ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

令和5年法改正を踏まえたプライバシーポリシー・Cookieポリシー(2022年電気通信事業法改正・外部送信規律)

Q)Cookieが日本でも規制されると聞きました。電気通信事業法改正の話をする人がいるのですが、私は別に通信キャリアではないので、関係ないと思っていて良いですか?

A)電気通信事業法改正が令和5年6月16日に施行されます。この法改正は、プライバシーポリシー等に影響を与えうるものです。電話やインターネットキャリアといった業界のみならず、アプリやSaaSを提供していたり掲示板を運営していたり、地図情報の発信、ニュース配信サービスなどを行っていたりしても、対応が必要ですので、注意が必要です。
スマホアプリのみならず、Webシステムも基本的には、改正電気通信事業法の対応が必要と考えておいた方が無難です。

電気通信事業者か第3号事業を営む者に当たればCookieタグ等の利用者情報を外部送信する際に公表などが必要です。なお、「外部送信」といっても、第三者提供とは異なり、利用者情報を自社サーバに送信する場合も、対応が必要になります(例外、1stParty CookieのID、真に必要な情報等)。

 

なお、消費者契約法も改正され、これの施行も令和5年6月ですが、こちらは利用規約に影響が出る可能性があります。この点については、別記事でまとめていますのでご覧ください。

cyberlawissues.hatenablog.com

※筆者のミス等がありえますので、ご利用にあたっては必ず原典等に当たっていただけますようお願いいたします。

※随時更新予定のため、23.7.5時点では未完成です(23.7.5最終更新)

 

 

 

1.改正電気通信事業法施行前のCookie等規制

(1)Cookie規制がなかった日本

日本では、基本的にはCookie規制はありません。Cookieに関する同意取得ポップアップ画面などが最近よく表示されますが、あれは、GDPR対応として海外企業等が導入したもの*1GDPR対応が不要な日本企業も導入して、今ああいう画面がそこそこよく見られる状況にあるのではないかと考えられます。Cookieに関する同意取得ポップアップ画面が日本法上要求されるかというと、そうではなく、なんとなく他社と似た感じの画面を入れているのではないかと思います。

 

EUCookie規制については、昔の記事なので少し古いですが、以下のブログをどうぞ。

cyberlawissues.hatenablog.com

(2)Cookieは個人情報の場合と非個人情報の場合がある

そもそも、Cookieは日本の個人情報保護法上、「個人情報」に該当しない場合もあるとされています。日本の個人情報保護法上は、「個人情報」に該当するためには「特定の個人を識別できる」かどうかが重要です。平たく言うと、「誰かわかる」という状態です。

名前が書いてあれば誰かわかるので個人情報になります。名前が書いていなくても、「2022年の巨人軍監督は…」といった情報も、誰かわかるので個人情報になります。また、長期間の情報なども誰の情報かわかる場合があります。例えば、SNSの投稿を過去にさかのぼってみていくと、誰が投稿者であるかわかる場合などもありますし、位置情報などを長期間おっかけてみていると、家と勤務先などの場所がわかり、誰の情報かがわかる場合などもあり得ます。

これに対し、Cookieは名前が書いてあるわけでも、「A社マネージャー」などと所属・肩書が書いてあるわけでもないし、Cookieが識別しているのは「この人」ではなく「このブラウザ(Edge、Chromeなど)」なので、共有PCなどから同じブラウザを通じて情報を閲覧したりすると、複数人が同じブラウザを使うことになりますので、Cookie情報からは「特定の個人を識別」できない、などと言われることがあります。

もっとも、Cookieと紐づく閲覧履歴・検索履歴などを長期間追っかけてみていくと誰かわかる場合もあると思いますし、位置情報とCookieが結びついていたりするとより特定性は高まるようにも思います。しかし、それはどの程度の長期間データを持っているかなど具体的データ状態にもよるので、何とも言えず、

Cookieは個人情報ではない」と言われることが続いてきました。

 

もっとも、Cookie情報単体で保持しているだけじゃなくて、Webショッピングの会員情報などで名前などの情報を保持していたりして、それとCookieが紐づけられる状態にあると、個人情報保護法上の定義から、Cookieも個人情報ということになります。

(この辺りの容易照合性の点は追って追記するかもしれませんが、本論とずれるのでいったんこの程度にします。)

 

なので、「場合によってCookieは個人情報に該当する場合がある」というのが、日本法上の位置づけです。

 

(3)公取

追って追記予定

 

(4)2020年個人情報保護法改正

そんな中、リクナビ事案が発生します。それを受けて、個人情報保護法2020年改正で、Cookie対応がなされたといわれることがあります。しかし2020年個人情報保護法改正は、Cookie規制というよりは、もっと規制対象が狭いものになっていました(個人関連情報規制を追って追記予定)。

 

2.2022年電気通信事業法改正による法規制(外部送信規律)

2020年個人情報保護法改正はCookieに対し弱い規制しか課さなかったのに対し、電気通信事業法が外部送信規律(Cookie等規制)を実施しました。それが2022年改正電気通信事業法です。

2022年改正電気通信事業法では、Cookie関連以外にも改正事項がありますが、Cookie規制は、以下の赤枠囲みの部分になります。

 

※以下総務省資料を筆者が赤枠加筆
https://www.soumu.go.jp/main_content/000820706.pdf

 

利用者のパソコンやスマホ等の端末で起動されるブラウザやアプリケーションを通じて電気通信役務を提供する事業者が、利用者の端末に対して、当該端末に記録された利用者に関する情報を外部に送信するよう指令するプログラム等を送信する場合において、電気通信役務を提供する事業者に対し、当該プログラム等により送信されることとなる利用者に関する情報の内容や送信先について、当該利用者に確認の機会を付与する義務を課すという規制です。

具体的には、通知、公表、同意取得又はオプトアウト措置の提供のいずれかを行う必要があります。 ただし、利用者の端末に適正な画面表示をするためなど、当該電気通信役務の利用のために送信することが必要な情報や、当該電気通信役務を提供する事業者が利用者を識別するために自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID等)の外部送信については、確認の機会の付与は不要です。

「外部」送信規律と呼ばれてはいますが、「外部」とは利用者以外の者のことであって、事業者自身や委託先に送信することも含みます(ガイドラインP249-250)。 

 

電気通信事業法
(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備送信先として送信されることとなるもの
三 当該情報送信指令通信が起動させる情報送信機能により送信先電気通信設備に送信されることについて当該利用者が同意している情報
四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

 

(1)規制対象行為(いつ)

いつ:利用者のPCやスマホ等に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者のPCやスマホ等に指令しようとするとき

条文読解
電気通信事業法27条の12柱書から一部抜粋
利用者*1に対し電気通信役務*2を提供する際に、
当該利用者の電気通信設備*3を送信先とする情報送信指令通信
(利用者の電気通信設備が有する情報送信機能
(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)
を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)
を行おうとするとき

 

*1(法2条7号)利用者 次のイ又はロに掲げる者をいう。
イ 電気通信事業者又は第百六十四条第一項第三号に掲げる電気通信事業(以下「第三号事業」という。)を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準ずる者として総務省令で定める者
ロ 電気通信事業者又は第三号事業を営む者から電気通信役務(これらの者が営む電気通信事業に係るものに限る。)の提供を受ける者(イに掲げる者を除く。)

 

*1(法2条3号)電気通信役務 電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいう。

 

*3

(法2条2号)電気通信設備 電気通信を行うための機械、器具、線路その他の電気的設備をいう。

電気通信事業参入マニュアル[追補版]P2)電気通信設備光ファイバ、携帯電話の基地局等の電気通信回線設備のほか、サーバや端末機器等を含む。)

 

利用者に対し電気通信役務を提供する際に

→これは、義務付け対象者の解説で包摂されるはずなので割愛

 

当該利用者の電気通信設備送信先とする情報送信指令通信を行おうとするとき

→ユーザのPCやスマホ等を送信先とする指令を通信することとされていて、情報送信指令通信の定義は以下に規定されている。

(利用者の電気通信設備が有する情報送信機能
(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)
を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)

→ユーザのPCやスマホ等が有する情報送信機能、

すなわちユーザのPCやスマホ等に記録されたユーザに関する情報をユーザ以外の者のサーバ等に送信する機能

この機能を起動する指令を与える通信のこと。

 

(2)義務内容(何をやる)

やること:あらかじめ、利用者に通知、公開、同意又オプトアウトのいずれかの措置。

通知の場合の義務
(i)通知義務(通知事項)

以下の通知事項を通知します(電気通信事業法27条の2の12柱書、電気通信事業法施行規則22条の2の29)

  • ①送信される情報

    (当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容)
    例)ウェブサイト閲覧履歴、サービス購入履歴といった記載粒度でもよい(パブコメP54中)

  • 送信先(当該情報の送信先となる電気通信設備)(情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称)
    →情報の送信先として、当該情報を取り扱う者の氏名又は名称(ガイドライン51条5項2号)を記載するが、氏名又は名称よりサービス名の方が認知されやすい場合はサービス名等も併記することが望ましい(ガイドライン解説P258)
  • ③送信される情報の利用目的
    →アプリ等の提供者の利用目的と、送信先の利用目的双方を記載する(ガイドライン解説P258)
    例)「当社の商品やサービスの運用・工場、新商品や新サービスの企画、アンケート調査その他マーケティング分析のため」「お客様にお勧めする商品・サービス・コンテンツ等のご案内のため」「お客様に適した当社及び他社の広告の表示・配信のため」
    ※このような記載粒度でもよいが、利用者に関する情報から利用者の行動・関心等を分析する場合、どのような取り扱いが行われているかを利用者が予測・想定できる粒度で記載目的を記載しなければならず、追ってFAQ等で明確化を検討しているとのこと(パブコメP54-55)
  • 施行規則22条の2の29は、法27条の2の12に規定されている項目も繰り返して規定していると考えた*2。②は法律だと電気通信設備だが、規則だと氏名又は名称

「情報送信指令通信ごとに」とある通り、上記通知事項は、ウェブページやアプリに埋め込まれたタグや情報収集モジュールごとに記載する必要がある。情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト単位で(ウェブページごとではない)まとめて表示すること等も考えられる(ガイドライン解説P259)
(水町コメント)タグごとに記載したら、平易に書けずに、ぐだぐだに重複多数みたいになりませんかねえ…。頑張って平易に整理したいとは思います。重複があればまとめてもよいのですかねえ。

 

将来的に送信されうる利用者に関する情報についてもあわせて記載することも可能だが、将来的に送信され得る利用者に関する情報が、実際に送信されることとなった場合は、当該記載を更新すべき(パブコメP57中)

 

送信先の説明ページにリンクを貼る場合や、自社プライバシーポリシーにリンクを貼る場合は、単にリンクを貼るだけではなく、通知等すべき事項の概略を合わせて示すことが望ましいガイドライン解説P259)

さらに、以下も通知等することが望ましい(ガイドライン解説P259)。

  • オプトアウト措置の有無
  • 送信される情報の送信先における保存期間
  • 情報送信指令通信を行う電気通信事業者における問い合わせ先等

望ましいとまではガイドライン解説に記載されていないが、通知等を行うことも考えらえる事項(ガイドライン解説P259)。

  • どの国・地域に送信されることとなるか等

通知等次項が変更になった場合も、同手法を用いれば足りる(通知であれば、変更を反映した内容を通知すればよい)(パブコメP48-49)。

(ii)通知時の義務
  • ウェブサイトやアプリの画面上でポップアップ形式によって即時通知を行うこと等が考えられるが、それ以外の方法も可能(ガイドライン第51条第3項)。当該事項の一部のみを表示する場合は、即時通知等の画面から1回程度の操作で到達できる遷移先の画面に当該事項が表示されており、かつ即時通知等の画面で遷移先画面に残部表示があることが利用者に理解できる形になっていればよい(ガイドライン解説P256)
  • 日本語を用い、専門用語を避け、及び平易な表現を用いなければならない(電気通信事業法施行規則22条の2の28第1項1号)
    ※専門用語か否か、平易な表現か否かは、そのアプリ等で想定される一般的な利用者の知識や理解力等を基準として判断。ユーザーアンケートを行ったり、外部有識者の意見を踏まえたりすること等が考えられる(ガイドラインP255)
    ※外国人向けの場合には、日本語だけではなく英語等も併記することが望ましい場合もある(ガイドラインP254)
  • 操作を行うことなく文字が適切な大きさで利用者の電気通信設備(PCやスマホ等)の映像面に表示されるようにしなければならない(電気通信事業法施行規則22条の2の28第1項2号)
    ※画面の拡大・縮小を行わずとも利用者が容易に読むことができる文字サイズ(例えば、アプリ等で使用している標準的な文字サイズと同等文字サイズとすることが考えられる(ガイドラインP255)
  • 利用者が通知事項を容易に確認できるようにしなければならない(電気通信事業法施行規則22条の2の28第1項3号)
    ※量が多い場合にはウェブページの階層化等の方法によりスクロールを行うことなく端末の画面に全体が表示されるようにすることも考えられる。プライバシーポリシーやクッキーポリシーに記載する場合は、外部送信規律に関する内容が含まれること等をタイトルや見出し等に明記しておくとともに、一括して確認できるように工夫することが望ましいガイドラインP255)
  • 以下のいずれかの措置をとる(基本は①)(電気通信事業法施行規則22条の2の28第2項)
    ① 通知事項又は通知事項を掲載した画面の所在に関する情報を利用者の電気通信設備(PCやスマホ等)の映像面に即時に表示する(通知事項の一部のみを表示する場合には、利用者がその残部を掲載した画面に容易に到達できるようにする)
    又は② ①と同等以上に利用者が容易に認識できるようにする

 

公開の場合の義務
(i)公開義務(公開事項)

上記通知事項と同様の事項を公開します(電気通信事業法27条の2の12柱書、電気通信事業法施行規則22条の2の29)。

(ii)公開時の義務
  • ガイドライン51条4項に規定あり。
    ウェブの場合、そのページ自体か、そのページから1回程度の操作で到達できる遷移先のページに表示しており、遷移先に記載があることが利用者にとって理解できる形でリンクが貼られていればよい(遷移先の1ページに収めきる必要はなく、利用者が容易に理解できれば、複数のウェブページに分割・整理されていてもよい(パブコメP51-52))。アプリの場合、アプリを利用する際に最初に表示される画面かその画面から容易に到達できる画面に公開しておく。最初の画面にリンクを掲載(ガイドライン解説P257)。リンクではなくメニュー等でも可(パブコメP52)。
  • 日本語を用い、専門用語を避け、及び平易な表現を用いなければならない(電気通信事業法施行規則22条の2の28第1項1号)
    ※専門用語か否か、平易な表現か否かは、そのアプリ等で想定される一般的な利用者の知識や理解力等を基準として判断。ユーザーアンケートを行ったり、外部有識者の意見を踏まえたりすること等が考えられる(ガイドラインP255)
    ※外国人向けの場合には、日本語だけではなく英語等も併記することが望ましい場合もある(ガイドラインP254)
  • 操作を行うことなく文字が適切な大きさで利用者の電気通信設備(PCやスマホ等)の映像面に表示されるようにしなければならない(電気通信事業法施行規則22条の2の28第1項2号)
    ※画面の拡大・縮小を行わずとも利用者が容易に読むことができる文字サイズ(例えば、アプリ等で使用している標準的な文字サイズと同等文字サイズとすることが考えられる(ガイドラインP255)
  • 利用者が公開事項を容易に確認できるようにしなければならない(電気通信事業法施行規則22条の2の28第1項3号)
    ※量が多い場合にはウェブページの階層化等の方法によりスクロールを行うことなく端末の画面に全体が表示されるようにすることも考えられる。プライバシーポリシーやクッキーポリシーに記載する場合は、外部送信規律に関する内容が含まれること等をタイトルや見出し等に明記しておくとともに、一括して確認できるように工夫することが望ましいガイドラインP255)
  • 以下のいずれかの措置をとる(基本は①②)
    電気通信事業法施行規則22条の2の28第3項)
    ① 利用者の設備(PCやスマホ等)に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者の設備(PCやスマホ等)に指令する(情報送信指令通信を行う)ウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、公開事項を表示する
    又は② 利用者の設備(PCやスマホ等)に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者の設備(PCやスマホ等)に指令する(情報送信指令通信を行う)ソフトウェアを利用する際に、利用者の電気通信設備(PCやスマホ等)の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、公開事項を表示する
    又は③ ①②と同等以上に利用者が容易に到達できるようにする

電気通信事業法27条の2の12第1項柱書から一部抜粋

あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。

 

同意

通知・公表事項と同様の事項を説明したうえで同意を取得することが望ましいと思います。ガイドライン解説P264では、具体的かつ能動的な同意が必要とされています。利用者に過度な負担とならない範囲で、情報送信指令通信ごと(タグや情報収集モジュールごと)に同意を取得することが望ましく、デフォルト・オンなどは避けるべきとされています。

電気通信事業法27条の2の12第3号

三 当該情報送信指令通信が起動させる情報送信機能により送信先電気通信設備に送信されることについて当該利用者が同意している情報

 

オプトアウト

オプトアウトとは、同意とは違います。

オプトアウトとは、一定事項を通知等したうえで同意を得ずにやってしまうものの、本人が拒否してきた場合には拒否に応じるという対応のことで、以下を満たす必要があります(電気通信事業法27条の12第4号、電気通信事業法施行規則22条の2の31)。

  • 利用者が拒否した場合には、利用者に関する情報の送信か、送信された情報の利用をやめる
  • 以下を公表等(=容易に知り得る状態に置く)
    ・拒否できる旨(法例示・規則1号)、
    ・拒否をする方法(法例示・規則3号)、
    ・拒否した場合に送信をやめるのか利用をやめるのかの別(規則2号)、
    ・拒否すると利用制限される場合はその内容(規則4号)、
    ・送信情報(法27条の12第1・2号に掲げる情報は含めなくてよい、規則5号)、
    送信先(情報を取り扱うこととなる者の氏名又は名称、規則6号)、
    ・送信される情報の利用目的(規則7号)

 

電気通信事業法27条の2の12第4号

当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

 

電気通信事業法施行規則

第二十二条の二の三十一

法第二十七条の十二第四号ロの総務省令で定める事項は、次に掲げるものとする。

一 法第二十七条の十二第四号イに規定する措置(以下この条において「オプトアウト措置」という。)を講じている場合にあつては、その旨

二 オプトアウト措置が法第二十七条の十二第四号イ⑴又は⑵のいずれの行為を停止するものであるかの別

三 オプトアウト措置に係る利用者の求めを受け付ける方法

四 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容

五 情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報(法第二十七条の十二第一号及び第二号に掲げるものを除く。)の内容

六 前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称

七 第五号に規定する情報の利用目的 

 

(3)義務付け対象者(誰が)

誰がやらないといけないか:電気通信事業者又は総務省令で定められた第三号事業を営む者

 

電気通信事業者は、いわゆる想像通りの通信キャリア+αです(意外とこのα部分も見落としがちなので、要注意)。
広いのが、総務省令で定められた第三号事業です。スマホアプリやWebシステムなんかは、企業公式Web以外は大体対象と思っておいた方がよいぐらい広いです。
(理由)電気通信事業法施行規則第22条の2の27第2・4号がとても幅広いし、参入マニュアルでもそもそも「ソフトウェアのオンライン提供 (SaaSASP)」は第3号事業として例示されているため。

電気通信事業者

電気通信事業者とは、電気通信事業を営むことについて、電気通信事業法の登録を受けた者及び届出をした者(電気通信事業法2条5号)をいいます。

自社が登録又は届出をしているかどうかはわかると思いますが、怖いのは、実は登録又は届出が必要だったけどしていなかったという場合ですかね。「電気通信事業参入マニュアル[追補版]」https://www.soumu.go.jp/main_content/000477428.pdf に詳しい説明があるので、そちらを見ていただければよいと思います。

出典:同マニュアル15P

その他、ネットカフェ(電気通信事業参入マニュアル[追補版]17P)、転送電話サービス(同17P)、電話等受付自動代行サービス (同18P)、IoTサービス(通話機能付きドアベル、見守りカメラ等)(同19P)、マッチングサイト/アプリ(出会い系サイトを含む)(同27P)、国外サーバを用いた電子メールやチャット等 (同27P)、Webサイト上のグリーティングカードの運営(同27P) 、電子委任状媒介サービス(同27P)、電子メールマガジンの媒介(SMSを利用して送信するものを含む)(同28P)、

 

電気通信事業法2条
一 電気通信 有線、無線その他の電磁的方式により、符号、音響又は影像を送り、伝え、又は受けることをいう。
二 電気通信設備 電気通信を行うための機械、器具、線路その他の電気的設備をいう。
三 電気通信役務 電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいう。
四 電気通信事業 電気通信役務を他人の需要に応ずるために提供する事業放送法(昭和二十五年法律第百三十二号)第百十八条第一項に規定する放送局設備供給役務に係る事業を除く。)をいう。
五 電気通信事業者 電気通信事業を営むことについて、第九条の登録を受けた者及び第十六条第一項(同条第二項の規定により読み替えて適用する場合を含む。)の規定による届出をした者をいう。

 

総務省令で定められた第3号事業を営む者

問題は、こちらの「総務省令で定められた第3号事業を営む者」ですね。
機能を利用するユーザーが少ないことは、「利用者の利益に及ぼす影響が少なくない電気通信役務」であるか否かの判断に影響しません

 

  • (1)利用者間のメッセージ媒介等(同条第1号)

    例)メールサービス、ダイレクトメッセージサービス、参加者を限定した(宛先を指定した)会議が可能なweb会議システム(総務省FAQ問2-1)、またこういったサービスだけでなく、他のサービスを提供する中でユーザ同士のチャット、メッセージ機能を設けている例(総務省FAQ問2-5

  • (2)SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等(同条第2号)

    例)SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、ライブストリーミングサービス(総務省FAQ問2-2)、ユーザー同士で物品やサービスの売買ができるマッチングプラットフォーム(総務省FAQ問2-5)、オンラインゲーム・オンライン教育総務省FAQ問2-7)、インターネット経由で複数の店舗(グループ企業であっても該当)でネットショッピングを行うことができる又は複数の出品者の商品等を購入できる「場」を提供するサービス(総務省FAQ問1-14)、オンラインストレージ・ファイル転送 (電気通信事業参入マニュアル[追補版]22P。なお同マニュアルでは2号かどうかの記載はなく、該当の旨の記載のみ)、ソフトウェアのオンライン提供 (SaaSASP(電気通信事業参入マニュアル[追補版]23P。なお同マニュアルでは2号かどうかの記載はなく、該当の旨の記載のみ)

  • (3)オンライン検索サービス(同条第3号)
    例)オンライン検索サービス(総務省FAQ問2-3
  • (4)ニュース配信、気象情報配信、動画配信、地図等の各種情報のオンライン提供(同条第4号)

    例)特定分野に限った検索サービス(総務省FAQ問2-3)、乗換案内サービス総務省FAQ問2-4)、就職・転職・アルバイト等の情報提供サービス(利用者が登録した情報を応募先へ送信する機能を含む)(総務省FAQ問2-6)、コーポレートサイト等でもニュース配信があれば該当総務省FAQ問2-11)、IoTサービス(物品位置管理、混雑状況検知システム等)(電気通信事業参入マニュアル[追補版]19P。なお同マニュアルでは4号かどうかの記載はなく、該当の旨の記載のみ)、Webサーバ等用のサーバ貸与レンタルサーバ、VPS3、PaaS) (電気通信事業参入マニュアル[追補版]21P。なお同マニュアルでは4号かどうかの記載はなく、該当の旨の記載のみ)

※「ニュース配信」については、例えば金融商品のオンライン取引等の場合、金融情報のニュース配信は金融取引判断において重要な指標となり得るので、オンライン取引に必要なものと通常は考えられる。「オンライン取引等とは独立した金融情報のニュース配信」がどのようなものを想定しているかというと、例えば株取引の仲介業務とは独立して、運用のコツやねらい目の銘柄等を紹介しているようなウェブサイトなどとのこと(パブコメP46上)。
※また、多くは自社に関する情報や自社製品情報を提供するものの、業界団体、事業環境情報、業務提携先情報なども提供する自社サイトは、「他人の需要に応じる」に該当すると判断される場合がある(パブコメP46-47)。
→(水町意見)したがって、基本的には、規律対象を広めに考えた方がよい。

 

電気通信事業法27条の12、164条1項3号、電気通信事業法施行規則27条の2の27)

https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html#qa1-9

 

※アカウント登録や利用料の支払いをすれば誰でも使えるサービスも、「不特定の利用者」の求めに応じたものといえ、規律の対象となる(ガイドラインP251)。閉域網で構成される社内システムなどは、審査等により利用者が限定されており「不特定の利用者」ではなく、規律対象外(ガイドラインP251-252)。

該当しない例)
  • 会社案内のWebページ自己の情報発信のために運営していると考えられるため、「電気通信事業」には該当しないため、同じウェブサイト内の当該ページにおいて外部送信が行われていたとしても、外部送信規律に対応いただく必要はありません。)(総務省FAQ問2-11)
  • 自社お問合せ用等のメールフォーム・チャットボット(電気通信事業参入マニュアル[追補版]25P)
  • 自社用メールマガジンの発行(自己の需要に応ずるもの。電気通信事業参入マニュアル[追補版]28P)
  •  小売業者がウェブサイトを開設して商品販売を行う場合(本来業務である小売業の遂行の手段として電気通信を用いているに過ぎず、自己の需要のために電気通信サービスを提供しているため、「電気通信事業」に該当せず、外部送信規律も適用されません。)(総務省FAQ問1-12)
    なお、オンライン限定の小売業者であっても、非該当総務省FAQ問1-13)
  • ネットバンキングやネット証券ネット専業も含む)(電気通信事業参入マニュアル[追補版]24P)
  • サーバー間連携システム(サーバー間でのみデータを連携するシステム。RPA(Robotic Process Automation)等)(総務省FAQ問2-9)
  • 外部インターネットサイトやイントラネットサイトではない、閉域LANで構築された利用者も限定されている業務システム総務省FAQ問2-10)
  • サービスの開発環境や検証環境(企業等が業務に関して自らが当該環境を設置・運営しており、自己の通信のために行われるものであるため、「電気通信事業」に該当しません。したがって、外部送信規律の対象にもなりません。)(総務省FAQ問2-11)
  • 企業等における内線電話やLAN(自己の通信のために行うから。電気通信事業参入マニュアル[追補版]16P)
  • ホテルインターネット、シェアオフィス等のインターネット(宿泊サービスに付随して端末等の提供を行われるものであり、電気通信役務の提供が独立した事業として把握できない。電気通信事業参入マニュアル[追補版]17P)
  • ホテル電話(電気通信事業参入マニュアル[追補版]17P)
  • ブラウザやアプリケーションを通じて電気通信役務を提供している事業者が他者の広告を掲出する場合に、その提供事業者以外の広告主は、利用者に対して対象役務を提供するものではないので、対象外(パブコメP37の上)
  • サードパーティCookieサードパーティも、利用者に対して対象役務を提供するものではないので、対象外(パブコメP37の上)。ニュースサイト運営事業者が、サードパーティの発行したWebトラッキングコードをニュースサイト運営事業者の提供するニュースサイトに設置し、利用者端末からサードパーティに当該利用者の閲覧履歴が送信される場合、サードパーティは利用者に対し対象役務を提供するものではないので、対象外(パブコメP38-39)。

 

条文読解

(前提)

  • 第三号事業に関する規制対象者は、
    ①第三号事業を営む者であって、
    ②内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者

(①第三号事業)

  • 第三号事業とは、
    第164条第1項第3号に掲げる電気通信事業をいう(法2条7号イ)。
  • 第164条第1項第3号に掲げる電気通信事業とは、
    電気通信役務を電気通信回線設備を設置することなく提供する電気通信事業で、以下を除く(法164条1項3号)

(②総務省令で定める電気通信役務を提供する者)

  • 総務省令で定める電気通信役務とは、施行規則第二十二条の二の二十七に規定されている。
  • それは、次の一~四のいずれかに該当する電気通信役務であつて、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものをいう
  • 一 他人の通信を媒介する電気通信役務
    • 総務省FAQ)「利用者間のメッセージ媒介等」と記載し、例としてメールサービス、ダイレクトメッセージサービス、参加者を限定した(宛先を指定した)会議が可能なweb会議システム等を挙げている。
    • (水町コメント)法164条1項3号該当事業で、かつ総務省令を満たすものが規制対象なのに、法164条1項3号で「電気通信設備を用いて他人の通信を媒介する電気通信役務」が除外されているけど、ここでまた「他人の通信を媒介する電気通信役務」が入ってくる構成がよくわからないが。電気通信事業者には該当しない他人の通信媒介を広いたかったということか?
  • 二 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務
    • 総務省FAQ)「SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等」とまとめて、例として、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、ライブストリーミングサービス等を挙げている。
    • 総務省ガイドライン)「送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能」は、利用者から受信した情報を即時に(リアルタイム)で送信するサービスで、ライブストリーミングサービスやオンラインゲーム等が該当する(P252)
    • パブコメ)出品者等の利用者が入力した情報に対し、プラットフォーマーが一定の加工を施してウェブサイト等を通じて一般消費者に閲覧させる場合も、基本的に2号に該当(P42中)。
    • パブコメ)出品者等の利用者とプラットフォーマーが協議を重ね、プラットフォーマーが情報を入力してウェブサイト等を通じて一般消費者に閲覧させる場合は、2号に該当しない可能性があるが、4号に該当(P42-43)
    • 水町コメント)SNSとか楽天とかYouTubeとか掲示板が例になっているけど、条文上、これめちゃくちゃ広くないか
      平たく言うと、「ハードディスク等に記録された情報を不特定の利用者の求めに応じて送信する機能を有するサーバ・PC等を自分と他人の通信に使うこと」か「利用者から入力された情報を不特定の利用者の求めに応じて送信する機能を有するサーバ・PC等を自分と他人の通信に使うこと」では? それって、ものすごく広くないか。そんなん、どのサーバでもやっとるわ、ぐらいの勢いがないでしょうかね? まあ「不特定」が限定ポイントかなあ。でも、ログインさせるサービスでも有料サービスでも誰でも利用できるのであれば「不特定」に該当するとガイドラインにかかれているしなあ(ガイドラインP251)
  • 三 入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務
    • 総務省FAQ)「オンライン検索サービス」と呼んでいる。
    • 水町コメント)この号は明快ですね。
  • 四 前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの
    • 水町コメント)2号と似ている。2号との違いは、ユーザによる入力が求められないことぐらいではないか(251頁参照→https://www.soumu.go.jp/main_content/000805807.pdf)。4号では、さらに「不特定の利用者による情報の閲覧に供することを目的」という要件が追加はされているけど、2号だって、結局不特定の利用者の求めに応じる以上、「閲覧に供することを目的」とする場合が多い気が。ああそうか、オンラインストレージとかだと「閲覧に供することを目的」とはしていないから、2号該当で4号非該当とか?
      2号が広いんだから、4号も広い。ガイドラインとか見ると4号が広く見えるけど、条文上は2号も十分広く見える。 

 

電気通信事業法から抜粋

(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、

 

(定義)
第二条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
七 利用者 次のイ又はロに掲げる者をいう。
イ 電気通信事業者又は第百六十四条第一項第三号に掲げる電気通信事業(以下「第三号事業」という。)を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準ずる者として総務省令で定める者

 

(適用除外等)
第百六十四条 この法律の規定は、次に掲げる電気通信事業については、適用しない。
三 電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務次に掲げる電気通信役務

ロ及びハに掲げる電気通信役務にあつては、当該電気通信役務を提供する者として総務大臣総務省令で定めるところにより指定する者により提供されるものに限る。)

を除く。)

電気通信回線設備を設置することなく提供する電気通信事業
イ ドメイン電気通信役務
ロ 検索情報電気通信役務
ハ 媒介相当電気通信役務

2 この条において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 ドメイン電気通信役務 入力されたドメインの一部又は全部に対応してアイ・ピー・アドレスを出力する機能を有する電気通信設備電気通信事業者の通信の用に供する電気通信役務のうち、確実かつ安定的な提供を確保する必要があるものとして総務省令で定めるものをいう。
二 ドメイン名 インターネットにおいて電気通信事業者が受信の場所にある電気通信設備を識別するために使用する番号、記号その他の符号のうち、アイ・ピー・アドレスに代わつて使用されるものとして総務省令で定めるものをいう。
三 アイ・ピー・アドレス インターネットにおいて電気通信事業者が受信の場所にある電気通信設備を識別するために使用する番号、記号その他の符号のうち、当該電気通信設備に固有のものとして総務省令で定めるものをいう。
四 検索情報電気通信役務 入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して当該検索情報が記録されたウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務のうち、その内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務
五 媒介相当電気通信役務 その記録媒体(当該記録媒体に記録された情報が不特定の者に送信されるものに限る。)に情報を記録し又はその送信装置(当該送信装置に入力された情報が不特定の者に送信されるものに限る。)に情報を入力する電気通信を不特定の者から受信しこれにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務のうち、その内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務
3 第一項の規定にかかわらず、第三条及び第四条の規定は同項各号に掲げる電気通信事業を営む者の取扱中に係る通信について、第二十七条の十二、第二十九条第二項(第四号に係る部分に限る。)、第百五十七条の二、第百六十六条第一項、第百六十七条の二、第百八十六条(第三号中第二十九条第二項に係る部分に限る。)及び第百八十八条(第十七号中第百六十六条第一項に係る部分に限る。)の規定は第三号事業を営む者について、それぞれ適用する。

 

電気通信事業法施行規則

第二十二条の二の二十七 法第二十七条の十二の総務省令で定める電気通信役務は、次の各号のいずれかに該当する電気通信役務であつて、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものとする。

他人の通信を媒介する電気通信役務

二 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務

入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。次条第三項第一号において同じ。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備他人の通信の用に供する電気通信役務

前号に掲げるもののほか不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの 

 

ドメイン電気通信役務等の範囲)
第五十九条の三 法第百六十四条第二項第一号の総務省令で定める電気通信役務は、次に掲げるものとする。
一 ドメイン名の一部(ドメイン名の末尾を含むものに限る。以下同じ。)の前に任意の文字を付し、新たなドメイン名として使用する権利を有する電気通信事業者が、当該ドメイン名の一部に関して提供する電気通信役務であつて、次に掲げるもの
イ 国、地方公共団体その他これらに類するものの名称を表す文字及びドットの記号の組合せによるドメイン名の一部として総務大臣が別に告示するものに関して提供するもの
ロ 契約数が三十万以上のもの(イに掲げるものを除く。)
二 前号に規定する電気通信役務以外の電気通信役務(他人の電気通信設備に記録された情報の複製により、入力されたドメイン名の一部又は全部に対応してアイ・ピー・アドレスを出力する機能を有する電気通信設備を用いるものを除く。)であつて、契約数が三十万以上のもの
2 法第百六十四条第二項第二号の総務省令で定める番号、記号その他の符号は、文字及びドットの記号の組合せを末尾とする文字、数字又は記号の組合せとする。
3 法第百六十四条第二項第三号の総務省令で定める番号、記号その他の符号は、次のいずれかに掲げるものとする。
一 数字及びドットの記号の組合せであつて、三十二ビットの値を表すもの
二 数字(数字に代わつて用いられる文字を含む。)及びコロンの記号の組合せであつて、百二十八ビットの値を表すもの
4 法第百六十四条第二項第四号の総務省で定める電気通信役務は、次の各号のいずれにも該当するものとする。
一 第二十二条の二の二十七第三号に掲げる電気通信役務であること。
二 前年度における一月当たりの前号に規定する電気通信役務の提供を受けた利用者(法第二条第七号イに掲げる者に限り、他の電気通信事業者に卸電気通信役務を提供する場合にあつては、当該他の電気通信事業者が当該卸電気通信役務を利用して提供する電気通信役務の利用者(同条第七号イに掲げる者に限る。)を含む。次項第二号において同じ。)の数の平均が一千万以上であること。
5 法第百六十四条第二項第五号の総務省令で定める電気通信役務は、次の各号のいずれにも該当するものとする。
一 その記録媒体(当該記録媒体に記録された情報が不特定の者に送信されるものに限る。)に情報商品、役務又は権利に関する情報を除く。以下この号において同じ。)を記録し、又はその送信装置(当該送信装置に入力された情報が不特定の者に送信されるものに限る。)に情報を入力する電気通信を不特定の者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務であつて、主として不特定の利用者間の交流を目的としたもの(当該電気通信役務以外の電気通信役務に付随的に提供されるものを除く。)であること。
二 前年度における一月当たりの前号に規定する電気通信役務の提供を受けた利用者の数の平均が一千万以上であること。

 

 

(4)義務付けられない例外(やらないでいい場合)

外部送信規律の対象となる事業者でなかったり、義務付け対象の情報送信がない場合に、「外部送信規律の対象になる情報の送信はありません」などと通知等する必要はありません(パブコメP35下)。

①必要な情報の送信用

以下の情報を必要の範囲内において送信する場合に限ります(電気通信事業法27条の2の12第1項1号・電気通信事業法施行規則22条の2の30)。以下の目的と他の目的とを兼ねる場合は、義務付け対象です(ガイドライン解説P260-261)。

  • 真に必要な情報
    例) OS情報、ブラウザ情報
    当該電気通信役務電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供すること)において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報
    利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電気通信事業者に送信される情報は、基本的には当該電気通信役務の提供に必要なものであると考えられるため、原則として「真に必要な情報」に該当すると考えられる。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しないと考えられる。
    一方、当該電気通信事業者以外に送信される情報については、必ずしも当該電気通信役務の提供のために必要とは考えられないため、原則として「真に必要な情報」には該当しないと考えられる。ただし、利用者が利用を希望している電気通信役務を提供するに当たり、送信することが必要不可欠な情報については、この限りではない(ガイドライン解説P261)。 

  • ユーザが入力した情報の再表示のために必要な情報
    例)買い物かごの再表示に必要な情報
    当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

  • ユーザが入力した認証情報の再表示のために必要な情報
    例)認証情報の再表示に必要な情報

    当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

  • 不正検知等に必要な情報
    例)該当サービス・アプリのセキュリティ対策に必要な情報
    当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報

  • 負荷軽減等運用のために必要な情報
    当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報 

Appleを例にすると、カテゴリー1 - Strictly Necessary Cookies (不可欠なCookie)などでしょうかね。カテゴリー3 - Functionality Cookie (機能性Cookie)も一部入りますかね。

 

Strictly Necessary CookiesとFunctionality CookieICOガイドラインに従っている分類ですね。

www.apple.com

 

cyberlawissues.hatenablog.com

電気通信事業法27条の2の12第1項1号

当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報

電気通信事業法施行規則

(利用者が電気通信役務を利用する際に送信をすることが必要な情報)

第二十二条の二の三十 法第二十七条の十二第一号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。

当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報

二 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

三 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

四 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報

五 当該電気通信役務の提供に係る電気通信設備負荷を軽減させるために必要な情報その他の当該電気通信設備適切な運用のために必要な情報 

 

②1st Party Cookieに保存されたID等

その事業者が利用者を識別するためにその事業者自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたIDその他の利用者を識別するための符号)も、例外となります。
もっとも、1st Party Cookieに保存されたID等を利用して第三者に情報送信する場合は、例外に該当せずに、外部送信規律対応が必要になります(ガイドライン解説P263)。

電気通信事業法27条の2の12第1項2号

二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備送信先として送信されることとなるもの

 

③その他
  • 利用者自身がウェブページやアプリから入力した情報(パブコメP41中)
  • メールマガジンの媒介又は配信事業を営んでいる事業者が、情報提供者である企業等に対し、受信者の開封有無がわかる機能を提供している場合。当該機能は、メールマガジンに透明の小さな画像(Webビーコン)を埋め込むが、メールそのものに画像を埋め込むのではなく、受信者ごとに固有の文字列となるURLを参照して画像を表示させる設定として、受信者がメールマガジン開封すると画像の読み込み(URLの読み込み)が行われるもの。この場合、メールマガジン送信それ自体により情報送信機能が起動するわけではないので、情報送信指令通信に該当しない(パブコメP39)
  • 利用者が申込時等に情報送信に関し同意している情報は、別途通知等を行う必要なし(パブコメP50‐51)

 

 

(5)特定利用者情報

本ブログでは割愛しますが、特定利用者情報を適正に取り扱うべき電気通信事業者に指定されると、さらに規制が強くなります。
なお、情報取扱規程の届出他、全ての届出については電磁的方法で対応可能とのことです(パブコメP12真ん中)。

 

電気通信事業法

(特定利用者情報を適正に取り扱うべき電気通信事業者の指定)
第二十七条の五 総務大臣は、総務省令で定めるところにより、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者を、特定利用者情報(当該電気通信役務に関して取得する利用者に関する情報であつて次に掲げるものをいう。以下同じ。)を適正に取り扱うべき電気通信事業者として指定することができる。
一 通信の秘密に該当する情報
二 利用者(第二条第七号イに掲げる者に限る。)を識別することができる情報であつて総務省令で定めるもの(前号に掲げるものを除く。)
    
(情報取扱規程)
第二十七条の六 前条の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の適正な取扱いを確保するため、次に掲げる事項に関する規程(以下「情報取扱規程」という。)を定め、当該指定の日から三月以内に、総務大臣に届け出なければならない。
一 特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する事項
二 特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する事項
三 第二十七条の八第一項に規定する情報取扱方針の策定及び公表に関する事項
四 第二十七条の九の規定による評価に関する事項
五 その他総務省令で定める事項
2 前条の規定により指定された電気通信事業者は、情報取扱規程を変更したときは、遅滞なく、変更した事項を総務大臣に届け出なければならない。
    
(情報取扱規程の変更命令等)
第二十七条の七 総務大臣は、特定利用者情報の適正な取扱いを確保するため必要があると認めるときは、第二十七条の五の規定により指定された電気通信事業者に対し、当該電気通信事業者が前条各項の規定により届け出た情報取扱規程を変更すべきことを命ずることができる。
2 総務大臣は、第二十七条の五の規定により指定された電気通信事業者が情報取扱規程を遵守していないと認めるときは、当該電気通信事業者に対し、利用者の利益を保護するために必要な限度において、情報取扱規程を遵守すべきことを命ずることができる。
    
(情報取扱方針)
第二十七条の八 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の取扱いの透明性を確保するため、次に掲げる事項に関する方針(次項及び次条第二項において「情報取扱方針」という。)を定め、当該指定の日から三月以内に、公表しなければならない。
一 取得する特定利用者情報の内容に関する事項
二 特定利用者情報の利用の目的及び方法に関する事項
三 特定利用者情報の安全管理の方法に関する事項
四 利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項
五 その他総務省令で定める事項
2 第二十七条の五の規定により指定された電気通信事業者は、情報取扱方針を変更したときは、遅滞なく、これを公表しなければならない。
    
(特定利用者情報の取扱状況の評価等)
第二十七条の九 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、毎事業年度、特定利用者情報の取扱いの状況について評価を実施しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、前項の規定による評価の結果に基づき、必要があると認めるときは、情報取扱規程又は情報取扱方針を変更しなければならない。
    
(特定利用者情報統括管理者)
第二十七条の十 第二十七条の五の規定により指定された電気通信事業者は、第二十七条の六第一項各号に掲げる事項に関する業務を統括管理させるため、当該指定の日から三月以内に、事業運営上の重要な決定に参画する管理的地位にあり、かつ、利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者のうちから、総務省令で定めるところにより、特定利用者情報統括管理者を選任しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、特定利用者情報統括管理者を選任し、又は解任したときは、総務省令で定めるところにより、遅滞なく、その旨を総務大臣に届け出なければならない。
    
(特定利用者情報統括管理者等の義務)
第二十七条の十一 特定利用者情報統括管理者は、誠実にその職務を行わなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、利用者の利益の保護に関し、特定利用者情報統括管理者のその職務を行う上での意見を尊重しなければならない。

 

電気通信事業法施行規則

(利用者の利益に及ぼす影響が大きい電気通信役務

第二十二条の二の二十  法第二十七条の五の総務省令で定める電気通信役務は、電気通信事業報告規則(昭和六十三年郵政省令第四十六号)第二条第三項の表の報告対象役務の欄に掲げる電気通信役務ごとに次の各号に掲げる電気通信役務の区分に応じ、当該各号に定めるものとする。

一 その提供の開始時において対価としての料金の支払を要しない電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者(法第二条第七号イに掲げる者に限り、他の電気通信事業者に卸電気通信役務を提供する場合にあつては、当該他の電気通信事業者が当該卸電気通信役務を利用して提供する電気通信役務の利用者(同号イに掲げる者に限る。)を含む。次号において同じ。)の数の平均が一千万以上であるもの

二 その提供の開始時において対価としての料金の支払を要する電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者の数の平均が五百万以上であるもの

 

(特定利用者情報)

第二十二条の二の二十一  法第二十七条の五第二号の総務省令で定める情報は、次に掲げる情報の集合物を構成する情報とする。

一 特定の利用者(法第二条第七号イに掲げる者に限る。次号において同じ。)を識別することができる情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、利用者を識別することができる情報を一定の規則に従つて整理することにより特定の利用者を識別することができる情報を容易に検索することができるように体系的に構成した情報の集合物であつて、目次、索引その他検索を容易にするためのものを有するもの 

 

(6)疑問・難点

規制対象者たる「電気通信事業者」「第3号事業者」該当性が難しいかと思います。まあ、基本的には、企業Webサイト以外の各種情報のオンライン提供サービスは、規制対象と考えた方が無難な気はしますが…。

私として現時点で思う疑問としては、次のものがあります。

  • 条文を読むと対象となりそうだけど、本人から見て送信がわかるものは対象なのか
  • 民間が無償で提供するサービスは、規制対象なのか
  • 国・自治体の各種情報のオンライン提供サービスは、規制対象なのか
  • 複数事業者が関与する場合の対応・業務システム系
  • Googleその他の他社提供モジュールは、通知事項を通知しきれない場合がある
  • どこまでが「不特定の利用者」なのか
  • 特定の利用者が入力した内容をその人(とその人のフォロワー)にしか送信しない場合は、2号該当性が否定されるのか
(i)条文を読むと対象となりそうだけど、本人から見て送信がわかるものは対象なのか

外部送信規律の趣旨は、私が思うには、本人から見て情報送信がわからないものの透明化だと思うのです。しかし、条文を読むと、本人から見て情報送信がわかるものも除外していないような規定ぶりとなっています。

例えば、マイナンバーカードから情報を読み取る場合の処理方法が、仮にユーザ側の情報送信機能を起動させている場合は、27条の12に該当して規制対象となるように、条文を読むと読めます。しかし、本人がわからないように不適正に情報送信させている場合を除き、これまで外部送信規律の規制対象にするのかは疑問が残ります。但し、条文だけ読むと対象にも読めるので、法の趣旨から対象外と解釈することも考えられます。

 

そこで、総務省担当課に2023年4月下旬に事務所から照会してもらいましたが、口頭で規制対象外と考えてよいとの回答がありました。あくまで口頭回答を得たものであってガイドラインやFAQに記載されているわけではないので、絶対に対象外というエビデンスが確立されているものではありませんが、まあ、規制趣旨から考えると、明確に本人が認識できる場合は対象外とするのが妥当かなあと思います。

 

(ii)民間による無償サービス・国・自治体のサービスは、規制対象なのか

現時点の私の考えを先に述べると、
民間による無償サービスでも、規制対象となる場合はあると思います。なぜならば、利用者から料金を徴収していなくても、広告収入その他で電気通信役務で利益を上げているとみられる状況であれば、規制対象となると考えられるからです。

国・自治体のサービスは、以下の通り「事業」該当性を否定するか、「営む」を否定するかで、規制対象外となるのではないかと思われます。

 

「事業者」というと、国・自治体は除外されるイメージがありますが、電気通信事業法27条の12の規制対象は①「電気通信事業者」又は②「第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」です。

 

前者の①「電気通信事業者」は、「電気通信事業営むことについて、第九条の登録を受けた者及び第十六条第一項(同条第二項の規定により読み替えて適用する場合を含む。)の規定による届出をした者をいう」(法2条5号)とされており、この定義中の「電気通信事業」も「電気通信役務(=電気通信設備(=電気通信を行うための機械、器具、線路その他の電気的設備)を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供すること)を他人の需要に応ずるために提供する事業放送法第百十八条第一項に規定する放送局設備供給役務に係る事業を除く。)をいう」(法2条2~4号)とされています。

 

国・自治体の場合は、「事業」該当性を否定するという考え方もありますが、電気通信事業参入マニュアル[追補版]P11では、次の記述があります。これを見る限り、全般的に国・自治体の場合は該当性が否定されるというより、申請系サイトみたいなものは、「利用者の法的権利に応えて提供するもの」であるので、「事業」に該当しないみたいな整理になりそうです。
つまり、国税庁のeTax、自治体の電子申請サイト・アプリなんかは、「事業」該当性が否定されると考えられます。

〇電気通信事業参入マニュアル[追補版]P11

「事業」とは、主体的・積極的意思(提供条件の公示等客観的に判断されるもの)、目的をもって同種の行為を反復継続的に遂行することをいい、非常事態時に緊急、臨時的に提供するもの、一時的に提供するもの、提供者が利用者の法的権利に応えて提供するものは事業に該当しない。 

 

国や自治体の公式サイトも、自己の需要に応ずるものなので規制対象外と考えられます。

が、マイナポータルとか、ハローワークサイトとか、自治体アプリとかはどうなるんでしょうか。この点は、「営む」を否定することで、規制対象外と考えるのではないかと思われます。参入マニュアルP12には以下の記述があり、利益を上げていなければ、「営む」が否定され、規制対象外となるようです。但し、直接料金を徴収していなくても、広告収入等、電気通信役務によって利益を得ていれば、「営む」に該当し、規制対象になるようですので、マイナポとか自治体アプリとかなら、まあ利益を上げていないように思いますが、この点、民間提供の無償サービスだと、ユーザから料金を徴収しなくてもビジネスとして成立しているのであれば、広告収入じゃなくても、何らかの方法で収入を得ていて、それが結局電気通信役務によって利益を得ていると考えられれば、「営む」は肯定され、規制対象になるということでしょうか。

 

〇電気通信事業参入マニュアル[追補版]P12

電気通信事業を「営む」とは、利用者に対して、電気通信役務反復継続して提供して、その対価として料金を徴収することにより電気通信事業自体で利益を得ようとすることをいう(現実に利益が上がるか否かは要件とはならない。)。また、名目上電気通信役務の提供について料金を徴収していないとしても例えば広告収入を得るなど、実質的に電気通信役務の提供により利益を上げているとみなされるときには、電気通信事業を「営む」ことに該当する。

営利法人が電気通信役務の提供を行う場合でも、例えば自己の社員や社宅、グループ企業等に対して電気通信役務を提供する場合等、無償・原価ベースでこれを提供する場合は電気通信事業を「営む」ことに該当しない。

公益法人非営利団体であっても、原価を償って多少利益が出る程度の有償性をもって電気通信役務を提供する場合は、電気通信事業を「営む」ことに該当する。

営利を目的としない電気通信事業であっても地方公共団体が行う電気通信事業であって、電気通信設備不特定かつ多数の者の通信の用に供する電気通信役務や卸電気通信役務に該当する場合は、事業法第165条第1項に規定する届出が必要となる。 

 

以上、①「電気通信事業者」の検討でしたが、そもそもあんまり①に該当する無償サービスとか、国・自治体サービスって少なくて、多くは、②「第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」該当性を検討するように思われます。

でも、②でも結局「営む」を否定できれば、「第三号事業を営む者」ではないとなるので、「営む」を否定できれば規制対象外となるので、①と同じでしょうか。「事業」該当性を否定する手法は、②では使えないように思えますが、その場合も「営む」を否定することで、規制対象外となるかと思います。

 

(iii)複数事業者が関与する場合の対応・業務システム系

A社がサービスを提供していて、B社がA社サービスを利用して、ユーザにサービス提供している場合。再利用許諾を得ているような場合ですね。この場合、A社もB社も規制対象となるのですかねえ。まあ、同一内容を公表すればよいですかねえ。
→(パブコメ後に追記)利用者に対して対象役務を提供する事業者に対してサービスを提供している事業者は、対象外とのこと(パブコメP38↑)。したがって、A社が利用者に対してサービス提供していると言えるかどうか検討することになる。

 

では、H社がサービスをI社向けに提供している場合。閉域網でなければ、これも規制対象になる場合があるんですよね? 2号とか4号の場合は、不特定要件がありますが、I社社員向けサービスって、これはたとえ数万人社員がいたとしても「特定」になるんでしょうかねえ。「不特定」のような気も。では、I社社員が100人ならどうなのか。

業務システム系のものだって、規制対象になるものってあるように思うのですが、どうなのか。

→(パブコメ後に追記)業務システム、法人向け電気通信役務も外部送信規律対象。ただ、閉域網で提供される社内システムなどは、審査等により利用者が限定されており、「不特定」の利用者にならないので、対象外(パブコメP43-44)。結論としては、閉域網で審査等ある場合を除き、利用者が限定されているかどうかを、個別事案に則って検討する必要がある。

 

(iv)Googleその他他社モジュール

Google Analyticsその他他社モジュールを利用している場合等は、送信される情報や、他社における利用目的が不明瞭な場合があります。Googleの場合は、読みにくいですが、ポリシーありですかね。
ポリシー記載や説明資料等がない場合に、他社モジュールを使っている側としては、正確にわかりやすく記載したいと思っても、なんとも難しい状況に置かれてしまい…。

改正個人情報保護法の外国提供・外国取扱いについても、結局他社クラウドとか他社サーバの場合に、プラットフォーマーが情報を教えてくれないとプラットフォーム利用側はどうしようもなく、それなのに法的義務はプラットフォーマーにはかかっていなかったりして、プラットフォーム利用側は困惑しがちです。

情報提供義務を法律上かける場合は、プラットフォーマーなどにまずもって情報提供義務をかけるべきだと考えます。

 

(v)どこまでが「不特定の利用者」なのか

2号で「不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信のように供する電気通信役務」とあり、解説P251では、以下の通りあります。

アカウント登録や利用料の支払をすれば誰でも受信(閲覧)できる場合も、「不特定の利用者」に含まれる。他方、閉域網で提供される社内システムなどは、審査等により利用者が限定されており、「不特定の利用者」ではなく、「特定の利用者」となるため、該当しない。 

しかしこの解説では、何をもって「特定の利用者」に当たるかの基準が曖昧です。閉域網で提供される社内システムは、極端な例のように思います。この基準の明確化が必要です。

(vi)特定の利用者が入力した内容を当該者にしか送信しない場合は、2・4号該当性が否定されるのか

2号について解説P251では、以下のように記されています。

利用者(特定の利用者も含む)が情報を入力(書き込み、投稿、出品、募集などを含む)し、当該情報を不特定の利用者が受信(閲覧)できるもののことをいう。 

ヤフオクとかメルカリとか、Twitterとかは、これに該当すると思われますが、ログインしたユーザにしか、ユーザが入力した情報を見せないようなものの場合はどうなのでしょうか。あとは、ログインしたユーザ自身と、そのユーザが特別に許可を与えた別人にしか、ユーザが入力した情報を見せないようなものの場合はどうなのでしょうか。

条文上は、「不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信のように供する電気通信役務」とあるため、上記の場合は、「不特定」とは言えなそうですが、総務省解釈もそれでよいのでしょうか。

ただ、2号該当性が否定されても、上記のようなサービスの中に4号該当サービスが一緒になっている場合は、結局外部送信規律対象となるわけですが…。

 

とはいえ、4号も「不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの」とあるわけです。

この場合は、利用者ごとにカスタマイズされた情報で、例えば体重管理アプリなどで、利用者が入力した情報を当該利用者にしか送信しないとしても、細かく「その人の体重」などと考えずに、広く「体重」と考えれば、不特定の利用者の求めに応じて体重情報を送信して、閲覧に供することになるとなるのでしょうか。この辺りが詰められていない気が。

(7)罰則

本件に関連する電気通信事業法の罰則は次の通りですが、概要としては、総務大臣業務改善等命令を発出でき(29条2項1・4号)、当該命令違反をすると200万円以下の罰金が科されます(186条3号、両罰規定あり190条)。加えて、総務大臣報告徴収・立入検査等ができ(166条1項)、拒否・妨害等すると30万円以下の罰金が科されます(188条17号、両罰規定あり190条)。
なお、未登録・未届出での電気通信事業は、最大で3年以下の懲役または200万円以下の罰金、併科となります(177条・185条1号、両罰規定あり190条)。

また、罰則ではないものの、電気通信事業法や命令・処分違反行為を行うと、総務大臣氏名・名称等を公表することもできます(167条の2)。

  • 業務改善命令等への違反(186条3号)
    両罰規定あり(190条)

    第百八十六条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、二百万円以下の罰金に処する。
    三 第十九条第二項、第二十条第三項、第二十一条第四項、第二十七条の七第一項若しくは第二項、第二十九条第一項若しくは第二項、第三十条第五項、第三十一条第四項、第三十三条第六項若しくは第八項、第三十四条第三項、第三十五条第一項(第三十九条において準用する場合を含む。)若しくは第二項、第三十八条第一項(第三十九条において準用する場合を含む。)、第三十八条の二第四項、第三十九条の三第二項、第四十三条第一項(同条第二項において準用する場合を含む。)、第四十四条の二第一項若しくは第二項、第四十四条の五、第五十一条、第七十三条の四又は第百二十一条第二項の規定による命令又は処分に違反したとき。
    (業務の改善命令)
    第二十九条 
    2 総務大臣、次の各号のいずれかに該当するときは、当該各号に定める者に対し、利用者の利益を確保するために必要な限度において業務の方法の改善その他の措置をとるべきことを命ずることができる
    一 電気通信事業者第二十六条第一項、第二十六条の二第一項、第二十六条の四第一項、第二十七条、第二十七条の二、第二十七条の四又は第二十七条の十二の規定に違反したとき 当該電気通信事業者
    二 第二十七条の三第一項の規定により指定された電気通信事業者が同条第二項の規定に違反したとき 当該電気通信事業者
    三 第二十七条の五の規定により指定された電気通信事業者が第二十七条の八又は第二十七条の九の規定に違反したとき 当該電気通信事業者
    四 第三号事業を営む者が第二十七条の十二の規定に違反したとき 当該第三号事業を営む者

     

  • 立入調査等の拒否・妨害等(188条17号)
    両罰規定あり(190条)

    第百八十八条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、三十万円以下の罰金に処する。
    十七 第百六十六条第一項、第二項(同条第三項において準用する場合を含む。)若しくは同条第五項において準用する同条第四項の規定による報告をせず、若しくは虚偽の報告をし、又はこれらの規定による検査を拒み、妨げ、若しくは忌避したとき。
    (報告及び検査)
    第百六十六条 総務大臣は、この法律の施行に必要な限度において、電気通信事業者、第三号事業を営む者若しくは媒介等業務受託者に対し、その事業に関し報告をさせ、又はその職員に、電気通信事業者、第三号事業を営む者若しくは媒介等業務受託者の営業所、事務所その他の事業場に立ち入り電気通信設備電気通信事業者又は第三号事業を営む者の事業場に立ち入る場合に限る。)、帳簿、書類その他の物件を検査させることができる

     

  • 登録・届出せずに電気通信事業法を営んでいた場合(177条・185条)
    両罰規定あり(190条)
    第百七十七条 第九条の規定に違反して電気通信事業を営んだときは、当該違反行為をした者は、三年以下の懲役若しくは二百万円以下の罰金に処し、又はこれを併科する。
    (電気通信事業の登録)第九条 電気通信事業を営もうとする者は、総務大臣の登録を受けなければならない。ただし、次に掲げる場合は、この限りでない。一 その者の設置する電気通信回線設備(送信の場所と受信の場所との間を接続する伝送路設備及びこれと一体として設置される交換設備並びにこれらの附属設備をいう。以下同じ。)の規模及び当該電気通信回線設備を設置する区域の範囲が総務省令で定める基準を超えない場合二 その者の設置する電気通信回線設備が電波法(昭和二十五年法律第百三十一号)第七条第二項第六号に規定する基幹放送に加えて基幹放送以外の無線通信の送信をする無線局の無線設備である場合(前号に掲げる場合を除く。)

    第百八十五条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、六月以下の懲役又は五十万円以下の罰金に処する。
    一 第十六条第一項の規定による届出をせず、若しくは虚偽の届出をして電気通信事業を営んだとき、又は同条第二項の規定により読み替えて適用する同条第一項の規定による届出をせず、若しくは虚偽の届出をしたとき。
    二 第七十三条の二第一項の規定による届出をせず、又は虚偽の届出をして、第二十六条第一項各号に掲げる電気通信役務の提供に関する契約の締結の媒介等の業務を行つたとき。
    (電気通信事業の届出)
    第十六条 電気通信事業を営もうとする者(第九条の登録を受けるべき者を除く。)は、総務省令で定めるところにより、次の事項を記載した書類を添えて、その旨を総務大臣に届け出なければならない。
    一 氏名又は名称及び住所並びに法人にあつては、その代表者の氏名
    二 外国法人等にあつては、国内における代表者又は国内における代理人の氏名又は名称及び国内の住所
    三 業務区域
    四 電気通信設備の概要(第四十四条第一項に規定する事業用電気通信設備を設置する場合に限る。)
    五 その他総務省令で定める事項
    2 電気通信事業者以外の者が第百六十四条第一項第三号の規定により新たに指定をされた場合における前項の規定の適用については、同項中「その旨」とあるのは、「第百六十四条第一項第三号の規定により新たに指定をされた日から一月以内に、その旨」とする。
    (媒介等の業務の届出等)
    第七十三条の二 電気通信事業者又は媒介等業務受託者から委託を受けて第二十六条第一項各号に掲げる電気通信役務の提供に関する契約の締結の媒介等の業務を行おうとする者は、総務省令で定めるところにより、次に掲げる事項を記載した書類を添えて、その旨を総務大臣に届け出なければならない。
    一 氏名又は名称及び住所並びに法人にあつては、その代表者の氏名
    二 委託を受ける電気通信事業者又は媒介等業務受託者の氏名又は名称及び住所
    三 当該媒介等の業務に係る電気通信役務を提供する電気通信事業者の氏名又は名称及び住所
    四 当該媒介等の業務に係る電気通信役務についての第二十六条第一項各号に掲げる電気通信役務の別
    五 その他総務省令で定める事項
    (提供条件の説明)
    第二十六条 電気通信事業者は、利用者(電気通信役務の提供を受けようとする者を含み、電気通信事業者である者を除く。以下この項、第二十七条及び第二十七条の二において同じ。)と次に掲げる電気通信役務の提供に関する契約の締結をしようとするときは、総務省令で定めるところにより、当該電気通信役務に関する料金その他の提供条件の概要について、その者に説明しなければならない。ただし、当該契約の内容その他の事情を勘案し、当該提供条件の概要について利用者に説明しなくても利用者の利益の保護のため支障を生ずることがないと認められるものとして総務省令で定める場合は、この限りでない。
    一 その一端が移動端末設備と接続される伝送路設備を用いて提供される電気通信役務であつて、その内容、料金その他の提供条件、利用者の範囲及び利用状況を勘案して利用者の利益を保護するため特に必要があるものとして総務大臣が指定するもの
    二 その一端が移動端末設備と接続される伝送路設備を用いて提供される電気通信役務以外の電気通信役務であつて、その内容、料金その他の提供条件、利用者の範囲及び利用状況を勘案して利用者の利益を保護するため特に必要があるものとして総務大臣が指定するもの
    三 前二号に掲げるもののほか、その内容、料金その他の提供条件、利用者の範囲その他の事情を勘案して利用者の利益に及ぼす影響が少なくないものとして総務大臣が指定する電気通信役務
  • 特定利用者関連(186条3号・188条)
    両罰規定あり(190条)
    第百八十六条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、二百万円以下の罰金に処する。
    三 第十九条第二項、第二十条第三項、第二十一条第四項、第二十七条の七第一項若しくは第二項、第二十九条第一項若しくは第二項、第三十条第五項、第三十一条第四項、第三十三条第六項若しくは第八項、第三十四条第三項、第三十五条第一項(第三十九条において準用する場合を含む。)若しくは第二項、第三十八条第一項(第三十九条において準用する場合を含む。)、第三十八条の二第四項、第三十九条の三第二項、第四十三条第一項(同条第二項において準用する場合を含む。)、第四十四条の二第一項若しくは第二項、第四十四条の五、第五十一条、第七十三条の四又は第百二十一条第二項の規定による命令又は処分に違反したとき。
    四 第二十七条の十第一項の規定に違反して特定利用者情報統括管理者を選任しなかつたとき
    (情報取扱規程の変更命令等)
    第二十七条の七 総務大臣は、特定利用者情報の適正な取扱いを確保するため必要があると認めるときは、第二十七条の五の規定により指定された電気通信事業者に対し、当該電気通信事業者が前条各項の規定により届け出た情報取扱規程を変更すべきことを命ずることができる。
    2 総務大臣は、第二十七条の五の規定により指定された電気通信事業者が情報取扱規程を遵守していないと認めるときは、当該電気通信事業者に対し、利用者の利益を保護するために必要な限度において、情報取扱規程を遵守すべきことを命ずることができる。

    第百八十八条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、三十万円以下の罰金に処する。
    関連
    一 第十七条第二項、第十八条第一項、第二十六条の四第二項、第二十七条の六第一項若しくは第二項、第二十七条の十第二項、第三十六条第一項、第三十七条第一項若しくは第二項、第三十八条の二第一項、第四十二条第三項(同条第四項から第六項(同条第七項の規定により読み替えて適用する場合を含む。)までにおいて準用する場合を含む。)、第四十四条第一項(同条第四項の規定により読み替えて適用する場合を含む。)若しくは第三項、第四十四条の三第二項、第四十五条第二項、第七十三条の二第三項若しくは第四項、第百八条第三項、第百二十条第四項(第百二十二条第四項において準用する場合を含む。)又は第百二十四条第一項の規定による届出をせず、又は虚偽の届出をしたとき。
    二 第十九条第一項(第二号基礎的電気通信役務に係る部分に限る。)又は第二十条第一項の規定による届出をしなかつたとき。
    三 第二十二条又は第三十三条第十二項の規定による記録をせず、又は虚偽の記録をしたとき。
    四 第二十三条第一項の規定に違反したとき。
    五 第二十六条の二第一項の規定に違反して、書面を交付せず、又は虚偽の記載をした書面を交付したとき。
    六 第二十八条第一項又は第三十一条第八項の規定による報告をせず、又は虚偽の報告をしたとき。
    七 第三十三条第十一項、第三十四条第五項又は第百八条第三項の規定に違反して接続約款を公表しなかつたとき。
    八 第三十六条第二項の規定に違反して計画を公表しなかつたとき。
    九 第六十三条第三項の規定による届出をする場合において虚偽の届出をしたとき。
    十 第六十三条第四項の規定に違反して、記録を作成せず、若しくは虚偽の記録を作成し、又は記録を保存しなかつたとき。
    十一 第八十五条の十、第九十六条(第百三条において準用する場合を含む。)又は第百十六条の五の規定に違反して、帳簿を備え付けず、帳簿に記載せず、若しくは記録せず、若しくは帳簿に虚偽の記載若しくは記録をし、又は帳簿を保存しなかつたとき。
    十二 第八十五条の十二第一項の規定による届出をしないで講習事務を廃止し、又は虚偽の届出をしたとき。
    十三 第九十二条第一項(第百三条において準用する場合を含む。)の規定による報告をせず、又は虚偽の報告をしたとき。
    十四 第九十九条第一項(第百三条において準用する場合を含む。)の規定による届出をしないで業務を廃止し、又は虚偽の届出をしたとき。
    十五 第百十六条の三第三項の規定に違反してその名称中に認定送信型対電気通信設備サイバー攻撃対処協会の特定会員と誤認されるおそれのある文字を用いたとき。
    十六 第百四十一条第四項又は第百四十三条の規定に違反したとき。
    十七 第百六十六条第一項、第二項(同条第三項において準用する場合を含む。)若しくは同条第五項において準用する同条第四項の規定による報告をせず、若しくは虚偽の報告をし、又はこれらの規定による検査を拒み、妨げ、若しくは忌避したとき。
    十八 第百六十七条第一項(同条第四項において準用する場合を含む。)の規定による命令に違反したとき。
    (特定利用者情報統括管理者)
    第二十七条の十 第二十七条の五の規定により指定された電気通信事業者は、第二十七条の六第一項各号に掲げる事項に関する業務を統括管理させるため、当該指定の日から三月以内に、事業運営上の重要な決定に参画する管理的地位にあり、かつ、利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者のうちから、総務省令で定めるところにより、特定利用者情報統括管理者を選任しなければならない。

3.必要となる実務対応

(1)予想される対応

通知、公開、同意又はオプトアウトのどの措置をとってもいいわけですが、私の予想では、おそらく多くの企業はプライバシーポリシーかCookieポリシーの修正で対応すると思われます(いわゆる、「公開」対応)。

なぜならば、「通知」対応って全ユーザに対し実践しようとすると実践方法が悩ましい。同意は、同意をとれなかった場合に、そのCookie等を使わないという実務対応がアプリ上等でできるかという問題がある。オプトアウトも同様。

ゆえに、一番やりやすいのが「公開」対応であって、「公開」方法として一般的なのが「プライバシーポリシー」「Cookieポリシー」なので、これらのポリシーの修正がよくある対応となるのではないかと、私としては予想したというところです(予想が当たらなくても怒らないでください)。

 

(2)ステップ

では、実際に対応するためには、どのようなことを行えばよいでしょうか。

  •  調査票作成
    • システム開発事業者にCookie等を洗い出してもらう必要があり、そのための調査票を作成する
    • システム開発事業者ではなく、社内の情報システム課で洗い出す場合もありうる。また、システム運用事業者・保守事業者でも対応可能な場合はあると思われるが、まあ一般的にはシステム開発事業者に聞くかなあと予想した。
  • システム開発事業者等への調査
    • 上記で作成した調査票を、システム開発事業者等にて埋めてもらう
    • 疑義対応等発生(システム開発事業者等からの質問対応や、システム開発事業者等の回答結果が不十分・不明瞭な場合の再質問等)
  • 公開内容のドラフト
    • 法律上の要求事項を網羅した公開内容を作成
  • 公開方法の確定
    • プライバシーポリシーに追記で良いと思うが、既にCookieポリシーが存在する場合などはCookieポリシーに追記する
    • その際に、専門の弁護士が見ると、現状のCookieポリシー等が不十分だったり誤っていたりというのもありうるので、そこで電気通信事業法改正とは異なる修正が入る可能性があるが、それをやりだすとスケジュールが間に合わなくなる可能性があるので、それは別途スケジュールを立ててやる
    • もっとも、しつこいけれども、現在の日本法上はCookieポリシーは必要ないので、新たにCookieポリシーを作成する必要はない。ただ、会社上部に諮ると、せっかくだから他社もやってるようなCookieポップアップも作ったらどうかとかCookieポリシーも作ったらなどという話になりそうな気もするが、作りたい企業は作ればよく、プライバシーポリシーの追記が一番工数的には少ないと思われます。
  • 公開

 

4.法改正関係資料

 

*1:すべてのポップアップがGDPR上適法な同意取得となっているかといえば、怪しい部分もあると思いますが…

*2:番号法19条1号「その他の政令で定める法律の規定」とあり、番号法施行令で法律に例示列挙されている事項も繰り返し政令中でも規定しているので、それが法制ルールだったように思う。