自社のウェブサイトやアプリにアクセス解析ツールや広告配信ツールを導入している場合、改正電気通信事業法の「外部送信規律」への対応が必要になる可能性があります。しかし、「そもそも自社に関係する法律なのか」「何をすればよいのかわからない」という声は、ウェブ担当者のあいだで少なくありません 。
本記事では、改正電気通信事業法の概要から、外部送信規律の対象範囲・対象事業者の判断基準、そして具体的な対応方法まで、一つひとつわかりやすく解説します。自社への影響を正確に把握し、必要な対応をスムーズに進めるためのガイドとしてお役立てください。
目次
改正電気通信事業法とは、電気通信サービス利用者の利益保護を強化した2023年施行の法改正のこと
改正電気通信事業法とは、電気通信サービスの適正な提供と利用者の利益保護を目的として、2022年6月に改正・公布され、2023年6月16日に施行された法律です。もともと電気通信事業法は、電話やインターネット接続などの電気通信事業者を規制する法律として位置づけられていましたが、近年のオンラインサービスの多様化を受けて、規制の対象範囲が大きく拡張されました。
改正の背景には、ウェブサイトやアプリの利用時に、タグやSDKを通じて利用者の意思によらず、閲覧履歴などの情報が外部の第三者に送信される状況が広がっていたことがあります。こうした状況を受け、利用者が安心してサービスを利用できる環境を整備するために、今回の改正が行われました。
電気通信事業法の改正ポイント
今回の改正は、ウェブサイトやアプリを運営する事業者に直接影響する内容を含んでいます。改正のポイントは大きく2点あります。
1.特定利用者情報の取り扱い義務の新設
月間利用者数が一定規模以上(無料サービスは1,000万人以上、有料サービスは500万人以上)の大規模プラットフォーム事業者に対して、保有する利用者情報の管理体制を整備し、情報取扱規程の届出・公表・定期的な評価が新たに義務付けられました。大手SNSや検索サービスなどが主な対象となります。
2.外部送信規律の新設
今回の改正において特に注目されているのが、新たに規定された「外部送信規律」と呼ばれる仕組みです。ウェブサイトやアプリにおいて、利用者の端末から外部の第三者に情報が送信されるプログラム(タグ・SDK等)を設置する場合、事業者は利用者に対してあらかじめ一定の事項を通知・公表などの対応をしなければならないという義務です。対象となる事業者の範囲が広く、次章以降で詳しく解説します。
外部送信規律とは、対象事業者が利用者に対して通知・公表等の対応を行う義務のこと
外部送信規律とは、改正電気通信事業法第27条の12に基づく規律です。総務省が定めるガイドラインでは、最低限通知・公表すべき内容として、次の項目が示されています。
最低限通知・公表すべき内容
- 送信される利用者に関する情報の内容(どのような情報が)
- 情報の送信先となる事業者の氏名または名称(誰に対して)
- 電気通信事業者(ウェブサイト・アプリ運営者)の利用目的(何の目的で送信し)
- 情報の送信先となる者の利用目的(送信先でどのように使われるか)
例えば、ウェブサイトにGoogle Analyticsを導入している場合、「アクセス解析の目的で、Google LLCに対してIPアドレス・閲覧ページ情報等を送信しており、Googleはその情報を〇〇の目的で利用する」という内容を、利用者が確認できる形で示す必要があります。
ただし、目的欄を単に「広告」「マーケティング」と記載するだけでは利用者への説明として十分とはいえません。総務省のワーキンググループでも、利用目的の記載は具体性を持たせることが求められており、送信元・送信先それぞれでの用途を明確に示すことが重要です。
Facebookの「いいね!」ボタン等のソーシャルプラグインや、AdSense等の広告配信ツール、マーケティングオートメーションやABテストツールなどをウェブサイトやアプリに組み込んでいる場合は、同様に一連の情報を掲載する必要があります。
Cookie規制だけじゃない、外部送信規律適用の範囲
外部送信規律適用の範囲は「Cookie(クッキー)の規制」と受け取られることがありますが、実際の対象はCookieに限りません。
外部送信規律が対象とするのは、利用者の端末から外部に送信される「利用者に関する情報」全般です。Cookieを使った情報送信はもちろん対象になりますが、以下のような情報も含まれます。
外部送信規律の対象となる情報
- IPアドレス・デバイスID・ブラウザのフィンガープリント情報
- 広告識別子(IDFA・GAIDなど)
- 閲覧ページのURL・検索キーワード
- 共通IDソリューションによる識別情報
- Topics API や Interest Group など、サードパーティーCookieに代わる新しいトラッキング手法で用いられる情報
サードパーティーCookieの廃止が進むなか、フィンガープリントや共通IDを活用する手法が注目されています。しかし、外部送信規律はそうした代替技術にも対応した規律として設計されており、手法を変えさえすれば規制から外れるという考え方は通用しません。
コンテキストターゲティングのようにユーザーのトラッキングを行わないとされる広告手法であっても、ウェブサイト側から広告サーバーに利用者の閲覧情報が送信されている場合は対象となります。特定の個人を識別できない情報であっても、利用者に関する情報として外部に送信される限りは対象とされているからです。総務省の公表する外部送信規律についてのFAQにおいても、この点が明示されています。
データで見る外部送信の実態
外部送信の範囲は想像以上に広い場合があります。株式会社DataSignの調査では、国内大手ニュースサイトで119個の外部サービスへの送信が検出され、1回のアクセスで971回ものリクエストが発生していた事例もあります。まずは自社サイトでどのような外部送信が発生しているかを把握することが、対応の第一歩となります。
改正電気通信事業法の外部送信規律の対象サービス
改正電気通信事業法の外部送信規律は、事業者が運営するサービス(ウェブサイト・アプリ)ごとに、外部送信が発生しているかどうかで対応の要否が変わります。同じ企業が運営するサービスであっても、サービスAは対象となり、サービスBは対象外というケースが存在します。
総務省は、外部送信規律の対象となる電気通信役務(サービス)を以下の4区分で示しています。
外部送信規律の対象となるサービス区分
- メールサービス、ダイレクトメッセージサービス、ウェブ会議システム等
- SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービス等
- オンライン検索サービス
- 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する各種情報のオンライン提供サービス
1〜3については比較的判断しやすいですが、4の「各種情報のオンライン提供サービス」は対象範囲が広く、解釈が難しい区分です。以下では、対象となる例と対象とならない例に分けて解説します。
外部送信規律の対象となるサービス例
「各種情報のオンライン提供サービス」に該当すると考えられる主な例は以下のとおりです。
オンラインメディア・ニュースサイト
不特定多数の利用者に向けて情報を発信するオンラインメディアや、まとめサイト・比較サイト等は対象となります。
他者の情報を発信するオウンドメディア・ブログ
企業が運営するブログやコラムサイトであっても、他者の情報(業界動向・商品比較・専門知識など)を発信している場合は対象となります。総務省でも「金融事業者の例では、運用のコツや狙い目の銘柄等を紹介するようなウェブサイトが該当すると考えられる」との見解が示されています。サービス本体(例:株式取引システム)は対象外であっても、集客コンテンツを発信するオウンドメディアは対象となる点に注意が必要です。
SaaS・オンラインサービス
Salesforceや勤怠管理システムのように、サービス自体がインターネット経由で提供されるSaaS事業者も対象となります。
広告・アフィリエイトを利用した個人ブログ・サイト
個人が利益を上げる目的で広告やアフィリエイトプログラムを利用して運営する情報提供サイトも対象に含まれます。実際に利益が出ているかどうかではなく、「利益を上げようとする目的」があるかどうかで判断されます。
外部送信規律の対象とならないサービス例
以下のサービスは、原則として対象外と考えられます。
自社の情報のみを掲載するコーポレートサイト
会社概要・採用情報・IR情報など、自社に関する情報のみを掲載しているコーポレートサイトは、原則として対象外です。ただし、業界動向や提携先の情報など「他者の情報提供」に該当するコンテンツを掲載し、その情報提供自体に事業性があると判断される場合は対象となる可能性があります。
利益を得る目的のない個人ブログ
趣味で運営しており、広告やアフィリエイトなどによる収益化を目的としていない個人ブログは対象外です。
自社商品のみを扱い他者情報を掲載しないECサイト
自社が仕入れた商品だけを販売し、他者の情報を掲載していない自社ECサイトは対象外となります。ただし、他者の商品情報を掲載するECモールやマーケットプレイス形式は対象となります。
対象かどうかの判断に迷う場合は、「不特定の利用者の需要に応じて情報を提供しているか」「その情報提供に事業性(収益目的)があるか」という2つの観点から確認するとよいでしょう。
改正電気通信事業法の外部送信規律への対応方法
外部送信規律に対応するために、事業者が取れる手段は大きく4つです。「通知」「公表」「利用者からの同意取得」「オプトアウト措置」のいずれかを選択し、利用者に対して確認の機会を提供することが求められます。ただし、どの方法を選択した場合においても、前述した4項目(送信情報の内容・送信先名称・運営者の利用目的・送信先の利用目的)を利用者に提示することが前提となります。
利用者へ通知または公表する
最も基本的な対応方法が「通知または公表(容易に知り得る状態に置くこと)」です。
「通知」とは、ウェブサイトやアプリにアクセスした利用者に対して、ポップアップ等の形式で必要事項を画面上に表示することを指します。利用者が内容を確認できるページへ誘導するリンクとともに表示する方法が一般的です。
「容易に知り得る状態に置く(公表)」とは、フッターや設定画面などの目立つ場所に「Cookieポリシー」「情報の外部送信について」などのリンクを設置し、必要事項を記載したページを常時参照できる状態にしておくことを指します。
いずれの方法においても、総務省のガイドラインでは以下の点に配慮することが求められています。
- 日本語で記載すること
- 専門用語をできるだけ使わないこと
- 適切な表示サイズで記載すること
- 閲覧・縮小による確認の妨げにならないようにすること
利用者から同意を取得する
外部送信規律では、通知・公表に加えて、利用者から明示的な同意を得る方法も認められています。
同意取得は、いわゆる「Cookie同意バナー」を表示し、利用者が能動的に「同意する」を選択した場合にのみ外部送信を行う仕組みです。EUの個人データ保護法「GDPR(一般データ保護規則)」対応として、欧州向けに実施している場合と同様のアプローチといえます。
同意取得を行う場合も、同意を求める前に前述の必要事項を明示する必要があります。「同意する」ボタンだけを表示し、詳細を省略するような実装は適切ではありません。
利用者がいつでも止められるオプトアウト措置を提供する
「オプトアウト措置」とは、初期状態では外部送信を行いつつも、利用者が望む場合にいつでも外部送信を停止できる手段を提供することです。
オプトアウト措置を採用する場合、以下の7項目を利用者に提示する必要があります。
利用者に提示する条件
- オプトアウトを設けていること
- オプトアウトにより送信と利用のどちらを停止できるか
- オプトアウトの申し出の受付方法
- オプトアウトを適用した場合にサービス利用が制限される場合はその内容
- 送信される利用者に関する情報の内容
- 情報の送信先となる者の氏名または名称
- 情報の利用目的(運営者・送信先それぞれ)
通知・公表・同意取得・オプトアウトのいずれを選択するかは、送信する情報の内容や利用目的を踏まえて判断することが重要です。
CMPツールで、改正電気通信事業法の外部送信規律を効率化しましょう
通知・公表、同意取得、オプトアウト措置のいずれの方法を選択する場合も、対象となる外部送信ツールの洗い出しから、利用者への提示内容の作成、実装・運用まで、自社で対応するには相応の工数がかかります。また、外部送信規律は今後も運用の見直しが想定されるため、継続的な管理体制の整備も必要です。
こうした対応を効率的に進めるうえで有効なのが、CMPツール(同意管理プラットフォーム)の活用です。
CMPツールとは、ウェブサイト上でのCookieや外部送信に関する同意管理を一元化するためのツールです。利用者への通知・公表、同意取得、オプトアウト措置のいずれにも対応できる機能を備えており、対応の実装コストを削減できます。
DataSignが提供するwebtru(ウェブトゥルー)は、日本の法令(改正電気通信事業法・個人情報保護法)に加え、GDPR・CPRA(CCPA)など海外の法規制にも準拠したCMPツールです。ウェブサイトに設置するツールを一元管理し、外部送信規律に必要な通知・公表のページ作成から、同意の管理・表示制御まで対応しています。ぜひwebtruの機能や対応範囲についてご確認ください。
電気通信サービスの適正な提供と利用者の利益保護を目的として、2022年6月に改正・公布され、2023年6月16日に施行された法律です。
Cookieは外部送信規律の対象に含まれますが、規制はCookieだけにとどまりません。閲覧履歴・IPアドレス・デバイスフィンガープリントなど、利用者の端末から外部に送信される情報全般が対象です。
対象は企業単位ではなく、サービス(ウェブサイト・アプリ)単位で判断されます。オウンドメディアやブログで集客を行っている企業、SaaS事業者、広告収益を目的とした個人ブログなども対象となる場合があります。
