S&W国際法律事務所
改正電気通信事業法による外部送信規律の要点 規制対象と対応方法
令和5年6月16日に施行された改正電気通信事業法によって、いわゆる「外部送信規律」が導入されました。
「電気通信事業者」に該当せず、登録・届出を必要としない事業者であっても、一定の要件を満たすWebサービスやアプリケーションサービスを提供している場合には幅広く適用を受け得る点が、外部送信規律の特徴です。
「Cookie規制」と呼称されることもある外部送信規律ですが、その規制対象は、必ずしもCookieに限られません。
事業者は、外部送信規律の規制内容を正しく理解したうえで、自社の活動のうちに外部送信規律が適用される行為がないかを確認し、該当する行為がある場合には、法令やガイドラインの要請に従って適切に対応する必要があります。
本稿では、主に、電気通信事業者としての登録・届出を行っていない一般の事業者に焦点を当てながら、外部送信規律の規制対象となるかどうかを判断する枠組みと、規制対象となる場合の対応を解説します。
※本稿で用いる略称については、「5.本稿で用いた略称一覧」をご参照ください。
目次
1 規制対象となる事業者
(1)概要
法第27条の12は、外部送信規律の適用を受ける事業者を、「電気通信事業者」(注1)又は「第三号事業を営む者」であって、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務(※筆者注:一般に、「対象役務」と呼称されます。)を提供する者」と定めています。
したがって、規制対象となる事業者の類型は、大きく、
- 電気通信事業者であって、対象役務を提供する者
- 第三号事業を営む者であって、対象役務を提供する者
の2類型に分けられます。
この「第三号事業を営む者」(以下「第三号事業者」といいます。)については、原則として、法の適用が除外されています(法第164条1項第3号)。
しかしながら、今般導入された外部送信規律においては、第三号事業者であっても、一定のインターネット上のサービスやアプリケーションサービスを提供している場合には、規制対象となります。
そのため、電気通信事業者に該当しない事業者も、外部送信規律の内容を正確に理解し、自社に適用されるか否かを確認しておく必要があるのです。
(注1)「電気通信事業を営むことについて、法第9条の登録を受けた者及び第16条第1項(同条第2項の規定により読み替えて適用する場合を含む。)の規定による届出をした者」をいいます(法第2条第5号)。
(2)第三号事業者への該当性
前記のとおり、電気通信事業者でなくても、第三号事業者に該当すれば、外部送信規律の適用対象となり得ます。
第三号事業者に該当するかどうかは、基本的に、「電気通信事業」を「営む」者に該当するかどうかによって判断することになります(注2)(注3)。
以下では、「電気通信事業」と「営む」という2つの要件への該当性を検討するうえで、実務上、特に問題となることが多い点について、総務省が公表している考え方を参照しながら要点をまとめます。
電気通信事業法の適用の有無に係る判断手順は、マニュアル10頁以下・ガイドブック5頁以下にフローチャート形式で整理されているほか、具体的な事例における法の適用の有無に関する考え方は、マニュアル16頁以下の「4.主な事例と考え方」が参考になりますので、実際の事例における検討に際しては、これらをご参照ください。
(注2) 厳密には、電気通信事業を営む者であって、電気通信回線設備を設置(基本的な形態は、自ら光ファイバ等を敷設・所有することです。)している事業者、及び、他人の通信を媒介する電子通信役務を提供している事業者は、第三号事業者の定義から除かれており、これらの事業者は、「電気通信事業者」に当たることになります(法第164条第1項第3号参照)。紙幅の都合上、ここでは解説の対象としませんが、「電気通信回線設備」の意義についてはマニュアル4頁を、「他人の通信を媒介」の意義についてはマニュアル2頁をご参照ください。また、「ドメイン名電気通信役務」、「検索情報電気通信役務」、「媒介相当電気通信役務」は、第三号事業から除かれます(法第164条第1項第3号イ~ロ)。
(注3) 専ら一の者への電気通信役務の提供(法第164条第1項第1号)・同一構内での役務提供(法第164条第1項第2号)の場合は、法の適用を受けないため、外部送信規律の対象となりません。
① 「電気通信事業」の意義
「電気通信事業」とは、ⓐ他人の需要のために ⓑ電気通信役務を提供する ⓒ事業 をいいます。
概括的に言えば、顧客に電気通信役務を提供することがなければ当該サービスが成り立たない場合には、「電気通信事業」に該当します(ガイドブック6頁)。
典型例は、ニュースサイトやECモールの運営です。
ⓑの「電気通信役務」とは、「電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供すること」をいいます。
「電気通信設備」とは、光ファイバ、携帯電話の基地局、サーバ、端末機器など、電気通信を行うための機械、器具、線路その他の電気的設備です。自ら所有するものでなくても、利用する、又は利用させる権限を有していれば、ここに含まれます。
そして、「他人の通信」には、自己と他人との間の通信も含まれます。
したがって、事業者がサーバを用いて利用者との間で通信を行う行為は、広く「電気通信設備を他人の通信の用に供する」行為に該当することになります。
ⓐの「他人の需要のために」、ⓒの「事業」については、これらの要件を満たさない場合を整理しておくことが有益です。
以下、それぞれについて具体例とともに見ていきます(マニュアル10頁以下、ガイドブック5頁以下参照)。
ア 「他人の需要のために」という要件を満たさない場合
|
(例)
個人や企業が、インターネット経由で自らの情報のみを発信し、専ら自らの情報の提供を目的として、Webサイトを開設する場合
企業が、自社製品の宣伝やイベント開催案内等の広報を、予め登録した顧客等に対する電子メールマガジンの発行によって行う場合
小売業者が、自社ECサイトを開設して自社商品のオンライン販売を行う場合や、ECモールへの出店・出品によって自社商品のオンライン販売を行う場合
新聞販売事業者による新聞購読のネット受付
これらの場合は、いずれも、「電気通信事業」に該当しません。
事業者が複数のWebページを運営している場合、「電気通信事業」該当性は、個々のWebページについて判断されると考えられます。
例えば、ニュース配信を電気通信事業として行っている事業者が、ニュース配信ページ及び会社案内ページを有する場合、会社案内ページについては、自己の情報発信のために運営していると考えられ、「電気通信事業」には該当しないため、外部送信規律に対応する必要はないとされています(FAQ問2-12参照)。
なお、本来の業務の遂行手段としての範囲を超えて、独立した事業としてオンラインサービスを提供している場合には、電気通信事業に該当する可能性があります。
例えば、金融事業者がウェブサイトで金融商品をオンライン販売している場合に、ウェブサイト上でオンライン取引に必要な株価等の情報を提供することは遂行手段の範囲内の行為ですが、一方で、当該事業者がオンライン取引等とは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は、電気通信役務の提供事業として独立していると考えられ、「電気通信事業」に該当するとされています(ガイドラインの解説7-1-2(4))。
イ 「事業」という要件を満たさない場合
|
(例)
非常災害発生時における緊急通信のための電気通信設備の利用
ホテルの宿泊サービスの一環として提供される電話やインターネットサービス
「事業」とは、主体的・積極的意思、目的をもって同種の行為を反復継続的に遂行することをいうとされています(マニュアル3頁)。
上記の場合は、いずれも、「事業」という要件を満たさないと考えられます。
② 「営む」について
「営む」とは、利用者に対して、電気通信役務を反復継続して提供し、その対価として料金を徴収することにより、電気通信事業自体で利益を得ようとすることをいいます(マニュアル12頁、ガイドブック5頁)。
例えば、広告収入を得るなど、実質的に電気通信役務の提供により利益を上げているとみなされるときには、「営む」という要件を満たします。
また、現実に利益が上がるか否かは問題とならず、利益を得ようとしていれば「営む」に該当するとされています。
例えば、広く一般に向けてニュースやコラムの配信を行っている場合、電気通信事業には該当しますが、当該配信において、購読料や広告収入を含め、利益が一切発生していない場合には、「営む」という要件を満たさず、第三号事業者には該当しないため、外部送信規律の規制対象にならないと考えられます。
(3)対象役務
「電気通信事業者」又は「第三号事業を営む者」に当たる場合には、さらに、「対象役務」を提供しているかどうかを検討することとなります。
対象役務には、大きく分けて4つの類型があります (規則第22条の2の27)。
規則の文言はやや複雑ですが、それぞれの類型の具体例が、ガイドラインの解説7-1-2において示されていますので、ここではそれに倣って、規則の定める4類型をご紹介します。
- 他人の通信を媒介する電気通信役務(規則第22条の2の27第1号)
(例)メールサービス、ダイレクトメッセージサービス、Web会議システム(参加者を限定した会議が可能なもの)等 - 利用者(特定の利用者も含む)が情報を入力し、当該情報を不特定の利用者が受信・閲覧できるもの(規則第22条の2の27第2号)
(例)SNS、電子掲示版、動画共有サービス、オンラインショッピングモール(注4)、ライブストリーミングサービス、オンラインゲーム等 - 検索したい単語等の検索情報を入力すると、インターネット上における、当該検索情報が記録された全てのウェブページの所在に関する情報を検索して表示するもの(規則第22条の2の27第3号)
(例)オンライン検索サービス(注5) - 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス(規則第22条の2の27第4号)(注6)
(例)ニュースや気象情報等の配信を行うウェブサイトやアプリケーション、動画配信サービス、オンライン地図サービス等(注7)
(注4)ここでいう「オンラインショッピングモール」とは、インターネット経由で複数の店舗でネットショッピングを行うことができる、又は複数の出品者の商品等を購入できる「場」を提供するものをいいます。小売事業者が商品をオンライン販売したり、メーカーが製造した商品をオンライン販売したりすることは、自己の需要に応ずるものであり、他人の需要に応ずるものではないことから、電気通信事業には該当せず、電気通信事業法の規律の適用対象となりません(ガイドラインの解説7-1-2(2)の(※))。
(注5)特定の分野に限った検索サービスは、4の類型に該当するとされています。
(注6)アカウント登録や利用料の支払をすれば誰でも受信(閲覧)できる場合も、「不特定の利用者」に含まれます(ガイドラインの解説7-1-2(4))。
(注7)企業や個人が自己の情報発信のためにウェブサイトを運営することは、前記のとおり、「他人の需要のために」という要件を満たさず、電気通信事業に該当しないことから、外部送信規制の対象となりません。
2 規制対象となる行為
法第27条の12第1項は、外部送信規律の規制対象となる行為を、以下のように定義しています。
「その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするとき」 |
(法第27条の12第1項より抜粋)
外部送信規律の規制対象となるのは「情報送信指令通信」を行おうとする行為であり、その「情報送信指令通信」の意味が、かっこ書きの中で定義されている、という構造です。
まず、かっこ書きの中の文言を見ていきます。
「利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する」とは、利用者のパソコンやスマートフォン等の端末に記録された当該利用者に関する情報(注8)を、当該利用者以外の者(注9)の電気通信設備(Webサーバ等)に送信することをいいます(ガイドラインの解説7-1-1(1))。
このような情報の送信が、「外部送信」と呼称されているものです。
そして、法第27条の12第1項の「情報送信指令通信」とは、そのような外部送信機能を「起動する指令を与える電気通信の送信」、すなわち、外部送信を指令するプログラムやコード等を、利用者の端末に送信することをいいます(ガイドラインの解説7-1-1(1)、FAQ問1-2)。
Webサイトやアプリには、利用状況の解析や広告配信のために、「タグ」や「情報収集モジュール」といったプログラムが組み込まれることがあり、利用者がWebサイトやアプリを閲覧・利用する際に、これらのプログラムが作動して、利用者の閲覧履歴等が利用者以外の者に送信される場合があります。
こうした場合が、「外部送信」及びそれを指令する「情報送信指令通信」の典型例として想定されています(FAQ問1-3参照)。
例えば、WebサイトにGoogleアナリティクスやCookieを埋め込んでいる場合には、これらのプログラムを通じて「情報送信指令通信」が行われますので、外部送信規律の規制対象となります。
(注8) Cookieに保存されたID・広告ID等の識別符号、利用者が閲覧したウェブページのURL、利用者の氏名などです(ガイドラインの解説7-1-1(3))。
(注9) 当該ウェブサイトの運営者やアプリケーションの提供者自身も、ここに含まれます。ただし、後記3(2)「例外:通知又は公表が不要となる場合」のとおり、当該サービスを提供する事業者に送信される情報のうち一定のものは、通知・公表を要しません。なお、当該第三者が通信の相手方となっていることを利用者が認識しているか否かは問われません(ガイドラインの解説7-1-1(4))。
3 必要となる対応
規制対象事業者が規制対象行為を行う場合には、法に基づき、以下の対応が必要となります。
(1)原則:通知又は公表
① 通知・公表の対象事項
事業者は、原則として、以下の事項について、通知又は公表を行わなければなりません(規則第22条の2の29)。
| ⓐ 外部送信されることとなる利用者に関する情報の内容(注10) ⓑ ⓐの情報を取り扱うこととなる者(情報の送信先)の氏名又は名称(注11) ⓒ ⓐの情報の利用目的(注12) |
以上の事項は、「情報送信指令通信ごとに」、すなわち、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに公表する必要があります(ガイドラインの解説7-3-1(3))。
例えば、GoogleアナリティクスとCookieを埋め込んでいる場合は、それぞれについて、ⓐ~ⓒの事項を公表しなければなりません。
また、各記載事項について、送信先において記載例などが示されている場合には、法令の要請を満たす範囲内で、それを参考にすることが望ましいとされていますので(ガイドラインの解説7-3-1(3))、タグや情報収集モジュールの発行元が公表している記載例が存在するかどうかを確認することも有用です。
(注10)送信される情報を具体的に列挙することなく「等」や「その他」等のあいまいな表現を安易に使用することは避けるなど、利用実態及び利用者の利便に合わせて適切に記載されるのが望ましいとされています(ガイドラインの解説7-3-1(1))。
(注11)送信先の氏名又は名称よりもサービス名の方が認知されやすい、といった場合は、サービス名等も併記することが望ましいとされています(ガイドラインの解説7-3-1(2))。例えば、Googleアナリティクスであれば、「Google LLC」だけでなく、「Googleアナリティクス」というサービス名も併記しておくことが考えられます。
(注12)情報送信指令通信を行う事業者と、利用者に関する情報の送信先となる事業者の双方における利用目的を記載する必要があります。また、利用目的が記載されたプライバシーポリシーへのリンクを示す方法によって、利用目的を公表することも可能とされていますが、単に当該リンク先を表示するだけではなく、リンク先で表示される内容の概略を併せて示すことが望ましいとされます(ガイドラインの解説7-3-1(3))。
② 通知・公表の方法
通知又は公表の方法についても、規則に具体的に定められています(規則第22条の2の28第1項~第3項)。
なお、プライバシーポリシー等が既にある場合に、その中に通知・公表事項を追記する対応も可能ですが、その際には、外部送信規律に関する内容が含まれること等をタイトルや見出し等に明記しておくとともに、一括して確認できるように工夫することが望ましいとされています(ガイドラインの解説7-2-1(3))。
ア 通知・公表に共通して求められる事項(規則第22条の2の28第1項)
以下を全て満たす必要があります。
| ⓐ 日本語を用い、専門用語を避け、平易な表現を用いること。 ⓑ 利用者の端末において、画面を拡大・縮小する等の追加的な操作を行うことなく、文字が適切な大きさで表示されるようにすること。 ⓒ ⓐ及びⓑのほか、利用者が通知等すべき事項について容易に確認できるようにすること(注13)。 |
(注13) ⓐ及びⓑを満たしたうえで、さらに、ⓒとして、通知・公表の対象事項を利用者が容易に理解できるようにすることが求められます。ⓒを満たす対応として、具体的には、ウェブサイトやアプリケーションの背景色との関係で視認性の高い文字色を採用するといった対応を行うことが望ましいとされています(ガイドラインの解説7-2-1(3))。
イ 通知について特に求められる事項(規則第22条の2の28第2項)
以下のいずれかの方法によって行う必要があります。
| ⓐ ポップアップ等により、対象事項の即時通知(ジャストインタイム通知)を行うこと(注14)。 ⓑ ⓐと同等以上に利用者が容易に認識できるような方法を用いること。 |
(注14)ポップアップ等で対象事項の一部のみを表示する場合には、ポップアップから1回程度の操作で、残りの部分を掲載した画面に到達できるようにし、かつ、遷移先に残りの部分の表示があることが理解できる形にしておく必要があります(ガイドラインの解説7-2-2(1))。
ウ 公表について特に求められる事項(規則第22条の2の28第3項)
以下のいずれかの方法によって行う必要があります。
| ⓐ 〔ウェブサイトから利用するサービスの場合〕外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページ(注15)において、対象事項を表示すること。 ⓑ 〔アプリから利用するサービスの場合〕アプリ利用時に最初に表示される画面又は当該画面から容易に到達できる画面(注16)において、対象事項を表示すること。 ⓒ ⓐⓑと同等以上に利用者が容易に到達できるような方法を用いること。 |
(注15)「容易に到達できるウェブページ」という要件を満たすためには、情報送信指令通信を行うウェブページにおいて、遷移先に対象事項が表示されていることを利用者が理解できる形でリンクが配置されており、かつ、当該ウェブページから1回程度の操作で当該遷移先に到達できるようにしておくことが確実です(ガイドラインの解説7-2-3(1))。
(注16)具体的には、アプリケーションの起動後最初に表示される画面において、当該事項を表示する画面へのリンクを記載するといった対応が想定されています(ガイドラインの解説7-2-3(2))
(2)例外:通知又は公表が不要となる場合
以上の例外として、外部送信される情報が以下に該当する場合には、通知又は公表は不要となります。
- サービス提供にあたって必要な情報(法第27条の12第1号、規則第22条の2の30)(注17)
- サービス提供者が利用者に送信した識別符号(法第27条の12第2号)(注18)
- 利用者の同意を取得している情報(法第27条の12第3号)(注19)
- 〔法27条の12第4号に基づくオプトアウト措置(注20)をとっている場合〕
以下の要件を満たす情報(法第27条の12第4号イ・ロ、規則第22条の2の31)
① 利用者が当該情報についてオプトアウト措置の適用を求めていないこと
② 利用者の求めに応じて、情報の送信または利用を停止する措置を講じていること
③ 以下の事項を公表していること
(ア)オプトアウト措置を講じているという事実
(イ)オプトアウト措置が情報の送信と利用のどちらを停止するものか
(ウ)オプトアウト措置の申込みを受け付ける方法
(エ)オプトアウト措置を適用した場合、サービス利用が制限される場合は、その内容
(オ)送信されることとなる利用者に関する情報の内容
(カ)(オ)の情報を取り扱うこととなる者の氏名又は名称
(キ)(オ)の情報の利用目的
(注17)「サービス提供にあたって必要な情報」の意義や具体例については、ガイドラインの解説7-4-1-1に詳述されています。一例として、利用者がオンラインショッピングモールで品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、当該品物を買い物かごに入った状態で再表示するために必要な情報が、これに当たるとされます。
(注18)典型的には、事業者が利用者に対して発行した識別符号(Cookieに保存されたIDなど)を、当該事業者自身に送信させる場合における当該識別符号が、これに該当する(ガイドライン7-4-1-2)。
(注19)同意の取得により適切な確認の機会を付与したというためには、利用者の具体的かつ能動的な同意を取得することが必要であるとされます。同意取得の方法の詳細については、ガイドライン7-4-2をご参照ください。
(注20)ここにいうオプトアウト措置とは、個人情報保護法上の第三者提供に関するオプトアウト措置ではなく、法27条の12第4号にいう、利用者の求めに応じて情報の送信または利用を停止する措置を指すことにご留意ください。
4 まとめ
外部送信規律に適切に対応するには、法令及びガイドライン等の正確な理解が不可欠となります。
規制対象事業者への該当性の判断や、通知・公表の方法の決定にあたっては、専門家の助言を得ることが効率的かつ安全です。
お困りの点やご不明な点があれば、お気軽にお問い合わせ ください。
5 本稿で用いた略称一覧
- 「法」:電気通信事業法
- 「規則」:電気通信事業法施行規則
- 「FAQ」:総務省「外部送信規律FAQ」https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu_00002.html
- 「ガイドライン」:「電気通信事業における個人情報等の保護に関するガイドライン」(令和4年3月31日個人情報保護委員会・総務省告示第4号、最終改正令和5年5月18日個人情報保護委員会・総務省告示第5号)
https://www.soumu.go.jp/main_content/000805614.pdf - 「ガイドラインの解説」:上記ガイドラインの解説https://www.soumu.go.jp/main_content/000805807.pdf
- 「マニュアル」:総務省「電気通信事業参入マニュアル(追補版)」(平成17年8月18日策定、令和5年1月30日改定)
https://www.soumu.go.jp/main_content/000477428.pdf - 「ガイドブック」:総務省「電気通信事業参入マニュアル(追補版)ガイドブック」(令和4年4月14日策定、令和5年1月30日改定)
https://www.soumu.go.jp/main_content/000799137.pdf
【参考】 総務省による公開情報の掲載ページ
- 電気通信事業における個人情報等の保護に関するガイドライン(本文・解説)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html - 「自分に関する情報が第三者に送信される場合、 自身で確認できるようになります。」(外部送信規律に関する情報のトップページ)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html - 外部送信規律FAQ
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu_00002.html - 電気通信事業参入マニュアル[追補版](本文・ガイドブック)
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000495.html
