本記事では、法令名やガイドライン等を略称で表記することがあります。
・電気通信事業法・・・法
・個人情報保護委員会及び総務省「電気通信事業における個人情報等の保護に関するガイドライン」・・・ガイドライン
・個人情報保護委員会及び総務省「電気通信事業における個人情報等の保護に関するガイドラインの解説」・・・解説
・総務省「外部送信規律FAQ」・・・FAQ
・総務省「電気通信事業における個人情報保護に関するガイドラインの解説の改正案」 に対する意見募集において提出された御意見及び考え方」・・・パブリックコメント

1. 外部送信規律とは?(概要)

「外部送信規律」は、改正電気通信事業法第27条の12に定められています。

電気通信役務を提供する事業者が、利用者の情報を外部に送信するよう指令するプログラム等を送信する(たとえばクッキーやその類似技術などを利用する際)の、義務のことです。送信先毎に情報の送信目的、送信先の名称、送信先での情報利用目的を、通知、利用者が容易に知り得る状態に置く(いわゆる公表)、同意取得又はオプトアウト措置の提供のいずれかを行う必要があります。

(情報送信指令通信に係る通知等)
第27条の12 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。

出典:「電気通信事業法」e-gov法令検索 電子政府の総合窓口e-Gov

概要は上記の通りなのですが、ご覧のとおり法27条の12は難解な規制です。

  • 外部送信規律の対象となる企業は?(主体)
  • 外部送信規律の対象役務は?(要件) *主体を除く
  • 外部送信規律に必要な対応は?(効果)
  • 通知・公表すべき事項は?について(効果)

2. 外部送信規律の対象となる企業は?(主体)

規律の対象となるのは、(1)電気通信事業を営む者が、(2)「利用者の利益に及ぼす影響が少なくない電気通信役務」(=法定4類型のサービス)を行う場合です(改正電気通信事業法27条の12)。

よく誤解があるのは、(2)「利用者の利益に及ぼす影響が少なくない電気通信役務」を提供している事業者であっても、そもそも(1)電気通信事業を営む者にあたらない場合は、外部送信規律の対象とならない点です。ご注意ください。(2)を満たしても(1)電気通信事業を営む者でない限りは規律対象外であることは、以下パブリックコメントでも明らかになっています。

(御意見)
レビューや口コミの掲載について、レビュー・口コミの掲載を中心とするサイトとは異なり、例えば、「電気通信事業」に該当しない自社商品のオンライン販売サイトにおいて、付随的に当該商品のレビュー・口コミの掲載がある場合、当該レビュー・口コミは独立の役務としての性質を備えておらず、電気通信役務としての独立性が認められないため、規律の対象外であると理解で相違ないか。
(御意見に対する考え方)
個別の事案ごとに判断されることとなりますが、レビューや口コミの機能のみを捉えて、「電気通信事業」の該当性を判断するものではなく、これらの機能を有するウェブサイトについて、「電気通信事業」の該当性を判断します。当該ウェブサイトが、自社商品のオンライン販売サイトであれば、自己の需要のために電気通信役務を提供しているのであって、「他人の需要に応ずるために提供」しているものではないため、「電気通信事業」に該当しません。

出典:『「電気通信事業における個人情報保護に関するガイドラインの解説の改正案」 に対する意見募集において提出された御意見及び考え方』総務省

2-1.電気通信事業を営む者

「電気通信事業」とは、電気通信役務を他人の需要に応ずるために提供する事業をいいます(法2条4号)。「電気通信役務」とは、電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいいます(法2条3号)。

ウェブサイトの運営やアプリの提供は、サーバという「電気通信設備」を他人(ユーザー)の通信の用に供するものであるため、「電気通信役務」に該当します。そして、自社のサービスそのものインターネット経由で提供される場合には、その提供のために行うウェブサイトの運営(オンラインニュースや映像コンテンツの配信など)は、ユーザーという他人の需要に応ずるためのもので、この場合は「電子通信事業」に該当します。

一方で、例えば、企業が会社概要や自社の商品・サービスについて周知・宣伝するためだけにウェブサイトを運営する場合には、自己需要で行うものであり「電気通信事業」には該当しません。

自己需要/他人需要の区分に関しては、総務省が公表している「電気通信事業参入マニュアル(追補版)ガイドブック」において、具体的な事例ごとの考え方が示されています。

2-2.  「利用者の利益に及ぼす影響が少なくない電気通信役務」

「電気通信事業」を営む者が提供する電気通信役務(ウェブサイトの運営/アプリの提供)のうち、以下①ないし④のいずれかに該当するものに限って外部送信規律が適用されます(改正電気通信事業法施行規則22条の2の27、ガイドライン解説改正案7-1-2)。特に④はその対象範囲がかなり広いため、注意が必要です。

  1. メッセージ媒介サービス
  2. 利用者が情報を入力した情報を、不特定の利用者が受信できるようにするサービス
  3. 検索サービス
  4. 各種情報のオンライン提供

guidelines-revised-telecommunications-business-law03.png
(画像出典元:総務省「外部送信規律について」)

2-2-1. メッセージ媒介サービス

まず、一つ目はメッセージ媒介サービスです。

法令においては、「他人の通信を媒介する電気通信役務」と記述されています(改正電気通信事業法施行規則 第22条の2の27 第1号)。

具体的には、利用者と利用者のメッセージ(テキスト・画像・動画等)を媒介するものが対象となります。例えば、LINE等のメッセージングアプリが対象です。なお、サービスの機能の一つとして、利用者と利用者のメッセージを媒介することが可能な場合も対象となります。例えば、オンラインゲームやSNSにおいて、ダイレクトメッセージ機能を有している場合には、当該ダイレクトメッセージ機能は規制対象となります。

「他人の通信を媒介する」とは、他人の依頼を受けて、情報をその内容を変更することなく、伝送・交換し、隔地者間の通信を取次、又は仲介してそれを完成させることをい う。本規律が対象とするオンラインサービスについては、情報の加工・編集を行わず、かつ、送信時の通信の宛先として受信者を指定する場合に該当する。具体的には、メールサービス、ダイレクトメッセージサービス、参加者を限定した(宛先を指定した)会議が可能なウェブ会議システム等が想定される。

出典:「電気通信事業における個人情報等の保護に関するガイドライン 解説(令和5年5月18日版)」総務省

2-2-2. 利用者が情報を入力した情報を、不特定の利用者が受信できるようにするサービス

二つ目は、利用者が情報を入力した情報を、不特定の利用者が受信できるようにするサービス
です。

法令においては、「その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務」と記述されています(改正電気通信事業法施行規則 第22条の2の27 第2号)。

典型的には、TwitterといったSNSやnoteといったブログサービスが該当します。他にも、オンラインショッピングモールのような、利用者である店舗が発信した情報を不特定多数が閲覧できるようなサービスもこれに該当します。なお、自社ECは、発信者がWebサイト・アプリケーション運営者自身であるため、これに該当しません。なお、閲覧や発信にアカウント登録や利用料の支払いを要する場合でも、アカウント登録や利用料の支払いをすれば誰でも閲覧や発信が可能であれば、規制対象に該当します。一方で、審査等により利用者が限定されている社内システムは規制対象に該当しません。

具体的には、利用者(特定の利用者も含む)が情報を入力(書き込み、投稿、出品、募集 などを含む)し、当該情報を不特定の利用者が受信(閲覧)できるもののことをいう。(中略)
このうち、「その記録媒体に情報を記録し...これにより当該記録媒体に記録され...た情報 を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に 供する電気通信役務」とは、利用者から受信した情報を、電気通信事業者の電気通信設備(ウ ェブサーバ等)の記録媒体(ハードディスク等)において記録して蓄積しておき、不特定の 利用者の求めに応じて送信するサービスのことであり、具体的には、SNS、電子掲示板、動 画共有サービス、オンラインショッピングモール(※)、シェアリングサービス、マッチン グサービス等が該当する。 他方、「その送信装置に情報を入力する電気通信を利用者から受信し、これにより...当該 7 外部送信に係る利用者に関する情報の取扱い 252 送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通 信設備を他人の用に供する電気通信役務」とは、利用者から受信した情報を、電気通信事業 者の送信装置(ストリーミングサーバ等)から即時に(リアルタイムで)不特定の利用者の 求めに応じて送信するサービスのことであり、具体的には、ライブストリーミングサービス やオンラインゲーム等が該当する。

出典:「電気通信事業における個人情報等の保護に関するガイドライン 解説(令和5年5月18日版)」総務省

2-2-3. オンライン検索サービス

三つ目はオンライン検索サービスです。

法令においては、「入力された検索情報に対応して、当該検索情報が記録された全てのウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務」と記述されています(改正電気通信事業法施行規則 第22条の2の27 第3号)。

利用者が入力した検索キーワードをもとに、全てのウェブページについて、いわゆるいわゆる検索結果を表示するサービスが該当します。例えば、GoogleやYahoo!などです。なお、ここでいう「全てのウェブページ」には、違法性ゆえに閲覧が制限されているサイトや特殊なソフトがなければ閲覧できないようなサイトは含みません。また、全てのウェブサイトではなく、特定のウェブサイトについて、いわゆる検索結果を表示するサービスは本電気通信役務には含まれませんが、後述の「各種情報のオンライン提供」に該当し、規制対象にあたります。

検索したい単語等の検索情報を入力すると、インターネット上における、当該検索情報が 記録された全てのウェブページの所在に関する情報を検索して表示する、いわゆるオンライン検索サービスが該当し、その他の特定分野に限った検索サービスは(4)の対象となる。 なお、ここでいう「全てのウェブページ」は、通常の方法により閲覧ができるものに限られ、 例えば違法性ゆえに閲覧が制限されているウェブページや特殊なソフト等を使用しないと アクセスできないようなウェブページなどは含まれない。

出典:「電気通信事業における個人情報等の保護に関するガイドライン 解説(令和5年5月18日版)」総務省

2-2-4. 各種情報のオンライン提供

四つ目は各種情報のオンライン提供です。これが最も規制範囲としては広いです。

法令においては、「不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの」と記述されています(改正電気通信事業法施行規則 第22条の2の27 第4号)。

具体的にはWebサイト・アプリケーションを用いて、天気やニュースといった各種情報を提供することが該当します。例えば、ニュースサイトの運営等です。

なお、ここで言う「各種情報」には自社に関する情報は含みません。そのため、会社概要のみ記載された簡易的なホームページの運営は、本電気通信役務に含まれません。ただ、一般にWebサイト運営において、マーケティング目的で必ずしも自社に関係しない情報を発信することが多いことを踏まえると、多くのWebサイトが規制対象となり得るでしょう。

(略)具体的には、ニュースや気象情報等の配信を行うウェブサイトやア プリケーション、動画配信サービス、オンライン地図サービス等が該当する。 なお、アカウント登録や利用料の支払をすれば誰でも受信(閲覧)できる場合も、「不特定の利用者」に含まれる。他方、閉域網で提供される社内システムなどは、審査等により利用者が限定されており、「不特定の利用者」ではなく、「特定の利用者」となるため、該当しない。

また、情報発信を行う企業・個人・自治会等のホームページについて、自己の情報発信のために運営している場合は、自己の需要のために電気通信役務を提供しているのであって、「他人の需要に応ずるために提供」(電気通信事業法第 2 条第 4 号)しているものではないから、同号の定義する「電気通信事業」に該当せず、電気通信事業法の規律の適用対象とならない。また、金融事業者による証券・金融商品等についてのオンライン販売、小売事業者 によるモノ・商品についてのオンライン販売、メーカーによる製造した商品についてのオンライン販売などについても、電気通信役務の提供を必ずしも前提としない、別の自らの本来 業務の遂行手段としてオンラインを活用している場合(中略)は、自己の需要のために電気通信役務を提供しているため、同様に 「電気通信事業」に該当せず、電気通信事業法の規律の適用対象とならない。

他方で、本来業務の遂行手段としての範囲を超えて、独立した事業としてオンラインサービスを提供し ている場合には、当該オンラインサービスは「電気通信事業」に該当する可能性もある。例えば、金融事業者によるオンライン取引等及び当該取引等に必要な株価等のオンライン情報提供は「電気通信事業」に該当しないが、当該金融事業者が証券・金融商品等についての オンライン販売のウェブサイトにおいて、オンライン取引等とは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は情報の送信(電気通信役務の提供)の 事業として独立していると考えられ、「電気通信事業」に該当する。

出典:「電気通信事業における個人情報等の保護に関するガイドライン 解説(令和5年5月18日版)」総務省

3. 外部送信規律の対象役務は?(要件)

3-1. 外部送信とは

外部送信規律が規制する「外部送信」とは、Webサイトやアプリケーションにユーザーがアクセスした際に発生する、利用者の端末以外を送信先とする通信のことです。この外部通信を、Webサイトやアプリケーション運営者が利用者の端末から発生させる行為を、改正電気通信事業では規制しています。

「利用者のパソコンやスマートフォン等の端末に記録された当該利用者に関する情報を、当該利用者以外の者の電気通信設備(Webサーバ等)に送信すること」

出典:「外部送信規律FAQ」総務省

一般的なWebサイトやアプリケーション運営者は、広告配信や利用状況の分析等を行うために、Webサイトやアプリケーションに様々なツールのプログラムを埋め込んでいます。このプログラムは「タグ」や「情報送信モジュール」などと呼ばれます。このツールのプログラムは、利用者がWebサイトやアプリケーションにアクセスした際に動作し、利用者の情報を当該ツールへ送信する通信を発生させます。

このような、Webサイトやアプリケーション運営において通常行われている行為を規制するのが、外部送信規律です。

この「外部送信」に伴い、一般的にCookieの発行が行われることから、本規律はCookie規制とも呼ばれています。なお、Cookieの発行を伴わなかったとしても、外部送信が発生するのであれば、規制の対象となることに注意が必要です。

ちなみに、外部送信全てが規制の対象となるわけではなく、「電気通信役務の提供のために真に必要な情報」等、一部情報の送信については規制の対象外となっています。

img_revised-telecommunications-business-law-cookie01.jpg

img_revised-telecommunications-business-law-cookie02.jpg

(画像引用元:総務省 電気通信消費者情報コーナー)

3-2.アプリも規制対象である

いくつかガイドラインにおいて説明されている重要なポイントを見ていきましょう。

まずは、iPhoneやAndroidにおけるアプリケーションも対象であるということです。「Cookie規制」と呼ばれていますが、Webサイトにおける外部送信だけではなく、アプリケーションにおける外部送信も規制しているのです。

例えば、アプリケーションの利用状況を解析するサービス(Appsflyer等)を導入している場合には、規制対象に該当します。これらはガイドライン等の公開文書においては、「情報送信モジュール」と表現され、規制内容が説明されています。なお、アプリケーションの「情報送信モジュール」による外部送信への規制内容は、Webサイトの「タグ」による外部送信と同様です。

3-3.  自社への通信も外部送信に含まれる

自社への通信も外部送信に含まれます。例えば、Webサイト・アプリケーションに利用者がアクセスした際に発生する、自社が運営するサーバーへの通信も外部送信として規制対象に該当しうるわけです。

外部送信でいうところの「外部」とは、Webサイト・アプリケーションの利用者以外の第三者を意味し、Webサイト・アプリケーションを利用者に提供する企業も含まれるためです。

ただし、この自社への通信は「外部送信」ではありますが、"Webサイト・アプリケーションの提供にあたって必要なもの"として、例外事由に該当し、基本的に規制対象には該当しません。もちろん、一部Webサイト・アプリケーションの提供にあたって必要ではない外部送信は、規制対象に該当します

法対応にあたって、自社への通信であるから規制対象ではないと判断するのではなく、その通信がWebサイト・アプリケーションの提供にあたって必要かどうかという観点で判断しましょう

Trust 360 電気通信事業法対応サービスサイトへ

4. 外部送信規律に必要な対応は?(効果)

guidelines-revised-telecommunications-business-law04.png

(画像出典元:総務省「外部送信規律について」)

外部送信規律においては、外部送信を行うにあたって、以下措置のいずれかを行う必要があります。

  • 通知または公表
  • オプトアウト
  • 同意取得

ただし、以下の理由から「通知または公表」という措置を講じることが、企業にとって負担の少ない最適な規制対応の方法であると思われます。

  • 「オプトアウト措置」や「本人の同意取得」といった措置を講じる労力が大きいこと
  • 「オプトアウト措置」や「本人の同意取得」といった措置を講じるに際し、「通知または公表」において提供すべき情報と同程度の情報を提供しなければならないこと

本項では、上記事情から、特にこの「通知または公表」に絞って、解説「通知又は容易に知り得る状態に置く方法(第 51 条第 2 項~第 4 項関係)」説明をもとに、解説します。
※本記事においては「公表」と記載していますが、法令においては「容易に知り得る状態に置く」と記述されています。

4-1.通知・公表、共通で求められること

まず、日本語を用い、専門用語を避け、及び平易な表現を用いなければいけません(改正電気通信事業法施行規則 第22条の2の28 1項1号)。専門用語や外国語で記載が行われると、通知・公表の確認の障害となるためです。

なお、専門用語かどうか、平易な表現かどうかの判断のために、総務省は、ユーザーアンケートの実施や外部有識者からの意見聴取を行うことを例示しています。
参考:FAQ 問3-4・問3-5

また、操作を行うことなく文字が適切な大きさで利用者に表示されるようにしなければなりません(改正電気通信事業法施行規則 第22条の2の28 1項2号)。こちらは、一般的なWebサイト・アプリケーションであれば、気にする事項ではありません。

4-2.通知の具体的方法

通知を行う場合、通知すべき事項を利用者の画面に即時に表示することが必要です(改正電気通信事業法施行規則 第22条の2の28 2項1号)。具体的な方法として、Webサイト・アプリケーションにてポップアップを用いて通知を行うことが挙げられています(参照:解説256頁)。

4-3. 公表の具体的方法

公表を行う場合、外部送信を行うWebページか当該Webページから容易にアクセス可能なWebページに公表すべき事項を記載する必要があります

具体的方法として、外部送信を行うWebページから、公表すべき事項について記載されたWebページに、1回程度の操作でアクセスできるよう、公表すべき事項について記載されたWebウェブページへのリンクであるとわかるようにわかりやすくリンクを設置するといった方法を挙げています(参照:解説257頁)。ややこしく説明しましたが、簡潔にいうと、例えばWebサイトのフッターに分かりやすくリンクを設置するといった方法です。

5.  通知・公表すべき事項は?(効果)

公表すべき事項は、以下の三つです。ここでは一つ一つ解説します。また、その他通知・公表を行うことが望ましい事項として記載されている内容についてもご紹介しましょう(参考:解説258頁「7-3 通知又は容易に知り得る状態に置くべき事項(第 51 条第 5 項関係)」)。

  • 送信されることとなる利用者に関する情報の内容
  • 送信先となる第三者の名称
  • 利用者に関する情報の利用目的

5-1. 送信されることとなる利用者に関する情報の内容

Webサイト・アプリケーションの外部送信においては、利用者の端末のCookieやIPアドレスが送信されます。そのような送信される情報の内容についての説明を記載する必要があります。なお、ガイドラインにおいては、「等」や「その他」等のあいまいな表現を安易に使用することは避けるべきであると、説明されていることに注意が必要です。

5-2. 送信先となる第三者の名称

例えば、Yahoo広告を利用している場合はヤフー株式会社といったように、送信先となる第三者の名称を記載する必要があります。なお、ガイドライン案においては、送信先となる第三者の名称のみではなく、サービス名を併記することが望ましい(義務ではない)とされています。

5-3. 利用者に関する情報の利用目的

利用者に関する情報を利用する目的を記載する必要があります。例えば、広告のパーソナライズなどが利用目的に該当します。なお、自社における利用目的のみならず、送信先となる第三者における利用目的も記載する必要があることに注意が必要です。

5-4. その他通知・公表を行うことが望ましい事項

必須ではないがその他通知・公表を行うことが望ましい事項として、以下三つが挙げられています。通知・公表の記載内容の検討の際に参考にしましょう。

  • オプトアウト措置の有無
  • 送信される情報の送信先における保存期間
  • 情報送信指令通信に係る送信元における問合せ先 等

5-5.  通知・公表すべき事項の記載の方法について

これら通知・公表すべき事項は、Webサイト・アプリケーションに埋め込まれた「タグ」や「情報収集モジュール」ごとに記載する必要があります。なお、ガイドライン案によると、Webページ単位ではなく、Webサイト単位でまとめて記載することが許されるとしています。利用者の分かりやすさと事業者の管理しやすさを考慮しながら、記載をどの単位でまとめるか、検討する必要があるでしょう。

6. まとめ

本記事では、電気通信事業法の改正に伴い新たに導入された「外部送信規律」について、個人情報保護委員会及び総務省「電気通信事業における個人情報等の保護に関するガイドラインの解説」に基づいて解説しました。検討・対応すべき事項が多いことがお分かりいただけたと思います。

Priv Techでは、改正電気通信事業法の対応を効率化するサービス『Trust 360 電気通信事業法対応』を提供しています。Webサイトのスキャンによって、外部送信を洗い出し、電気通信事業法に対応した公表内容を自動で生成します。詳しくはサービスページをご確認ください。

公開日:2023年4月20日

Trust 360 電気通信事業法対応サービスサイトへ

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!