改正電気通信事業法に対応した外部送信ポリシーの作り方

この記事では、弁護士が、改正電気通信事業法によって導入された外部送信規律に対応した公表文書(外部送信ポリシー)の作り方を解説します。

本記事で紹介する文書はKIYACで簡単に作ることができます。

目次

改正電気通信事業法に基づく外部送信規律とは

2023年(令和5年)6月16日、改正電気通信事業法が施行され、外部送信規律が導入されました。

外部送信規律とは、電気通信事業を営む者(ウェブサイト運営者、アプリケーション提供者等)が、利用者の端末に外部送信を指示するプログラムを送る際には、あらかじめ、送信される利用者に関する情報の内容等を、公表等しなければならないというルールです。

総務省「外送信規律について」5頁より転載

たとえばGoogle アナリティクスを例に挙げて説明します。

あなたのサービスにGoogleアナリティクスのタグを組み込むと、特定の通信が発生した場合に、特定の情報が、利用者の端末からGoogleアナリティクス(第三者のサーバ)に自動的に送信されることになります。これが「外部送信」です。

このような外部送信については、どのような事業者に対して、どのような目的で、どのような情報が送信されているのかを透明化(公表等)することで、ユーザーにとっての安心感が高まり、またサービス提供者の安全性や信頼性をアピールすることができると考えられ、今回の法改正が実施されました。

そして外部送信規律に基づいて、各事業者が公表する内容(ポリシー)のことを、「外部送信ポリシー」「利用者情報の外部送信について」などと呼んでいます(名称は任意)。

規制の対象となる事業者

外部送信規律の規制対象となる事業者は、大きく4つの類型で整理されています。

  • 利用者間のメッセージ媒介等
  • SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等
  • オンライン検索サービス
  • ニュース配信、気象情報配信、動画配信、地図等の各種情報のオンライン提供

それぞれ、規制の対象になるかどうかの判断が非常に難しいのですが、ここでは総務省の見解に基づいて一般的な内容を説明します。

1.メッセージ媒介サービス

ひとつめの類型は、他人の通信を媒介する電気通信サービスを提供する事業者です(電気通信事業法施行規則第22条の2の27第1号)。

総務省は、「他人の通信を媒介する」ことについて次のとおり説明しています。

「他人の通信を媒介する」とは、他人の依頼を受けて、情報をその内容を変更することなく、伝送・交換し、隔地者間の通信を取次、又は仲介してそれを完成させることをいう。本規律が対象とするオンラインサービスについては、情報の加工・編集を行わず、かつ、送信時の通信の宛先として受信者を指定する場合に該当する。具体的には、メールサービス、ダイレクトメッセージサービス、参加者を限定した(宛先を指定した)会議が可能なウェブ会議システム等が想定される。

総務省「電気通信事業における個人情報等の保護に関するガイドラインの解説」(以下「解説」といいます。)251頁

いわゆるチャット機能などを実装しているサービスは、外部送信規律の適用対象になると考えるのが無難でしょう。

2.プラットフォームサービス

ふたつめの類型はいわゆるプラットフォームサービスです(電気通信事業法施行規則第22条の2の27第2号)。

総務省は、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチン グサービス、ライブストリーミングサービスやオンラインゲーム等が対象になると説明しています(解説250頁)。

以下、よく問題になるものを個別に説明します。

自社ECサイト

ここで規制対象として考えられているのは、たとえばamazonや楽天市場のような「場」を提供するサービスのことです。出店型のECサービスを提供する運営者の場合は対象になります。

一方で、自社で取り扱う商品だけを販売する一般的なネットショップであれば、規制対象事業者になりません。これは、電気通信事業法が対象とするのが「他人の需要」に応じて通信サービスを提供するものに限られているところ、自社商品しか取り扱わないECでは、「他人の需要」に応じていないからです(解説252頁)。

オンラインゲーム

オンラインゲームは、個人間でのチャット機能の有無にかかわらず、外部送信規律の適用対象となると解されています(総務省「外部送信規律FAQ」(以下「FAQ」といいます。)問2-8)。

オンラインの教育サービス

オンラインの教育サービスについても、個人間でのチャット機能の有無にかかわらず、外部送信規律の適用対象となると解されています(FAQ問2-8)。

ローンチしたばかりのプラットフォームサービス

ローンチしたばかりでまだユーザー数がきわめて少ない段階であっても、シェアリング、マッチングなどのプラットフォーム型のサービスであれば、外部送信規律の対象事業者になります。ユーザー数の多寡による適用除外はありませんのでご注意ください(FAQ問1-11参照)。

3.オンライン検索サービス

三つ目は、いわゆる検索サービスです(電気通信事業法施行規則第22条の2の27第3号)。

GoogleやBingなどの検索エンジンを思い浮かべるとわかりやすいでしょう。

ここでは、「全てのウェブページ」の所在に関する情報を検索することが要件とされているため、特定分野に限った検索サービスはここでいう検索サービス(電気通信事業法施行規則第22条の2の27第3号)には該当しませんが、次で説明する四つめの類型(各種情報のオンライン提供サービス。同4号)に該当する可能性があります(FAQ問2-4)。

4.各種情報のオンライン提供サービス

最後の類型は、各種情報のオンライン提供サービスです。

総務省は次のように説明しています。

不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライ ン提供サービスであり、具体的には、ニュースや気象情報等の配信を行うウェブサイトやアプリケーション、動画配信サービス、オンライン地図サービス等が該当する。 なお、アカウント登録や利用料の支払をすれば誰でも受信(閲覧)できる場合も、「不特定の利用者」に含まれる。他方、閉域網で提供される社内システムなどは、審査等により利 用者が限定されており、「不特定の利用者」ではなく、「特定の利用者」となるため、該当し ない。

解説252頁

例として、「ニュースや気象情報等の配信」「動画配信」「オンライン地図サービス」が挙げられていますが、定義自体は大変広く、抽象的な規定であり、どこまでが規制の対象になるのか、非常にわかりにくい類型です。

一言で言うと、各種情報をオンラインで不特定多数に発信するサービスは、たとえそれが無料であっても、外部送信規律の適用対象になるということです。

以下、いくつかの事例を挙げて説明します。

自社のホームページ

会社紹介、自社製品の紹介などを行う、一般的な自社ホームページは、「各種情報のオンライン提供サービス」には該当しません。

先ほどの広い定義に、一見当てはまりそうですが、自社や自社商品の紹介をするだけであれば、それは「自己の需要」のために情報を発信しているに過ぎず、「他人の需要に応じて」情報を提供するという、そもそもの電気通信事業の定義に該当しないからです(解説243頁)。

オウンドメディア

では、自社や自社の商品・サービスを紹介するだけではなく、他社や他社の商品・サービスも紹介するような、いわゆるオウンドメディアの場合はどうでしょうか。

これについて、総務省が発表したパブリックコメントでは、「その多くにおいては自社に関する情報又は自社の製品若しくはサービスに関する情報を提供するものの、一部においては関連する情報(業界団体、事業環境に係る情報や、業務提携先の企業に係る情報など)もあわせて提供する自社サイト」は、「他人の需要に応ずる」に該当するものとして判断される場合があるとしています(総務省「電気通信事業における個人情報保護に関するガイドラインの解説の改正案に対する意見募集において提出された御意見及び考え方」47頁)。

これを踏まえると、いわゆるオウンドメディアでも、他社や他社の商品・サービスも紹介するような媒体の場合は「他人の需要」に応じるものであり、「各種情報のオンライン提供サービス」に該当すると考えるのが無難でしょう。

自社ECサイト

「プラットフォームサービス」の項でも取り上げましたが、念の為、自社ECサイトをあらためて取り上げます。

インターネットでの販売・提供を必ずしも前提とせず、その販売・提供の補助的手段として、オンライン販売を利用している商品やサービスについては、「自己の需要」のために電気通信役務を提供しているため、そもそも「電気通信事業」に該当しないものと考えられます。

これは、実店舗の有無に関係なく、たとえばネット専業銀行であっても、電気通信事業には該当しないとされています(解説253頁)。

以上から、自社ECサイトは、「プラットフォームサービス」に該当しないのはもちろんのこと、「各種情報のオンライン提供サービス」にも該当しないことになります。

ただし、自社ECサイトとは別に、自社が扱うジャンルの商品の情報などをまとめたオウンドメディアを展開する場合は、当該オウンドメディアについては「各種情報のオンライン提供サービス」に該当する可能性があります(解説253頁参照)。

人材紹介サービス

就職・転職・アルバイト等の情報提供サービス(利用者が登録した情報を応募先へ送信する機能を含む)は、「各種情報のオンライン提供サービス」に該当します(FAQ問2-7)。

「他人の需要」に応じて自社以外の情報を利用者に提供しているためです。

個人のブログ

個人が趣味で発信しているブログは、原則として「各種情報のオンライン提供サービス」には該当しません。

ブログでは通常、さまざまな情報を発信することになりますので、一見該当しそうですが、あくまでも「自己の需要」のために情報を発信しているに過ぎず、「他人の需要」に応じて情報を提供するという、そもそもの電気通信事業の定義に該当しないからです(解説243頁参照)。

外部の広告が掲載されたウェブサイト

以上で「該当しない」とされているものについても、注意が必要なのは、外部の広告(アフィリエイト含む)が掲載されるウェブサイトです。

外部の広告(アフィリエイト含む)が掲載されるウェブサイトは、それが自社ホームページ、オウンドメディア、個人ブログなどどのようなジャンルのものであれ、「各種情報のオンライン提供サービス」に該当する可能性が高いものと考えられます。

当該広告部分については、あきらかに「他人の需要に応じて」各種情報(広告)を発信しているものと考えられるからです。

「各種情報のオンライン提供サービス」該当性がわからない場合

以上、細かく確認してきましたが、具体的に自社のサービスが「各種情報のオンライン提供サービス」に該当するかの判断は、なかなか難しいものがあります。

これに対応するために、総務省では、フローチャートを公表しています。是非活用してください。

総務省「外部送信規律について」15〜16頁より転載

外部送信規律に対する対応方法

外部送信規律の対象となる事業者は、利用者に対して、外部送信の内容や送信先について、確認の機会を付与する義務を負うことになります。

利用者に確認の機会を付与する方法は、次の4種類があります。

  • 通知(電気通信事業法第27条の12本文)
  • 利用者が容易に知りうる状態に置く(いわゆる公表)(電気通信事業法第27条の12本文)
  • 同意取得(電気通信事業法第27条の12第3号)
  • オプトアウト(電気通信事業法第27条の12第4号)

本記事では、通知と公表について説明します。

通知

通知とは、ポップアップ等により、即時通知(ジャストインタイム通知)を行うこと(ポップアップ等で一部のみを表示する場合には、残りの部分を掲載した画面に容易に到達できるようにする。)です(FAQ問3-1)。

利用者が容易に知りうる状態に置く(いわゆる公表)

利用者が容易に知りうる状態に置く(いわゆる公表)とは、「外部送信ポリシー」「利用者情報の外部送信について」などのドキュメントをサイト上で公表することです。

外部送信ポリシーの公表にあたっては、以下の配慮が必要です(FAQ問3-2)。

  • 日本語を用い、専門用語を避け、平易な表現を用いること。
  • 利用者の端末において、画面を拡大・縮小する等の追加的な操作を行うことなく、文字が適切な大きさで表示されるようにすること

なお、文字数が多い場合にウェブページを階層化したり、ウェブサイトやアプリケーションの背景色との関係で視認性の高い文字色を採用する等を行うことが望ましいとされています(FAQ問3-2)。

容易に知り得る状態に置く方法について、次のとおり、できるだけ簡単に遷移・閲覧できる場所に設置することが求められています(FAQ問3-2)。

  • ウェブサイトから利用するサービスにおいては、情報送信指令通信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて表示すること。
  • アプリから利用するサービスにおいては、アプリ利用時に最初に表示される画面又は当該画面から容易に到達できる画面において表示すること。または上記と同等以上に利用者が容易に認識できるような方法を用いること。
  • が必要です。

次項以下では、外部送信ポリシー等の策定により「公表」の手段をとる場合について、説明します。

プライバシーポリシー等を改定するか、新たに外部送信ポリシーを定めるか

これまで、個人情報保護法に基づき、各事業者が「プライバシーポリシー」「個人情報保護指針」などを公表してきましたが、今回導入される外部送信規律は、根拠となる法律(電気通信事業法)や、立法の目的、規制の内容も個人情報保護法とは異なるものです。そのため、規制の対象となる事業者は、すでにプライバシーポリシーを公表している場合であっても、あらたに、外部送信規律への対応が必要になります。

また、プライバシーポリシーとは別に「Cookieポリシー」を定めていた事業者も多いかと思います。これは、従来、個人情報保護法の要請ではなく、各事業者がユーザーへの便宜のため、任意に実施していたものであり、改正電気通信事業法に基づく外部送信規律に対応したものではありません。そのため、Cookieポリシーを制定・公表していた事業者にも、追加の対応が必要になります。

そこで、従来存在するプライバシーポリシーやCookieポリシーと、外部送信規律に関する公表事項をどのように整理するかが問題となります。

この点、個人情報保護法や電気通信事業法では明確な定めがなく、具体的には、以下のいずれの方法でも問題はありません。

  • 従来存在するプライバシーポリシーを改定し、新たに外部送信規律に関する公表事項を盛り込む
  • 従来存在するCookieポリシーを改定し、新たに外部送信規律に関する公表事項を盛り込む
  • 複数のポリシーを統廃合し、新たな統合ポリシーの中に外部送信規律に関する公表事項を盛り込む
  • 外部送信規律だけに対応する専用のドキュメント(外部送信ポリシー)を策定・公表する

次項以下では、「外部送信規律だけに対応する専用のドキュメント(外部送信ポリシー)を策定・公表する」方法をとった場合の記載例について説明していきます。

外部送信ポリシーの記載事項

外部送信ポリシーには、次の3つの事項を記載する必要があります(電気通信事業法施行規則第22条の2の29)。

  • 外部送信されることとなる利用者に関する情報の内容
  • 外部送信先の氏名又は名称
  • 外部送信される情報の利用目的

ここでポイントになるのは、これらの事項は「情報送信指令通信ごとに」公表しなければならないということです(電気通信事業法施行規則第22条の2の29本文)。

「情報送信指令通信ごとに」としているとおり、(1)から(3)までは、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに記載する必要がある(情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト単位で(ウェブページごとではない)まとめて表示すること等も考えられる。)。

解説259頁

たとえば、外部送信ツールとしてGoogleアナリティクスとHubspotを利用しているのであれば、Googleアナリティクスで外部送信をした場合の情報の内容、送信先(Google LLC)、その利用目的と、Hubspotにおけるそれらを、それぞれ、わかるように、分けて記載しなければならないということです。

以上を踏まえて、以下、3種類の公表事項について個別に説明します。

外部送信される情報

利用者に関するどのような情報が外部送信されることになるのかを記載します。

ここでの「情報」は、Cookieにかぎらず、利用者の端末に記録されている利用者に関する情報全般を指し、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます(FAQ問4-1)。

取得する情報の「粒度」について、総務省は次のように説明しており、個別の情報を逐一記載するのではなく、一定程度類型的にまとめて記述することでも足りるものと解されます。

問4-7 :「当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容」について、どのような粒度で記載したらよいですか。

答 :実際に送信されている情報がどのような情報か、利用者が適切に認識できるように記載する必要があります。例えば、利用者が閲覧したWebサイトに関する情報等が、情報送信指令通信が起動させる情報送信機能により送信されるような場合において、「閲覧したWebサイトのURL、当該サイトを閲覧した日時等」といった記載が考えられます(本記載内容はあくまでも一例です。利用実態及び利用者の利便に合わせて適切に記載してください。)。

FAQ問4-7

外部送信先の名称

情報を送信する先の外部事業者の名称を記載します。

たとえばGoogle アナリティクスであれば、Google LLCが「外部送信先の名称」になります。

ここで、サービス名が著名な場合に、サービス名だけを記載し、事業者名を割愛できるかが問題となりますが、総務省の見解では、必ず事業者名を記載しなければならず、参考程度にサービス名を記載することは認められると説明されています。

問4-2 :「前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称」として、送信先の具体的なサービス名称を記載することで足りますか。(第2号)

答 :送信される情報を取り扱うこととなる者を明らかにするため、氏名又は名称を明記することが求められます。例えば、当該者の氏名又は名称よりもサービス名の方が認知されやすい、といった場合には、サービス名等も記載することが望ましいですが、その場合であっても、氏名又は名称と併記することが求められます。

FAQ問4-2

利用目的

外部送信される情報の利用目的は、①自社にとっての利用目的と、②外部送信先における利用目的を、それぞれ記載する必要があります(FAQ4-3)。

自社における利用目的は、プライバシーポリシーなどで正しく列挙されているのであれば、その内容を二重に記載せずとも、プライバシーポリシーなどの既存の文書のURLを記載して参照させることでも足ります。ただし、単にリンクを貼るだけではなく、リンク先で表示される内容の概略を併せて示すことが「望ましい」とされています(法令上の妖精ではありません。)。

問4-6 :「第一号に規定する情報の利用目的」について、プライバシーポリシーへのリンクを記載する方法によって通知又は容易に知り得る状態に置くことはできますか。(第3号)

答 :「第一号に規定する情報の利用目的」について、利用目的が記載されたプライバシーポリシーへのリンクを示す方法によって、通知又は容易に知り得る状態に置くことは可能です。この場合、利用者の便宜のため、単に当該リンク先を表示するだけではなく、リンク先で表示される内容の概略を併せて示すことが望ましいといえます。

FAQ問4-6

自社における利用目的は、当然自社が把握していますが、問題となるのは外部送信先における利用目的です。外部送信先がどのような目的で外部送信された情報を利用しているのか、自社では把握し切ることが難しいことも多いでしょう。

このような問題に対処するために、一部の大手ベンダーは、同ベンダー側での利用目的が何であるかを、事業者向けに任意で公表し始めています。

たとえば、Googleは、以下のURLで外部送信ポリシーにおける記載例を公表しており、大いに参考になります。

https://business.safety.google/intl/ja/tba-jp/

他方で、このような記載例の公表がない場合については、一定程度外部ベンダーのプライバシーポリシーなどを読み解いて、外部送信される情報の種類や利用目的を理解し、文言で記載する対応が考えらますが、特に中小零細事業者にとってこれらの対応を自社限りで行うことは事実上難しい面もあると思われます。リンク先で表示される内容の概略を併せて示すことが「望ましい」とされていますが(上記FAQ問4-6)、現段階では、リンクのみの対応となるケースもあるでしょう。

この点については、大手ベンダーによる記載例が順次公表されるにつれて、改善が期待されるところです。

なお、リンクで対応する場合に注意が必要なのは、リンク先が必ず日本語でなければならないということです。この点はリンクで対応する場合には十分注意してください。

問4-5 :「第一号に規定する情報の利用目的」について、送信先となる電気通信設備を用いる者が当該目的について公表しているウェブサイトのURLを記載する方法によって通知又は容易に知り得る状態に置くことはできますか。(第3号)

答 :「第一号に規定する情報の利用目的」について、利用目的が記載された送信先のウェブページへのリンクを示す方法によって、通知又は容易に知り得る状態に置くことは可能です。この場合、利用者の便宜のため、単に当該リンク先を表示するだけではなく、リンク先で表示される内容の概略を併せて示すことが望ましいです。なお、リンク先が英語等日本語以外で記載されている場合は、リンクの表示のみの対応は認められません。

FAQ問4-5

違反があった場合の罰則

規制対象事業者が、外部送信規律に関する通知・公表などを行わなかった場合は、業務改善命令の対象となり、業務改善命令に従わない場合には200万円以下の罰金が科され、氏名等が公表されることがあります。また、虚偽報告や立入検査拒否等は30万円以下の罰金が課される場合があります(電気通信事業法第186条、第186条の2、第189条)。

まとめ

以上のとおり、改正電気通信事業法によって導入された外部通信規律は、一定程度複雑な内容になっています。

まずは落ち着いて、次の順序で対応を取るようにしてください。

  • 規制の対象事業者に該当するか
  • 対象事業者に該当する場合は、外部送信ポリシーの策定・公表を行う

なお、いくつかの質問に答えるだけで法律文書を自動生成できるウェブサービス「KIYAC」(キヤク) を使えば、本記事の説明に準拠した外部送信ポリシーを数分程度で作成できます。必要な方はぜひご利用をご検討ください。

本記事で紹介する文書はKIYACで簡単に作ることができます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次