“改正電気通信事業法” Web担当者がやることをわかりやすく解説

改正電気通信事業法は何故Web担当者も対応が必要？

電気通信事業法の目的は以下の通りとされています。

 

上記の目的のため、Cookieなどによるオンライントラッキングの問題や、2021年に問題となったLINEの中国への業務委託問題など、インターネット利用者の利益の保護に関わる事案に対応するために改正が行われ、2023年6月16日に施行されます。

そのため、Web担当者もCookieなどによるオンライントラッキングの問題に対応する「外部送信規律」と呼ばれる、「改正電気通信事業法第27条の12」部分に対応が必要なのです。今回はこの「外部送信規制」に焦点を当てて解説します。

外部送信規制とは？

「外部送信規律」は前述のとおり、主にCookieなどによるオンライントラッキングの問題に対応するため、改正電気通信事業法第27条の12に規定されており、以下のような条文があります。

この条文と、すでに公布されている総務省令や、総務省が公開している外部送信規律についての説明（総務省：電気通信消費者情報コーナー）の内容を考慮しつつ、かみ砕いて表現すると、以下のような内容になります。

ウェブサイトやアプリにおいて、利用者の意思によらず第三者に利用者に関する情報を送信している場合、送信先毎に以下の➀～④を「公表」または「通知」する必要があります。

1. 何の目的で
2. どんな情報を
3. 誰に対して送信し
4. 送信先では何に使われるか

 

 

たとえば、多くのウェブサイトやアプリで利用されている「Google アナリティクス」もその対象です。ウェブサイトやアプリに「Google アナリティクス」のタグやSDK（Software Development Kit）を組み込むと、利用者の端末からGoogle（第三者）に対して情報の送信が発生するためです。

この場合、そのウェブサイトやアプリでは以下の情報を「公表」または「通知」する必要があります。

1. 「Google アナリティクス」は何の目的で導入したか
2. 送信先はどこか（この場合：Google LLC）
3. Googleに送信される情報はどのような情報か
4. Googleは受け取った情報をどのように利用するか

その他にも、Facebookの「いいね！」ボタンなどのソーシャルプラグインや、AdSenseなどの広告配信サービス、マーケティングオートメーションやABテストツールなどをウェブサイトやアプリに組み込んでいる場合は、同様に一連の情報を掲載する必要があります。

改正電気通信事業法（外部送信規律）に対応するためにできる4つのこと

先述したように、ウェブサイトやアプリにおいて、利用者の意思によらず第三者に利用者に関する情報を送信している場合、送信先毎に以下の➀～④を「公表」または「通知」する必要があります。

1. 何の目的で
2. どんな情報を
3. 誰に対して送信し
4. 送信先では何に使われるか

これらに対してウェブサイトやアプリが改正電気通信事業法に対応するためには、以下の4つの方法が示されています。

1. 公表
2. 通知
3. オプトアウト
4. 同意

それぞれの項目で考えられる具体的な対応を説明します。

1. 公表

• ウェブサイトの場合
  プライバシーポリシーと同じようにウェブサイトのフッターに➀～④が記載されたページへのリンクを掲載しましょう。

• アプリの場合
  アプリ起動時に表示されるスプラッシュ画面に①～④の内容が記載されたページへのリンクを掲載しましょう。

2. 通知

ウェブサイト訪問時、もしくはアプリ起動時に①～④の内容が記載されたページへのリンクをポップアップして表示しましょう。

3. オプトアウト

オプトアウト（情報の送信の停止や送信された情報の利用停止）は法律上必須ではありませんが、①～④内容の「公表」や「通知」を行ったうえで、オプトアウト措置を講じることもできます。

その場合、以下も記載しましょう。

• どのようにオプトアウトするのか
• 情報の送信の停止か、送信された情報の利用停止、どちらになるのか
• オプトアウトしたらサービスの利用制限はあるのか（ある場合はその内容）

4. 同意

利用者からの「同意」は法律上必須ではありませんが、①～④の内容を示したうえで、同意の取得を行うこともできます。

その場合、利用者が能動的に同意を行う方法になるよう、注意しましょう。同意するためのチェックボックスにあらかじめチェックされているような同意取得方法は認められず、同意ボタンしか表示されていないなどの対応も、有効な同意として認められない可能性があります。

対応しなければいけない事業者は？
オウンドメディアやSaaSも対象、ECも油断は禁物

まず、対象となるのは事業者ではなく、ウェブサイトやアプリなどのサービスなので注意が必要です。同じ事業者が提供するサービスでも「サービスA」は対象、「サービスB」は非対象、ということもあり得ます。

その上で、総務省からは、以下のサービス区分が示されています。

1. メールサービス、ダイレクトメッセージサービス、ウェブ会議システムなど
2. SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービスなど
3. オンライン検索サービス
4. 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス

特に、「4. 各種情報のオンライン提供サービス」はオンラインメディアを中心に広い範囲が対象です。企業ウェブサイトでも、オウンドメディアやブログなどで集客を行っている場合には、対象になる可能性があります。

総務省からは、金融事業者を例に、「運用のコツや狙い目の銘柄等を紹介するようなウェブサイトが該当すると考えられる」、との見解も示され、特にオウンドメディアについては、自社の内容しか含まれないコンテンツしか提供していない場合を除いて、対象となると考えたほうが良いでしょう。

また、「電気通信事業参入マニュアル（追補版）ガイドブック」によると、以下の場合も該当します。

• 自社の商品やサービス自体がインターネット経由で提供される場合
• 個人が個人事業主として利益を上げる目的で、広告やアフィリエイトプログラムなどを利用し、各種情報提供サイトなどを運営する場合

つまり、SaaS（Salesforceなど）や個人ブロガーなども「各種情報のオンライン提供サービス」に該当するのです。ただし、単に自社の商品を販売するECサイトを運用しており、メディア的な要素は一切なく、オンラインでの情報の提供自体を事業としてサービス提供していない場合は、法律上は対象外です。

しかし、改正電気通信事業法で対応しなければならない対象のサービスではなかったとしても、利用者への影響を考えると対応した方が良いでしょう。たとえば、対象外の自社ECサイトから、ユーザーの購買履歴情報が第三者に送信されるとしたら利用者は不利益を被るかもしれません。そのほうが利用者への影響は大きいですよね。

電気通信事業法の成り立ち上、対象サービスとそうでないサービスに曖昧な線引きがされてしまっているため、法律上対象か対象じゃないか、ということはあまり重要ではありません。そのため、迷ったら対応することが望ましいと考えられます。

何がセーフで何がアウト？ 見落としがちなポイント2つ

見落としがちなポイントが2つあるので、それぞれについて紹介します。

• Cookie“以外”の第三者への情報送信
• 自社でも把握できていない、第三者への情報の送信

まず、見落としがちなのが、Cookie“以外”の第三者への情報送信です。ここまでの説明から「Cookieが規制対象だ」と思われるかもしれません。しかし、対象はCookieだけではありません。

外部送信規律では、Cookieに限らず第三者に送信される利用者に関する情報すべてが対象（真に必要な情報の送信については例外規定あり）になる可能性があります。たとえば、以下のようなものです。

• アプリ向けの広告識別子（IDFAやAAID）
• Cookieを利用しない利用者をトラッキングするIDなど（一部の共通IDソリューションやデバイスフィンガープリントなど）
• 閲覧環境の情報（IPアドレスや画面サイズなど）
• 閲覧しているページタイトル

このように、Cookieを使わないトラッキングなどでも第三者への情報の送信は発生しているため、外部送信規律の対象となります。また、今後ブラウザに実装されることが検討されているTopics API、FLEDGEなどで用いられる、TopicやInterest Groupの情報も対象となります。

Cookieによるトラッキングが衰退しても、その他の情報が外部に送信されることに対する、利用者への影響はなくなりません。そのため、改正電気通信事業法ではこれらの情報の第三者への送信も対象としています。

次に、自社でも把握できていない、第三者への情報の送信です。たとえば、一番よく見落とされるのは、「Google アナリティクスしか導入していないから、Google アナリティクスだけ書いておこう」というケースです。

Google アナリティクスを導入している場合、広告向けの機能を使用していることが多く、その場合は、アクセス解析だけではなく広告用途の第三者への情報送信がGoogleやその他の広告事業者に対して発生している可能性があります。

その他、特に広告用のサービスを導入している場合も注意が必要です。たとえば、Criteoを導入した場合、「Criteoだけに情報が送信されていると思ったら、別の事業者にも情報が送信されていた」ということが起こります。これはCriteoが広告を配信するために、他の広告配信事業者と情報の連携を行っているためです。

ただし、セキュリティを確保するための第三者への情報送信など、サービスの提供に当たって真に必要な情報の第三者への送信は、規律の対象外となります。

今後の潮流を考えると改正電気通信事業法には対応しておくのが良い

GDPRをはじめ、欧米における規制の強化に関しては、日本のWeb担当者やマーケターにも影響が及ぶことが想定されます。欧米における規制の強化への対応の中で、これまで利用していたマーケティング手法が使えなくなる恐れがあるためです。

たとえば、FacebookとInstagramでデータの統合ができなくなると、Instagramでのターゲティング広告の精度が落ちることになります。3rd Party Cookie規制にも当てはまりますが、これまで一般の利用者があまり想定していないようなデータの収集や活用で成り立ってきたビジネスは、今後ますます淘汰されていくことが予想されます。

欧州や米国で個人情報保護の規制が続いており、その規制が緩まることは考えにくい状況です。この流れを踏まえると、今回の改正電気通信事業法の対象事業者か否かは重要な問題ではなく、健全なサービス運営を行うために、改正電気通信事業法への対応は必要なことだと言えるでしょう。