ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

令和5年法改正を踏まえたプライバシーポリシー・Cookieポリシー(2022年電気通信事業法改正・外部送信規律)(未完成記事)

Q)Cookieが日本でも規制されると聞きました。電気通信事業法改正の話をする人がいるのですが、私は別に通信キャリアではないので、関係ないと思っていて良いですか?

 

A)電気通信事業法改正が令和5年6月16日に施行されます。この法改正は、プライバシーポリシー等に影響を与えうるものです。電話やインターネットキャリアといった業界のみならず、アプリを提供していたり掲示板を運営していたり、地図情報の発信、ニュース配信サービスなどを行っていたりしても、影響がありますので、注意が必要です。

電気通信事業者か第3号事業を営む者に当たればCookieタグ等の利用者情報を外部送信する際に公表などが必要です。

 

なお、消費者契約法も改正され、これの施行も令和5年6月ですが、こちらは利用規約に影響が出る可能性があります。この点については、別記事でまとめていますのでご覧ください。

cyberlawissues.hatenablog.com

※筆者のミス等がありえますので、ご利用にあたっては必ず原典等に当たっていただけますようお願いいたします。

※随時更新予定のため、23.1.23時点では未完成です。ガイドライン公表後にさらに加筆する予定です。

電気通信事業法施行規則、改正内容が有料DBでも反映されてないんだけど。eGovでもそう。有料なのにひどい!総務省新旧から手作業でコピペしている私、かわいそう。

 

 

1.改正電気通信事業法施行前のCookie等規制

(1)Cookie規制がなかった日本

日本では、基本的にはCookie規制はありません。Cookieに関する同意取得ポップアップ画面などが最近よく表示されますが、あれは、GDPR対応として海外企業等が導入したもの*1GDPR対応が不要な日本企業も導入して、今ああいう画面がそこそこよく見られる状況にあるのではないかと考えられます。Cookieに関する同意取得ポップアップ画面が日本法上要求されるかというと、そうではなく、なんとなく他社と似た感じの画面を入れているのではないかと思います。

 

EUCookie規制については、昔の記事なので少し古いですが、以下のブログをどうぞ。

cyberlawissues.hatenablog.com

(2)Cookieは個人情報の場合と非個人情報の場合がある

そもそも、Cookieは日本の個人情報保護法上、「個人情報」に該当しない場合もあるとされています。日本の個人情報保護法上は、「個人情報」に該当するためには「特定の個人を識別できる」かどうかが重要です。平たく言うと、「誰かわかる」という状態です。

名前が書いてあれば誰かわかるので個人情報になります。名前が書いていなくても、「2022年の巨人軍監督は…」といった情報も、誰かわかるので個人情報になります。また、長期間の情報なども誰の情報かわかる場合があります。例えば、SNSの投稿を過去にさかのぼってみていくと、誰が投稿者であるかわかる場合などもありますし、位置情報などを長期間おっかけてみていると、家と勤務先などの場所がわかり、誰の情報かがわかる場合などもあり得ます。

これに対し、Cookieは名前が書いてあるわけでも、「A社マネージャー」などと所属・肩書が書いてあるわけでもないし、Cookieが識別しているのは「この人」ではなく「このブラウザ(Edge、Chromeなど)」なので、共有PCなどから同じブラウザを通じて情報を閲覧したりすると、複数人が同じブラウザを使うことになりますので、Cookie情報からは「特定の個人を識別」できない、などと言われることがあります。

もっとも、Cookieと紐づく閲覧履歴・検索履歴などを長期間追っかけてみていくと誰かわかる場合もあると思いますし、位置情報とCookieが結びついていたりするとより特定性は高まるようにも思います。しかし、それはどの程度の長期間データを持っているかなど具体的データ状態にもよるので、何とも言えず、

Cookieは個人情報ではない」と言われることが続いてきました。

 

もっとも、Cookie情報単体で保持しているだけじゃなくて、Webショッピングの会員情報などで名前などの情報を保持していたりして、それとCookieが紐づけられる状態にあると、個人情報保護法上の定義から、Cookieも個人情報ということになります。

(この辺りの容易照合性の点は追って追記するかもしれませんが、本論とずれるのでいったんこの程度にします。)

 

なので、「場合によってCookieは個人情報に該当する場合がある」というのが、日本法上の位置づけです。

 

(3)公取

追って追記予定

 

(4)2020年個人情報保護法改正

そんな中、リクナビ事案が発生します。それを受けて、個人情報保護法2020年改正で、Cookie対応がなされたといわれることがあります。しかし2020年個人情報保護法改正は、Cookie規制というよりは、もっと規制対象が狭いものになっていました(個人関連情報規制を追って追記予定)。

 

2.2022年電気通信事業法改正による法規制(外部送信規律)

2020年個人情報保護法改正はCookieに対し弱い規制しか課さなかったのに対し、電気通信事業法が外部送信規律(Cookie等規制)を実施しました。それが2022年改正電気通信事業法です。

2022年改正電気通信事業法では、Cookie関連以外にも改正事項がありますが、Cookie規制は、以下の赤枠囲みの部分になります。

 

※以下総務省資料を筆者が赤枠加筆
https://www.soumu.go.jp/main_content/000820706.pdf

 

利用者のパソコンやスマホ等の端末で起動されるブラウザやアプリケーションを通じて電気通信役務を提供する事業者が、利用者の端末に対して、当該端末に記録された利用者に関する情報を外部に送信するよう指令するプログラム等を送信する場合において、電気通信役務を提供する事業者に対し、当該プログラム等により送信されることとなる利用者に関する情報の内容や送信先について、当該利用者に確認の機会を付与する義務を課すという規制です。

具体的には、通知、公表、同意取得又はオプトアウト措置の提供のいずれかを行う必要があります。 ただし、利用者の端末に適正な画面表示をするためなど、当該電気通信役務の利用のために送信することが必要な情報や、当該電気通信役務を提供する事業者が利用者を識別するために自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID)の外部送信については、確認の機会の付与は不要です。

「外部」送信規律と呼ばれてはいますが、「外部」とは利用者以外の者のことであって、事業者自身や委託先に送信することも含みます(2・3頁→ https://www.soumu.go.jp/main_content/000848767.pdf)。1st Party Cookie に保存されたID以外の情報の送信に関しては、利用者に通知等を行うことが必要です(20頁→ https://www.soumu.go.jp/main_content/000848767.pdf)。 

https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html#qa1-1

 

(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備送信先として送信されることとなるもの
三 当該情報送信指令通信が起動させる情報送信機能により送信先電気通信設備に送信されることについて当該利用者が同意している情報
四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

 

(1)規制対象行為(いつ)

いつ:利用者のPCやスマホ等に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者のPCやスマホ等に指令しようとするとき

条文読解
電気通信事業法27条の12柱書から一部抜粋
利用者*1に対し電気通信役務*2を提供する際に、
当該利用者の電気通信設備*3を送信先とする情報送信指令通信
(利用者の電気通信設備が有する情報送信機能
(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)
を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)
を行おうとするとき

 

*1(法2条7号)利用者 次のイ又はロに掲げる者をいう。
イ 電気通信事業者又は第百六十四条第一項第三号に掲げる電気通信事業(以下「第三号事業」という。)を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準ずる者として総務省令で定める者
ロ 電気通信事業者又は第三号事業を営む者から電気通信役務(これらの者が営む電気通信事業に係るものに限る。)の提供を受ける者(イに掲げる者を除く。)

 

*1(法2条3号)電気通信役務 電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいう。

 

*3

(法2条2号)電気通信設備 電気通信を行うための機械、器具、線路その他の電気的設備をいう。

電気通信事業参入マニュアル[追補版]P2)電気通信設備光ファイバ、携帯電話の基地局等の電気通信回線設備のほか、サーバや端末機器等を含む。)

 

利用者に対し電気通信役務を提供する際に

→これは、義務付け対象者の解説で包摂されるはずなので割愛

 

当該利用者の電気通信設備送信先とする情報送信指令通信を行おうとするとき

→ユーザのPCやスマホ等を送信先とする指令を通信することとされていて、情報送信指令通信の定義は以下に規定されている。

(利用者の電気通信設備が有する情報送信機能
(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)
を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)

→ユーザのPCやスマホ等が有する情報送信機能、

すなわちユーザのPCやスマホ等に記録されたユーザに関する情報をユーザ以外の者のサーバ等に送信する機能

この機能を起動する指令を与える通信のこと。

 

(2)義務内容(何をやる)

やること:あらかじめ、利用者に通知、公開、同意又オプトアウトのいずれかの措置。

通知の場合の義務
(i)通知義務(通知事項)

以下の通知事項を通知します(電気通信事業法27条の2の12柱書、電気通信事業法施行規則22条の2の29)

  • ①送信される情報
    (当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容)
  • 送信先(当該情報の送信先となる電気通信設備)(情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称)
  • ③送信される情報の利用目的
  • 施行規則22条の2の29は、法27条の2の12に規定されている項目も繰り返して規定していると考えた*2。②は法律だと電気通信設備だが、規則だと氏名又は名称
(ii)通知時の義務
  • 日本語を用い、専門用語を避け、及び平易な表現を用いなければならない(電気通信事業法施行規則22条の2の28第1項1号)
  • 操作を行うことなく文字が適切な大きさで利用者の電気通信設備(PCやスマホ等)の映像面に表示されるようにしなければならない(電気通信事業法施行規則22条の2の28第1項2号)
  • 利用者が通知事項を容易に確認できるようにしなければならない(電気通信事業法施行規則22条の2の28第1項3号)
  • 以下のいずれかの措置をとる(基本は①)(電気通信事業法施行規則22条の2の28第2項)
    ① 通知事項又は通知事項を掲載した画面の所在に関する情報を利用者の電気通信設備(PCやスマホ等)の映像面に即時に表示する(通知事項の一部のみを表示する場合には、利用者がその残部を掲載した画面に容易に到達できるようにする)
    又は② ①と同等以上に利用者が容易に認識できるようにする

 

公開の場合の義務
(i)公開義務(公開事項)

上記通知事項と同様の事項を公開します(電気通信事業法27条の2の12柱書、電気通信事業法施行規則22条の2の29)。

(ii)公開時の義務
  • 日本語を用い、専門用語を避け、及び平易な表現を用いなければならない(電気通信事業法施行規則22条の2の28第1項1号)
  • 操作を行うことなく文字が適切な大きさで利用者の電気通信設備(PCやスマホ等)の映像面に表示されるようにしなければならない(電気通信事業法施行規則22条の2の28第1項2号)
  • 利用者が公開事項を容易に確認できるようにしなければならない(電気通信事業法施行規則22条の2の28第1項3号)
  • 以下のいずれかの措置をとる(基本は①②)
    電気通信事業法施行規則22条の2の28第3項)
    ① 利用者の設備(PCやスマホ等)に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者の設備(PCやスマホ等)に指令する(情報送信指令通信を行う)ウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、公開事項を表示する
    又は② 利用者の設備(PCやスマホ等)に記録された利用者に関する情報を、利用者以外の者に送信するよう利用者の設備(PCやスマホ等)に指令する(情報送信指令通信を行う)ソフトウェアを利用する際に、利用者の電気通信設備(PCやスマホ等)の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、公開事項を表示する
    又は③ ①②と同等以上に利用者が容易に到達できるようにする

電気通信事業法27条の2の12第1項柱書から一部抜粋

あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。

 

同意

通知・公表事項と同様の事項を説明したうえで同意を取得することが望ましいと思います。

電気通信事業法27条の2の12第3号

三 当該情報送信指令通信が起動させる情報送信機能により送信先電気通信設備に送信されることについて当該利用者が同意している情報

 

オプトアウト

オプトアウトとは、同意とは違います。

オプトアウトとは、一定事項を通知等したうえで同意を得ずにやってしまうものの、本人が拒否してきた場合には拒否に応じるという対応のことで、以下を満たす必要があります(電気通信事業法27条の12第4号、電気通信事業法施行規則22条の2の31)。

  • 利用者が拒否した場合には、利用者に関する情報の送信か、送信された情報の利用をやめる
  • 以下を公表等(=容易に知り得る状態に置く)
    ・拒否できる旨(法例示・規則1号)、
    ・拒否をする方法(法例示・規則3号)、
    ・拒否した場合に送信をやめるのか利用をやめるのかの別(規則2号)、
    ・拒否すると利用制限される場合はその内容(規則4号)、
    ・送信情報(法27条の12第1・2号に掲げる情報は含めなくてよい、規則5号)、
    送信先(情報を取り扱うこととなる者の氏名又は名称、規則6号)、
    ・送信される情報の利用目的(規則7号)

 

電気通信事業法27条の2の12第4号

当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

 

電気通信事業法施行規則

第二十二条の二の三十一

法第二十七条の十二第四号ロの総務省令で定める事項は、次に掲げるものとする。

一 法第二十七条の十二第四号イに規定する措置(以下この条において「オプトアウト措置」という。)を講じている場合にあつては、その旨

二 オプトアウト措置が法第二十七条の十二第四号イ⑴又は⑵のいずれの行為を停止するものであるかの別

三 オプトアウト措置に係る利用者の求めを受け付ける方法

四 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容

五 情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報(法第二十七条の十二第一号及び第二号に掲げるものを除く。)の内容

六 前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称

七 第五号に規定する情報の利用目的 

 

(3)義務付け対象者(誰が)

誰がやらないといけないか:電気通信事業者又は総務省令で定められた第三号事業を営む者

 

電気通信事業者

電気通信事業者とは、電気通信事業を営むことについて、電気通信事業法の登録を受けた者及び届出をした者(電気通信事業法2条5号)をいいます。

自社が登録又は届出をしているかどうかはわかると思いますが、怖いのは、実は登録又は届出が必要だったけどしていなかったという場合ですかね。「電気通信事業参入マニュアル[追補版]」https://www.soumu.go.jp/main_content/000477428.pdf に詳しい説明があるので、そちらを見ていただければよいと思います。

出典:同マニュアル15P

その他、ネットカフェ(電気通信事業参入マニュアル[追補版]17P)、転送電話サービス(同17P)、電話等受付自動代行サービス (同18P)、IoTサービス(通話機能付きドアベル、見守りカメラ等)(同19P)、マッチングサイト/アプリ(出会い系サイトを含む)(同27P)、国外サーバを用いた電子メールやチャット等 (同27P)、Webサイト上のグリーティングカードの運営(同27P) 、電子委任状媒介サービス(同27P)、電子メールマガジンの媒介(SMSを利用して送信するものを含む)(同28P)、

 

電気通信事業法2条
一 電気通信 有線、無線その他の電磁的方式により、符号、音響又は影像を送り、伝え、又は受けることをいう。
二 電気通信設備 電気通信を行うための機械、器具、線路その他の電気的設備をいう。
三 電気通信役務 電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいう。
四 電気通信事業 電気通信役務を他人の需要に応ずるために提供する事業放送法(昭和二十五年法律第百三十二号)第百十八条第一項に規定する放送局設備供給役務に係る事業を除く。)をいう。
五 電気通信事業者 電気通信事業を営むことについて、第九条の登録を受けた者及び第十六条第一項(同条第二項の規定により読み替えて適用する場合を含む。)の規定による届出をした者をいう。

 

総務省令で定められた第3号事業を営む者

問題は、こちらの「総務省令で定められた第3号事業を営む者」ですね。
機能を利用するユーザーが少ないことは、「利用者の利益に及ぼす影響が少なくない電気通信役務」であるか否かの判断に影響しません。

 

※ 施行規則の除外規定、要精査!

 

  • (1)利用者間のメッセージ媒介等(同条第1号)

    例)メールサービス、ダイレクトメッセージサービス、参加者を限定した(宛先を指定した)会議が可能なweb会議システム(総務省FAQ問2-1)、またこういったサービスだけでなく、他のサービスを提供する中でユーザ同士のチャット、メッセージ機能を設けている例(総務省FAQ問2-5

  • (2)SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等(同条第2号)

    例)SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、ライブストリーミングサービス(総務省FAQ問2-2)、ユーザー同士で物品やサービスの売買ができるマッチングプラットフォーム(総務省FAQ問2-5)、オンラインゲーム・オンライン教育(総務省FAQ問2-7)、インターネット経由で複数の店舗(グループ企業であっても該当)でネットショッピングを行うことができる又は複数の出品者の商品等を購入できる「場」を提供するサービス(総務省FAQ問1-14)、オンラインストレージ・ファイル転送 (電気通信事業参入マニュアル[追補版]22P。なお同マニュアルでは2号かどうかの記載はなく、該当の旨の記載のみ)、ソフトウェアのオンライン提供 (SaaSASP)(電気通信事業参入マニュアル[追補版]23P。なお同マニュアルでは2号かどうかの記載はなく、該当の旨の記載のみ)

  • (3)オンライン検索サービス(同条第3号)
    例)オンライン検索サービス(総務省FAQ問2-3
  • (4)ニュース配信、気象情報配信、動画配信、地図等の各種情報のオンライン提供(同条第4号)

    例)特定分野に限った検索サービス(総務省FAQ問2-3)、乗換案内サービス総務省FAQ問2-4)、就職・転職・アルバイト等の情報提供サービス(利用者が登録した情報を応募先へ送信する機能を含む)(総務省FAQ問2-6)、コーポレートサイト等でもニュース配信があれば該当(総務省FAQ問2-11)、IoTサービス(物品位置管理、混雑状況検知システム等)(電気通信事業参入マニュアル[追補版]19P。なお同マニュアルでは4号かどうかの記載はなく、該当の旨の記載のみ)、Webサーバ等用のサーバ貸与(レンタルサーバ、VPS3、PaaS) (電気通信事業参入マニュアル[追補版]21P。なお同マニュアルでは4号かどうかの記載はなく、該当の旨の記載のみ)

電気通信事業法27条の12、164条1項3号、電気通信事業法施行規則27条の2の27)

https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html#qa1-9

 

該当しない例)
  • 会社案内のWebページ自己の情報発信のために運営していると考えられるため、「電気通信事業」には該当しないため、同じウェブサイト内の当該ページにおいて外部送信が行われていたとしても、外部送信規律に対応いただく必要はありません。)(総務省FAQ問2-11)
  • 自社お問合せ用等のメールフォーム・チャットボット(電気通信事業参入マニュアル[追補版]25P)
  • 自社用メールマガジンの発行(自己の需要に応ずるもの。電気通信事業参入マニュアル[追補版]28P)
  •  小売業者がウェブサイトを開設して商品販売を行う場合(本来業務である小売業の遂行の手段として電気通信を用いているに過ぎず、自己の需要のために電気通信サービスを提供しているため、「電気通信事業」に該当せず、外部送信規律も適用されません。)(総務省FAQ問1-12)
    なお、オンライン限定の小売業者であっても、非該当(総務省FAQ問1-13)
  • ネットバンキングやネット証券(ネット専業も含む)(電気通信事業参入マニュアル[追補版]24P)
  • サーバー間連携システム(サーバー間でのみデータを連携するシステム。RPA(Robotic Process Automation)等)(総務省FAQ問2-8)
  • 外部インターネットサイトやイントラネットサイトではない、閉域LANで構築された利用者も限定されている業務システム(総務省FAQ問2-9)
  • サービスの開発環境や検証環境(企業等が業務に関して自らが当該環境を設置・運営しており、自己の通信のために行われるものであるため、「電気通信事業」に該当しません。したがって、外部送信規律の対象にもなりません。)(総務省FAQ問2-10)
  • 企業等における内線電話やLAN(自己の通信のために行うから。電気通信事業参入マニュアル[追補版]16P)
  • ホテルインターネット、シェアオフィス等のインターネット(宿泊サービスに付随して端末等の提供を行われるものであり、電気通信役務の提供が独立した事業として把握できない。電気通信事業参入マニュアル[追補版]17P)
  • ホテル電話(電気通信事業参入マニュアル[追補版]17P)

 

電気通信事業法から抜粋

(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、

 

(定義)
第二条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
七 利用者 次のイ又はロに掲げる者をいう。
イ 電気通信事業者又は第百六十四条第一項第三号に掲げる電気通信事業(以下「第三号事業」という。)を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準ずる者として総務省令で定める者

 

(適用除外等)
第百六十四条 この法律の規定は、次に掲げる電気通信事業については、適用しない。
三 電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務次に掲げる電気通信役務

ロ及びハに掲げる電気通信役務にあつては、当該電気通信役務を提供する者として総務大臣総務省令で定めるところにより指定する者により提供されるものに限る。)

を除く。)

電気通信回線設備を設置することなく提供する電気通信事業
イ ドメイン電気通信役務
ロ 検索情報電気通信役務
ハ 媒介相当電気通信役務

2 この条において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 ドメイン電気通信役務 入力されたドメインの一部又は全部に対応してアイ・ピー・アドレスを出力する機能を有する電気通信設備電気通信事業者の通信の用に供する電気通信役務のうち、確実かつ安定的な提供を確保する必要があるものとして総務省令で定めるものをいう。
二 ドメイン名 インターネットにおいて電気通信事業者が受信の場所にある電気通信設備を識別するために使用する番号、記号その他の符号のうち、アイ・ピー・アドレスに代わつて使用されるものとして総務省令で定めるものをいう。
三 アイ・ピー・アドレス インターネットにおいて電気通信事業者が受信の場所にある電気通信設備を識別するために使用する番号、記号その他の符号のうち、当該電気通信設備に固有のものとして総務省令で定めるものをいう。
四 検索情報電気通信役務 入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して当該検索情報が記録されたウェブページのドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務のうち、その内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務
五 媒介相当電気通信役務 その記録媒体(当該記録媒体に記録された情報が不特定の者に送信されるものに限る。)に情報を記録し又はその送信装置(当該送信装置に入力された情報が不特定の者に送信されるものに限る。)に情報を入力する電気通信を不特定の者から受信しこれにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務のうち、その内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務
3 第一項の規定にかかわらず、第三条及び第四条の規定は同項各号に掲げる電気通信事業を営む者の取扱中に係る通信について、第二十七条の十二、第二十九条第二項(第四号に係る部分に限る。)、第百五十七条の二、第百六十六条第一項、第百六十七条の二、第百八十六条(第三号中第二十九条第二項に係る部分に限る。)及び第百八十八条(第十七号中第百六十六条第一項に係る部分に限る。)の規定は第三号事業を営む者について、それぞれ適用する。

 

電気通信事業法施行規則

法第二十七条の十二の総務省令で定める電気通信役務は、次の各号のいずれかに該当する電気通信役務であつて、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものとする。

他人の通信を媒介する電気通信役務

二 その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務

入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。次条第三項第一号において同じ。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備他人の通信の用に供する電気通信役務

前号に掲げるもののほか不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務であつて、不特定の利用者による情報の閲覧に供することを目的とするもの 

 

ドメイン電気通信役務等の範囲)
第五十九条の三 法第百六十四条第二項第一号の総務省令で定める電気通信役務は、次に掲げるものとする。
一 ドメイン名の一部(ドメイン名の末尾を含むものに限る。以下同じ。)の前に任意の文字を付し、新たなドメイン名として使用する権利を有する電気通信事業者が、当該ドメイン名の一部に関して提供する電気通信役務であつて、次に掲げるもの
イ 国、地方公共団体その他これらに類するものの名称を表す文字及びドットの記号の組合せによるドメイン名の一部として総務大臣が別に告示するものに関して提供するもの
ロ 契約数が三十万以上のもの(イに掲げるものを除く。)
二 前号に規定する電気通信役務以外の電気通信役務(他人の電気通信設備に記録された情報の複製により、入力されたドメイン名の一部又は全部に対応してアイ・ピー・アドレスを出力する機能を有する電気通信設備を用いるものを除く。)であつて、契約数が三十万以上のもの
2 法第百六十四条第二項第二号の総務省令で定める番号、記号その他の符号は、文字及びドットの記号の組合せを末尾とする文字、数字又は記号の組合せとする。
3 法第百六十四条第二項第三号の総務省令で定める番号、記号その他の符号は、次のいずれかに掲げるものとする。
一 数字及びドットの記号の組合せであつて、三十二ビットの値を表すもの
二 数字(数字に代わつて用いられる文字を含む。)及びコロンの記号の組合せであつて、百二十八ビットの値を表すもの
4 法第百六十四条第二項第四号の総務省で定める電気通信役務は、次の各号のいずれにも該当するものとする。
一 第二十二条の二の二十七第三号に掲げる電気通信役務であること。
二 前年度における一月当たりの前号に規定する電気通信役務の提供を受けた利用者(法第二条第七号イに掲げる者に限り、他の電気通信事業者に卸電気通信役務を提供する場合にあつては、当該他の電気通信事業者が当該卸電気通信役務を利用して提供する電気通信役務の利用者(同条第七号イに掲げる者に限る。)を含む。次項第二号において同じ。)の数の平均が一千万以上であること。
5 法第百六十四条第二項第五号の総務省令で定める電気通信役務は、次の各号のいずれにも該当するものとする。
一 その記録媒体(当該記録媒体に記録された情報が不特定の者に送信されるものに限る。)に情報商品、役務又は権利に関する情報を除く。以下この号において同じ。)を記録し、又はその送信装置(当該送信装置に入力された情報が不特定の者に送信されるものに限る。)に情報を入力する電気通信を不特定の者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の者の求めに応じて送信する機能を有する電気通信設備他人の通信の用に供する電気通信役務であつて、主として不特定の利用者間の交流を目的としたもの(当該電気通信役務以外の電気通信役務に付随的に提供されるものを除く。)であること。
二 前年度における一月当たりの前号に規定する電気通信役務の提供を受けた利用者の数の平均が一千万以上であること。

 

 

(4)義務付けられない例外(やらないでいい場合)

①必要な情報の送信用

以下の情報を必要の範囲内において送信する場合に限ります(電気通信事業法27条の2の12第1項1号・電気通信事業法施行規則22条の2の30)

  • 真に必要な情報
     当該電気通信役務電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供すること)において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報

  • ユーザが入力した情報の再表示のために必要な情報
    当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

  • ユーザが入力した認証情報の再表示のために必要な情報

    当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

  • 不正検知等に必要な情報
    当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報

  • 負荷軽減等運用のために必要な情報
    当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報 

Appleを例にすると、カテゴリー1 - Strictly Necessary Cookies (不可欠なCookie)などでしょうかね。カテゴリー3 - Functionality Cookie (機能性Cookie)も一部入りますかね。

 

Strictly Necessary CookiesとFunctionality CookieICOガイドラインに従っている分類ですね。

www.apple.com

 

cyberlawissues.hatenablog.com

電気通信事業法27条の2の12第1項1号

当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報

電気通信事業法施行規則

(利用者が電気通信役務を利用する際に送信をすることが必要な情報)

第二十二条の二の三十 法第二十七条の十二第一号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。

当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報

二 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

三 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

四 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報

五 当該電気通信役務の提供に係る電気通信設備負荷を軽減させるために必要な情報その他の当該電気通信設備適切な運用のために必要な情報 

 

②1st Party Cookieに保存されたID

その事業者が利用者を識別するためにその事業者自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID)も、例外となります。

 

電気通信事業法27条の2の12第1項2号

二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備送信先として送信されることとなるもの

 

(5)特定利用者情報

本ブログでは割愛しますが、特定利用者情報を適正に取り扱うべき電気通信事業者に指定されると、さらに規制が強くなります。

 

電気通信事業法

(特定利用者情報を適正に取り扱うべき電気通信事業者の指定)
第二十七条の五 総務大臣は、総務省令で定めるところにより、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者を、特定利用者情報(当該電気通信役務に関して取得する利用者に関する情報であつて次に掲げるものをいう。以下同じ。)を適正に取り扱うべき電気通信事業者として指定することができる。
一 通信の秘密に該当する情報
二 利用者(第二条第七号イに掲げる者に限る。)を識別することができる情報であつて総務省令で定めるもの(前号に掲げるものを除く。)
    
(情報取扱規程)
第二十七条の六 前条の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の適正な取扱いを確保するため、次に掲げる事項に関する規程(以下「情報取扱規程」という。)を定め、当該指定の日から三月以内に、総務大臣に届け出なければならない。
一 特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する事項
二 特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する事項
三 第二十七条の八第一項に規定する情報取扱方針の策定及び公表に関する事項
四 第二十七条の九の規定による評価に関する事項
五 その他総務省令で定める事項
2 前条の規定により指定された電気通信事業者は、情報取扱規程を変更したときは、遅滞なく、変更した事項を総務大臣に届け出なければならない。
    
(情報取扱規程の変更命令等)
第二十七条の七 総務大臣は、特定利用者情報の適正な取扱いを確保するため必要があると認めるときは、第二十七条の五の規定により指定された電気通信事業者に対し、当該電気通信事業者が前条各項の規定により届け出た情報取扱規程を変更すべきことを命ずることができる。
2 総務大臣は、第二十七条の五の規定により指定された電気通信事業者が情報取扱規程を遵守していないと認めるときは、当該電気通信事業者に対し、利用者の利益を保護するために必要な限度において、情報取扱規程を遵守すべきことを命ずることができる。
    
(情報取扱方針)
第二十七条の八 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の取扱いの透明性を確保するため、次に掲げる事項に関する方針(次項及び次条第二項において「情報取扱方針」という。)を定め、当該指定の日から三月以内に、公表しなければならない。
一 取得する特定利用者情報の内容に関する事項
二 特定利用者情報の利用の目的及び方法に関する事項
三 特定利用者情報の安全管理の方法に関する事項
四 利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項
五 その他総務省令で定める事項
2 第二十七条の五の規定により指定された電気通信事業者は、情報取扱方針を変更したときは、遅滞なく、これを公表しなければならない。
    
(特定利用者情報の取扱状況の評価等)
第二十七条の九 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、毎事業年度、特定利用者情報の取扱いの状況について評価を実施しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、前項の規定による評価の結果に基づき、必要があると認めるときは、情報取扱規程又は情報取扱方針を変更しなければならない。
    
(特定利用者情報統括管理者)
第二十七条の十 第二十七条の五の規定により指定された電気通信事業者は、第二十七条の六第一項各号に掲げる事項に関する業務を統括管理させるため、当該指定の日から三月以内に、事業運営上の重要な決定に参画する管理的地位にあり、かつ、利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者のうちから、総務省令で定めるところにより、特定利用者情報統括管理者を選任しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、特定利用者情報統括管理者を選任し、又は解任したときは、総務省令で定めるところにより、遅滞なく、その旨を総務大臣に届け出なければならない。
    
(特定利用者情報統括管理者等の義務)
第二十七条の十一 特定利用者情報統括管理者は、誠実にその職務を行わなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、利用者の利益の保護に関し、特定利用者情報統括管理者のその職務を行う上での意見を尊重しなければならない。

 

電気通信事業法施行規則

(利用者の利益に及ぼす影響が大きい電気通信役務

第二十二条の二の二十  法第二十七条の五の総務省令で定める電気通信役務は、電気通信事業報告規則(昭和六十三年郵政省令第四十六号)第二条第三項の表の報告対象役務の欄に掲げる電気通信役務ごとに次の各号に掲げる電気通信役務の区分に応じ、当該各号に定めるものとする。

一 その提供の開始時において対価としての料金の支払を要しない電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者(法第二条第七号イに掲げる者に限り、他の電気通信事業者に卸電気通信役務を提供する場合にあつては、当該他の電気通信事業者が当該卸電気通信役務を利用して提供する電気通信役務の利用者(同号イに掲げる者に限る。)を含む。次号において同じ。)の数の平均が一千万以上であるもの

二 その提供の開始時において対価としての料金の支払を要する電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者の数の平均が五百万以上であるもの

 

(特定利用者情報)

第二十二条の二の二十一  法第二十七条の五第二号の総務省令で定める情報は、次に掲げる情報の集合物を構成する情報とする。

一 特定の利用者(法第二条第七号イに掲げる者に限る。次号において同じ。)を識別することができる情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、利用者を識別することができる情報を一定の規則に従つて整理することにより特定の利用者を識別することができる情報を容易に検索することができるように体系的に構成した情報の集合物であつて、目次、索引その他検索を容易にするためのものを有するもの 

 

3.法改正関係

(1)資料

(2)感想

本来は、個人情報保護法でかけるべき規制だと思う。そして、電気通信事業法でいえば、プラットフォーマー規制をがっつりやってほしいなあと思う。個人情報保護法の外国取扱いの安全管理措置とか、外国提供規制のところ、プラットフォーマーにこそ情報公開義務を課してほしいなあ。ただ、なにぶん、プラットフォーマー規制はあまりリサーチできていないため、ただの素人的感想しか述べられないレベルです。

 

今回の法改正実務についての感想としては、法27条の12は、かなり具体的に規制内容を規定していて、ふんわりじゃなくて、丁寧に規定しているなあと思う。この条文、起案するの、大変そう。率直に、すごいと思う。法文としては、丁寧だし、読みやすいと思うけど、一般人や事業者目線からはあまりそうはとられなさそうなのに、やるべきことをちゃんとやっていて、FAQもよくできているし、総務省、これは大変な作業だったのでは。

 

話はずれるけど、最近、政策評価って大事だなと思う。今の政策評価だと、じっくり評価できないようにも思うけど、最近の政策を見ていると、やっつけで論理的に破綻しているものから、きっちり検討されているものまでさまざまだし、あとは政策(Cookieでいえば、規制するか否か、どのような規制を設けるか)だけじゃなくて、立法作業(今回で言えば規定づくり)とかガイドライン策定作業もやっつけ的なものからきっちりしたものまでさまざまなので、そういう実務面でも、きちんとまじめにやっている公務員がちゃんと報われ、やっつけで適当に政治家の言うことにだけイエスマン(いや、イエスパーソンというべきか)になって、むちゃくちゃな政策とかを恥ずかしげもなく、適当にやっていて、何の知識・努力もないのになぜかいばりまくるような公務員が、淘汰されるよう、適切な政策評価がなされてほしいと思う。どうすればそういう政策評価ができるか、考えていきたいけど、いいアイディアがあまり思いつかない。あと政治家こそ、本当はそういう評価にさらされるべきで、選挙の前とかに、そういう評価結果が簡単に全国民に見られるようになると良いと思う。

*1:すべてのポップアップがGDPR上適法な同意取得となっているかといえば、怪しい部分もあると思いますが…

*2:番号法19条1号「その他の政令で定める法律の規定」とあり、番号法施行令で法律に例示列挙されている事項も繰り返し政令中でも規定しているので、それが法制ルールだったように思う。