【2023年6月施行】改正電気通信事業法(いわゆるCookie規制)について、ポイントと対処法を解説
Contents
【ご相談内容】
当社は、オンライン上で操作するビジネスソフトを開発・ライセンス販売しています。
従前調査した限り、当社は電気通信事業法の適用はあるものの、登録又は届出が不要とのことだったので、電気通信事業法に対する特段の対応は行っていません。
2023年6月16日より改正電気通信事業法が施行され、外部送信規律(いわゆるCookie規制)が新たに設けられたと聞き及んだのですが、登録又は届出が不要な当社にも影響がある改正なのでしょうか。
【回答】
結論から申し上げますと、外部送信規律(いわゆるCookie規制)の適用対象事業者となるため、大きな影響が生じます。
電気通信事業法上の登録又は届出が不要な事業者(いわゆる3号事業者)については、これまで電気通信事業法に基づく様々な規制が事実上免除されていたため、正直なところ電気通信事業法を意識する必要性がありませんでした。しかし、外部送信規律(いわゆるCookie規制)の規制対象は、電気通信事業法上の登録又は届出が不要な事業者(いわゆる3号事業者)にも拡大されています。
したがって、外部送信規律(いわゆるCookie規制)の内容を十分理解した上で、法が求める対応を行う必要があります。
【解説】
1.電気通信事業法とは
電気通信事業法という法律名はどこかで聞いたことがあるものの、NTTや大手携帯キャリアなどに適用される法律であって、当社には関係がないと考えている事業者も多いかと思います。
たしかに、もともと電気通信事業法は、電話回線設備などを設置する事業者をターゲットとした法律でした。しかし、オンラインサービスが与える社会的影響力が拡大するにつれ、回線設備を設置する事業者のみならず、回線設備を有しないオンラインサービス提供事業者にも適用範囲を徐々に拡大していった…というのが電気通信事業法の歴史です。
したがって、オンラインサービス提供事業者であれば、電気通信事業法の適用可能性は常に意識しておく必要があります。
なお、電気通信事業法の適用可能性を検討する上で、必ず把握しておきたい概念が2つあります。
| ①電気通信役務…電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供すること(電気通信事業法第2条第3号)
②電気通信事業…電気通信役務を他人の需要に応ずるために提供する事業のこと(電気通信事業法第2条第4号) |
現場実務では、「電気通信事業」に該当するのかを検討することになりますが、ここでポイントとなるのは、
・電気通信設備(サーバ、光ファイバ等)を用いたサービス提供なのか
・他人の需要に応ずるためのサービス提供なのか
を判別することが重要となります。
次の2.では、電気通信事業の該当性につき、その具体例につき検討します。
2.改正法を理解するうえで知っておきたい前提概念
2023年6月16日より施行された改正電気通信事業法の外部送信規律(いわゆるCookie規制)を理解するためには、自社のサービスが「電気通信事業」に該当するかを判別する必要があります。
(1)そもそも電気通信事業に該当しない例
電気通信事業者の該当性を検討する場合、「他人の需要に応ずるため」なのかを正確に判断する必要があります。
この点、
・事業者のコーポレートサイト(単に会社概要やサービス案内等が記載されているのみのサイト)
・事業者による読者へのメルマガ発行
は、事業者自らの業務遂行手段(自己の需要のため)としてサービス提供しているにすぎません。すなわち「他人の需要に応ずるため」とは言えないため、電気通信事業に該当しないことになります。
したがって、上記サービスを営む場合、電気通信事業法の適用がありません。
上記の考え方を敷衍させた場合、
・自社のECサイト
についても、原則として電気通信事業に該当しないことになります。
ただし、自社商品・サービスの提供自体がオンラインを前提にしている場合、他人にとっては電気通信役務の利用が必須となることから、「他人(顧客)の需要に応ずる」ためとなります。したがって、電気通信事業に該当することには注意が必要です。
(2)電気通信事業に該当する例(登録又は届出が必要)
例えば、事業者以外の他人間同士で電気通信を用いてやり取りを行うことは、典型的な「他人の需要に応ずるため」に該当します。
したがって、次のようなサービスは電気通信事業者に該当し、電気通信事業法に基づく登録又は届出が必要となります。
・メッセージアプリ(ECモール、オンラインゲーム、プラットフォーム等でダイレクトメッセージ機能を提供している場合も含む)
・WEB会議システム
・ビジネスチャット
・メルマガ配信スタンドの運営(運営者がメルマガの内容の加工・編集を行う場合は除く)
・メールサーバ用のサーバ貸与
(3)電気通信事業に該当するが、登録又は届出が不要な例
おそらく現場実務で電気通信事業法の検討を難しくしているのが、タイトルにつけた通り、電気通信事業に該当するものの、登録又は届出不要とされているカテゴリーです(電気通信事業法第164条第1項第3号に根拠があることから3号事業者と呼ばれたりします)。
ポイントは、「他人の需要に応ずるため」であっても、「他人の通信を媒介」しているとは言えないため、電気通信事業を営む者にはなり得ても、電気通信事業者には該当しないという点です。
例えば、次のようなサービスが該当します。
・SNS、電子掲示板、動画共有プラットフォーム(※)
・ECモール、ネットオークション、フリマアプリ
・情報提供サイト(オウンドメディアなど)
・口コミ、コメント投稿機能
・オンラインストレージ
・WEBサーバ用のサーバ貸与
・経費精算システム
・勤怠管理システム
・顧客管理システム
・採用管理システム
(※)SNS、電子掲示板、動画共有プラットフォームについては政策的な例外があり、利用者登録が必要かつアクティブ利用者数が1000万以上(前年度の月間アクティブ利用者数の平均)のSNS、電子掲示板、動画共有プラットフォーム等のサービスの場合、届出が必要となる点に注意を要します。
ちなみに、「他人の通信を媒介」していないことがポイントとなりますので、上記サービスに付随してダイレクトメッセージ機能を提供する場合、他人の通信を媒介する以上、登録又は届出が必要となります。
ところで、「電気通信事業に該当するが、登録又は届出が不要」な事業者(いわゆる3号事業者)に該当する場合、電気通信事業法が適用されるものの、実は電気通信事業法に基づき課せられる様々な義務が免除されることになります。具体的には、通信の秘密の保護と検閲の禁止に関する規定以外は適用がありません。
このため、「電気通信事業に該当するが、登録又は届出が不要」な事業者(いわゆる3号事業者)の場合、事実上電気通信事業法を意識する必要がなかったというのが実情でした。
しかし、2023年6月16日より施行された改正電気通信事業法の外部送信規律(いわゆるCookie規制)は、電気通信事業に該当する場合は適用されるとされているため、この登録又は届出が不要な3号事業者にも適用されるという点で、これまでの電気通信事業者に対する考え方を根本的に覆す内容となっています。
(参考)
・電気通信事業参入マニュアル(追補版)ガイドブック(総務省)
3.外部送信規律(いわゆるCookie規制)のポイント
外部送信規律(いわゆるCookie規制)は、電気通信事業法第27条の12及び電気通信事業法施行規則第22条の2の27から同規則第22条の2の31までに定められています。
条文は非常に読みづらいですが、押さえるべきポイントは3つです。
すなわち、①対象となる事業者は誰か、②どのような行為が対象となるのか、③対象となった場合に取るべき措置は何か、です。
(1)対象事業者
前記2.(3)でも少し触れましたが、外部送信規律(いわゆるCookie規制)の適用となる対象事業者は、
・登録又は届出が必要な電気通信事業者
・登録及び届出が不要な電気通信事業者(いわゆる3号事業者)の一部
となります。
つまり、電気通信事業法が適用される事業者は、登録又は届出の必要性が無くても、電気通信事業法に基づく外部送信規律(いわゆるCookie規制)の適用対象となる可能性が生じたという点がポイントとなります。
従前までであれば、登録又は届出が不要な電気通信事業者(いわゆる3号事業者)は、ほぼ電気通信事業法を意識することはなかったのですが、この改正法により考え方を改める必要が生じます。
さて、外部送信規律(いわゆるCookie規制)の適用となる事業者の内、登録及び届出が不要な電気通信事業者(いわゆる3号事業者)については、電気通信事業法施行規則第22条の2の27に定められています。
| 法第27条の12の総務省令で定める電気通信役務は、次の各号のいずれかに該当する電気通信役務であって、ブラウザその他のソフトウェア(利用者が使用するパーソナルコンピュータ、携帯電話端末又はこれらに類する端末機器においてオペレーティングシステムを通じて実行されるものに限る。次条において同じ。)により提供されるものとする。
(1号は省略) ②その記録媒体に情報を記録し、又はその送信装置に情報を入力する電気通信を利用者から受信し、これにより当該記録媒体に記録され、又は当該送信装置に入力された情報を不特定の利用者の求めに応じて送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 ③入力された検索情報(検索により求める情報をいう。以下この号において同じ。)に対応して、当該検索情報が記録された全てのウェブページ(通常の方法により閲覧ができるものに限る。次条第三項第一号において同じ。)のドメイン名その他の所在に関する情報を出力する機能を有する電気通信設備を他人の通信の用に供する電気通信役務 ④前号に掲げるもののほか、不特定の利用者の求めに応じて情報を送信する機能を有する電気通信設備を他人の通信の用に供する電気通信役務であって、不特定の利用者による情報の閲覧に供することを目的とするもの |
やや読みづらい条文ですが、具体的には次のようなサービスを指しています。
2号は、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、オンラインゲーム、オンライン教育などが該当します。
3号は、オンライン検索サービス(全てのウェブページの所在情報を検索して表示するサービス)が該当します。
4号は、ニュースや気象情報配信サービス、動画配信サービス、オンライン地図サービス、乗換案内サービス、就職・転職・アルバイト等の情報提供サービスなどが該当します。なお、オンライン検索サービスの内、特定分野に限定した検索サービスは4号に該当します。
(※1号は、メールサービス、ダイレクトメッセージサービス、ウェブ会議システム(参加者が指定できるもの)など、登録又は届出が必要な電気通信事業者が営むサービスについて定められています)。
なお、今後現場実務で判断に悩むのは「4号」になると考えられます。
従前までの視点、すなわち電気通信事業に該当するか否かという視点であれば、自社のホームページのコンテンツ内容についてあまり意識する必要はありませんでした(仮に電気通信事業に該当したとしても、いわゆる3号事業者であり、電気通信事業法に基づき規制がほぼないため)。
しかし、外部送信規律(いわゆるCookie規制)の適用の有無という観点からは、「他人の需要に応ずるため」なのかを厳格に審査し判断する必要があります。例えば、いわゆるオウンドメディアについては、3号事業者に該当するが(登録又は届出が不要)、外部送信規律(いわゆるCookie規制)の適用があると判断される事例は十分にあり得るところです。
(2)対象行為
外部送信規律(いわゆるCookie規制)の対象となる行為類型ですが、電気通信事業法では「情報送信指令通信」という言葉が用いられています。
情報送信指令通信…利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう)を起動する指令を与える電気通信の送信のこと(電気通信事業法第27条の12)。
法文上の定義をかみ砕いて分解すると、①利用者の端末に記録された利用者に関する情報を、②利用者の端末から外部に送信する機能を起動させるプログラム等を送信すること、になります。
この点、①ですが、個人情報に限定されていないことに注意を要します。すなわち、IPアドレス、アクセス先ファイル、アクセス日時など端末内に記録されているあらゆる情報が対象となっていることを押さえておく必要があります。
また、②ですが、世間一般ではCookie規制と言われているため、Cookieのみが対象となる誤解を招いていますが、そうではありません。情報収集モジュール等を設置して外部送信させる場合は全て該当することになります。但し、電気通信事業法施行規則第22条の2の30では、一部例外を設けています。
| 法第27条の12第1号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。
①当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報 ②当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報 ③当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報 ④当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報 ⑤当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報 |
具体例として、
1号は、利用者端末のOS情報やブラウザ情報など
2号は、オンラインショップの買い物かご内に記録された商品の再表示に必要な情報など
3号は、ログイン時の認証情報など
4号は、セキュリティ対策に必要な情報など
5号は、負荷分散実施のための情報など
がそれぞれ該当します。
色々と書きましたが、例えば、Google Analyticsを用いる場合、上記のような例外以外の情報をグーグル社に提供することから、外部送信規律(いわゆるCookie規制)の対象行為と判断することになります。外部サービスと連携し、利用者の端末に記録された情報を外部サービス提供事業者に送信する場合、ほぼ例外には該当しないと考えたおいたほうがよいかもしれません。
(3)対応措置
外部送信規律(いわゆるCookie規制)の適用対象事業者であり、Cookie等を用いて端末に記録された情報を外部送信(情報送信指令通信)する場合、事業者は、電気通信事業法第27条の12に基づき、次のような措置を講じる必要があります。
| 電気通信事業者又は第三号事業を営む者…は、…あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。 |
原則的な対応としては、法が定める事項について「通知又は公表」を行うことになります。
法が定める通知又は公表事項は次の通りです。
・外部送信される利用者に関する情報の内容(電気通信事業法第27条の12、電気通信事業法施行規則第22条の2の29第1号)
・情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称(電気通信事業法施行規則第22条の2の29第2号)
・利用目的(電気通信事業法施行規則第22条の2の29第3号)
(※利用目的については、送信元事業者(つまり自社のこと)と送信先事業者の両方の利用目的を記載する必要があることに注意)
また、通知又は公表に際しては、次のように理解しやすい言葉で表現する、公表事項を記載したページに容易な操作でたどり着けるようにする等の要求事項もあります。
これについては、次に引用した電気通信事業法施行規則第22条の2の28を確認してください。
| 1 法第27条の12の規定により利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするときは、次の各号のいずれにも該当する方法により、次条各号に掲げる事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。
①日本語を用い、専門用語を避け、及び平易な表現を用いること。 ②操作を行うことなく文字が適切な大きさで利用者の電気通信設備の映像面に表示されるようにすること。 ②前2号に掲げるもののほか、利用者が次条各号に掲げる事項について容易に確認できるようにすること。 2 前項の利用者に通知する場合には、同項各号に掲げるもののほか、次の各号のいずれかに該当する方法により行わなければならない。 ①次条各号に掲げる事項又は当該事項を掲載した画面の所在に関する情報を当該利用者の電気通信設備の映像面に即時に表示すること(当該事項の一部のみを表示する場合には、利用者がその残部を掲載した画面に容易に到達できるようにすること。)。 ②前号に掲げる方法と同等以上に利用者が容易に認識できるようにすること。 3 第1項の利用者が容易に知り得る状態に置く場合には、同項各号に掲げるもののほか、次の各号のいずれかに該当する方法により行わなければならない。 ①情報送信指令通信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、次条各号に掲げる事項を表示すること。 ②情報送信指令通信を行うソフトウェアを利用する際に、利用者の電気通信設備の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、次条各号に掲げる事項を表示すること。 ③前2号に掲げる方法と同等以上に利用者が容易に到達できるようにすること。 |
上記を整理すると、「通知」の場合は、日本語で記載、専門用語は使わない、平易な表現を使う、拡大・縮小等の操作を行うことなく文字が適切な大きさで表示されるようにする、通知すべき事項を容易に確認できるようにする、通知すべき事項を記載した画面の場所に関する情報(リンク等)をポップアップ等により表示する、ことがポイントとなります。
一方、「公表」の場合、日本語で記載、専門用語は使わない、平易な表現を使う、拡大・縮小等の操作を行うことなく文字が適切な大きさで表示されるようにする、(ウェブサイトの場合)外部送信のプログラムを送るページ又はそのページから容易に到達できるページ等において、公表事項を表示する、(アプリの場合)最初に表示される画面、そこから容易に到達できる画面等において、公表事項を表示する、ことがポイントとなります。
なお、原則的な対応は「通知又は公表」ですが、外部送信されることについて利用者より同意を得る方法(電気通信事業法第27条の12第3号)、オプトアウト措置(電気通信事業法第27条の12第4号)で対応することも可能です。
国内で事業展開するだけであれば、同意やオプトアウト措置まで講じる必要性は乏しいと考えられますが、ヨーロッパのGDPR等、アメリカ・カリフォルニア州のCCPA/CPRA等への対応まで意識するのであれば、「通知又は公表」だけでは不十分と考えられます。
(参考)
・電気通信事業における個人情報等の保護に関するガイドライン(総務省)
・パンフレット「外部送信規律について ウェブサイトやアプリケーションを運営している皆様、御確認ください!」(総務省)
4.現場実務での対処法
電気通信事業法が改正される前までは、電気通信事業者への該当性、すなわち「他人の通信を媒介するのか」を検討し、非該当さえ確認できれば、電気通信事業法を意識する必要はないというのが現場実務での判断でした。
なぜなら、仮に「他人の需要に応ずる」サービスであるとして電気通信事業を営む者に該当したとしても、いわゆる3号事業者なので登録・届出が不要、電気通信事業法の大部分について適用がないからです。
しかし、2023年6月16日より施行された改正電気通信事業法の外部送信規律(いわゆるCookie規制)が導入されたことにより、上記のような現場実務判断は通用しなくなります。
今後は、事業者が提供しているサービス内容を正確に把握した上で、
・他人の通信を媒介するのか
・他人の需要に応ずるためなのか
の2つの事項を合わせて検討し、外部送信規律(いわゆるCookie規制)の適用対象となるかを判断した上で、
・サービスを提供するに当たり、利用者の端末に記録された情報を利用者以外の者(利用者以外ですので事業者自身を含むことに注意)に送信する機能を実装していないか
・実装しているのであれば、原則として法的事項を通知又は公表する
という対応が必要となります。
5.当事務所でサポートできること
WEBサービスの展開にご相談を受ける場合、なかなか電気通信事業法まで意識がいっていない事業者が多いと感じているところですが、おそらく外部送信規律(いわゆるCookie規制)まで十分対応できている事業者は少数ではないかと予測するところです。
当事務所では、外部送信規律(いわゆるCookie規制)の通知又は公表事項の作成(Cookieポリシーなど)はもちろん、WEBサービスの展開に際して、電気通信事業法のみならず他の法規制の可能性や対処法につき積極的にアドバイス等を行っています。
WEBサービスを展開する上で気になることがございましたら、是非当事務所をご利用ください。
<2023年7月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。