昨今、インターネット関連のプライバシー問題がニュース等で取り上げられる機会が多くなっています。
今回は、今後改正が予定されている「電気通信事業法」についてご紹介。「電気通信事業法」は電気通信事業者を対象としたものですが、本記事ではそもそも「電気通信事業法」とは?から、「電気通信事業法」の改正ポイントについてご紹介いたします。
「電気通信事業法」とは
「電気通信事業法」とは、電気通信役務(※1)の円滑な提供を確保するとともにその利用者の利益を保護し、電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進することを目的とした法律になります。(電気通信事業法第一条)
2022年2月には総務省の「電気通信事業ガバナンス検討会報告書」が公表されたことを受けて、同年6月に改正電気通信事業法(以下「改正法」)が成立しました。改正法は公布日(同年6月17日)から1年以内に施行されます。
※1:インターネット回線、電話回線等を介して提供されるサービス。
改正後の「電気通信事業法」のポイント
改正法の注目するべきポイントは、3点挙げられます。
- 電気通信事業者などに対して利用者情報の外部(利用者以外)への送信に関する規制を新設したこと
- 新たにSNSや検索サービスの事業者を届出の対象としたこと
- 大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規制を新設したこと
なお、規制の詳細は総務省令に委ねられる部分が多く、議論検討が行われています。本稿では、1点目の利用者情報の外部送信に関する規制に焦点を当てて整理していきます。
外部送信規制の対象となる事業者とは?
利用者情報の外部送信に関する規制の対象となる事業者は、電気通信サービスを継続して提供を行い、電気通信サービス自体で利益を上げる者(電気通信事業を営む者)のうち、(1) 登録・届出が必要な「電気通信事業者」(電子メール、固定電話、携帯電話事業者等)又は、(2) 登録・届出が不要な「オンラインコミュニティ等の場所を提供している事業者」(SNS、検索サービス等)のうち、内容・利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくない事業者を総務省令では対象としています(改正法27条の12)。
特定のユーザー同士のやり取りをテキスト、音声、画像、動画等で交換している場合、例えばオンラインゲーム、SNSのDM機能については「他人の通信を媒介している」と判断されるため、規制対象に該当します。
不特定多数のユーザーがテキスト、音声、画像、動画等を投稿閲覧しているSNS、ニュースサイト等のサービスについては、「場所を提供している」と判断されるため、こちらも規制対象となります。
外部送信規制の対象行為および規制対象事業者の義務とは?
規制対象行為とは、「利用者の電気通信設備を送信先とする情報送信指令通信を行うこと」です。
具体的には、利用者がWebサイトやアプリを利用する際に、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)をWebサイト運営者、アプリ提供事業者またはそれ以外の第三者に外部送信することです。そして、この外部送信行為を行う規制対象事業者は、外部提供の事実を利用者に通知、もしくは利用者が容易に確認できるようにする必要があります。
総務省令で定める事項では、① 事前に利用者に通知又は容易に知り得る状態に置く(通知公表)、② 事前に利用者の同意を得る(同意取得)、③ オプトアウトを受け付ける(オプトアウト)、といった措置のいずれかの対応が義務付けられます。
企業が行うべき具体的な対応策とは?
外部送信の規制は、小規模事業者等を除き、多くの電気通信事業を営む企業が規制対象事業者に該当することが予想されます。
それに伴い、①通知公表、②同意取得、③オプトアウトのいずれかの措置を取らなくてはいけません。どの措置を選択するかは事業者の方針によりますが、各措置の具体的な対応は、以下のように考えられます。
関連記事
① プライバシーポリシーの改訂
既にクッキーの利用等についてプライバシーポリシー、クッキーポリシー内で公開している企業については、その公表内容を総務省令に適合するよう整備することにより、外部通信規制対応が可能です。
自社での整備が難しい場合は外部の専門機関に依頼することも検討する必要があります。外部の専門機関に依頼することで、既存のプライバシーポリシーの見直しや改定案作成等のサービス支援を受けることができます。
② 通知・公表ツールの導入
外部送信の情報をユーザーが容易に知り得る状態に置くための対応としては、通知・公表ツールの導入が挙げられます。
通知・公表ツールは、Webサイトやアプリケーション内で発生しているデータの外部送信を検知し、外部送信先やその情報の利用目的などを一覧化するツールです。
一覧化された情報をサイトのトップページなどユーザーがワンクリックで遷移できるようにすれば、企業は労力をかけず簡易的にデータの外部送信先や利用目的の透明性を確保できます。
関連ページ
③ クッキー同意管理バナー(CMP)の導入
明確に利用者の同意を取得する場合には、クッキー同意管理バナー(CMP:Consent Management Platform)のツール導入も選択肢の一つとして考えられます。クッキー同意管理バナー(CMP)を実装することで、Webサイトやアプリ上で来訪者に対して企業によるデータの収集、利用状況を案内し、同意取得やそのステータス管理をすることができます。
ベンダーやツールごとに一部機能は異なりますが、クッキー同意管理バナー(CMP)を導入することで国内法だけではなく海外法(GDPRなど)への対応も併せて行うことができます。
関連ページ
④ オプトアウトの導線設置
具体的な対応は、総務省令に委ねられますが、上記以外の対策を検討する場合、オプトアウトの導線設置が必要になり、利用者にとって分かりやすい形・場所に、外部送信先名・オプトアウトページのURLなど利用停止措置の方法を記載することが考えられます。
まとめ
いかがでしたでしょうか?本稿では電気通信事業法の改正ポイントと、講じなければならないと考えられる対応策について説明いたしました。
以下のブログでは、改正電気通信事業法の外部送信規律が企業に与える影響と、具体的な対応策・対応ツールについてご紹介しています。ぜひご確認ください。
関連記事
DACでは、CMPの導入支援のほか、企業が改正法の外部送信規制に対応するためのサービスを提供しております。また、どのような対応が必要なのか分からないという方には、データプライバシーコンサルティングサービスも展開していますので、ぜひお気軽にご相談ください。
