森・濱田松本法律事務所
弁護士　呂　佳叡氏

• 印刷用PDFファイルをダウンロード
• ディスカッションレポート（PDFのみ）
• 当日いただいた質問と回答（PDFのみ）
• 当日講演資料
• 【ご参考】電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集（2023年3月24日（金）～2023年4月24日（月））（総務省）

はじめに、本規律は対象範囲がかなり広いため、Web・アプリサービスの提供を検討される際には気を付けていただく必要があります。必要な対応としては、利用者情報を外部送信することについて利用者自身に確認の機会を付与する（ポリシー等による公表、ポップアップ等による通知、同意取得、オプトアウト措置とその公表のいずれか）ということになります。

利用者が自身の端末（PC、スマホ等）でWebサイトを閲覧する際、Webサイト運営者のサーバーからコンテンツと併せて利用者の端末に記録されている情報を外部に送信させるための指令が送られ（情報送信指令通信）、その指令に基づき利用者の端末から第三者等のサーバーに、利用者が意識しないまま、利用者に関する情報が送信されるケースがあります。このようなケースについて、きちんと利用者が確認できる機会を付与することが、この規律の趣旨です。

2022年の電気通信事業法改正でこの規律が追加され（第27条の12）、2023年6月16日が施行日となっています。関連する法令や文書は、総務省Webサイトでご覧いただくことができます。

• 令和4年改正電気通信事業法
• 令和4年改正電気通信事業法施行規則（総務省令）
• 「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」
• 外部送信規律FAQ
• パンフレット「外部送信規律について　ウェブサイトやアプリケーションを運営している皆様、御確認ください！」
• 「電気通信事業参入マニュアル［追補版］」とガイドブック

これまで、電気通信事業法では電気通信事業を営む者のうち登録・届出が必要な電気通信事業者（他人の通信を媒介、または電気通信回線設備を設置）以外の、登録・届出不要な第三号事業*を営む者等は規定の大部分が適用除外となっていました。

• 第三号事業:「電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務（中略）を電気通信回線設備を設置することなく提供する電気通信事業」（電気通信事業法第164条第1項第3号）

しかし、今回導入された外部送信規律では、「電気通信事業を営む者」すべてが対象になったため、従来、電気通信事業法の大部分が適用除外となっていた、コミュニケーションや取引等の「場」を提供するSNSやオンラインショッピングモール・シェアリングサービス、情報を提供するオンライン検索サービスや各種情報のオンライン提供事業等も適用対象に含まれることになります。したがって、「電気通信事業を営む者」に当たるかどうかというのが重要なイシューになります。

「電気通信事業を営む者」に当たるかどうかを判断する際に、事業者の皆さまにおかれて一番問題になると思われる要素は、「他人のために役務を提供しているかどうか」という点です。自社や自社商品を紹介するためのWebサイトや社内システム、自社商品を販売するためのECサイト等は該当しません。一方で、オンラインニュースや映像配信等、自社商品・サービス自体がインターネット経由で提供されるものである場合（電気通信役務を提供しなければ成り立たないサービス）は、第三号事業となります。

自社が「電気通信事業を営む者」に該当する場合、次に「利用者の利益に及ぼす影響が少なくない電気通信役務」を提供しているかどうかが規律の対象になるかを判断する基準となります。「まだサービス利用者が少ないので、利用者の利益に及ぼす影響が少ないと判断してよいか」というご質問をいただくことがありますが、利用者の多寡ではなくあくまでも役務の性質により判断されます。

改正電気通信事業法施行規則第22条の2の27では、ブラウザやアプリにより提供される

1. 他人の通信を媒介するメール、チャット、Web会議システム等（＝電気通信事業者（届出・登録事業者））
2. 不特定多数の利用者間で投稿・閲覧する「場」を提供するSNS、オンラインショッピングモール、ストリーミングサービス等
3. オンライン検索サービス
4. 各種情報のオンライン提供サービス（ニュース等配信サイト/アプリ、動画配信サービス、オンライン地図サービス等）

を「利用者の利益に及ぼす影響が少なくない電気通信役務」と定めています。

4.各種情報のオンライン提供サービスは範囲が広く、前述の「電気通信事業者または第三号事業者」に当たるか否かが問題となることも多いので、総務省が作成した、外部送信規律の対象かどうかを確認できるフローチャート*もぜひご活用ください。

• 総務省パンフレットP16

情報送信指令通信とは、「利用者に関する情報が記録された利用者の電気通信設備に対して、記録されている情報を利用者以外の電気通信設備に送信させる指令となるプログラムを送信すること」です。

ここで注意していただきたいのは、「利用者以外の電気通信設備」には、利用者が認識していない第三者のサーバー等だけでなく、利用者が閲覧/利用しているWebサイト運営者やアプリ提供者といったいわゆるファーストパーティのサーバー等も含まれるという点です。

利用者の電気通信設備には、パソコンやスマートフォン、タブレット等が含まれます。また、利用者に関する情報は、個人情報保護法でいうところの個人情報に限定されず、Cookieに保存されたID等の端末識別子、閲覧したWebサイトURL等利用者の行動に関する情報等、利用者の電気通信設備に記録されている情報が幅広く含まれています。

現在公開されている「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」に基づき、具体的にどのような対応が求められているかをご説明します。

通知・公表の方法は、改正電気通信事業法施行規則第22条の2の28に定められています。
通知・公表の双方に共通して求められることとして、

• 日本語を用い、専門用語を避け、平易な表現を使って説明する。
• 利用者が拡大・縮小等の操作を行うことなく、適切な文字の大きさで表示されるようにする。
• 利用者が容易に確認できるようにする（背景色を考慮した文字色を採用し視認性を高める、量が多い場合は階層化する　等）。

が挙げられます。また、ガイドライン解説案では、プライバシーポリシー、クッキーポリシーに記載する際に、本規律に関する内容が含まれることをタイトルや見出しに明記し、一括して確認できるように工夫することが望ましいとされています。

また、通知の際には、

• 通知すべき事項または当該事項の掲載画面に関する情報を即時に表示する（ポップアップ形式等）。
• 一部のみを即時表示する場合は、1回程度の操作で残部を確認できるようにする。

ことが求められています。なお、表示方式は、同等以上に利用者が容易に認識できる方法であれば、ポップアップ形式に限定されず、新しい技術やインターフェースを電気通信事業者の創意工夫で採用することが可能です。

公表に際しては、

• Webサイトの場合：情報送信指令通信を行うWebページまたは当該Webページから容易に到達できる（1回程度の操作）Webページに通知すべき事項を表示する。
• アプリケーションの場合：利用者の電気通信設備の映像面に最初に表示される画面または当該画面から容易に到達できる画面に通知すべき事項を表示する。

必要があります。こちらも、同等以上に利用者が容易に到達できるのであれば、新しい技術やユーザーインターフェースを採用することも可能です。

また、通知・公表する内容は、以下のように規定されています。

• 送信される情報の内容（具体的に列挙し、安易に「等」「その他」等のあいまいな表現を使用することは避けるなど適切に記載するのが望ましい（「等」「その他」を使うことが禁止されるわけではない）。）
• 送信先の者の氏名または名称（事業者の名称よりもサービス名の方が認知されやすい場合等は併記することが望ましい。）
• 送信される情報の利用目的（利用者が現にアクセス・利用しているファーストパーティでの利用目的だけでなく、サードパーティ送信先での利用目的も記載する必要がある。）

これらの情報は「情報送信指令通信ごとに」記載されることが求められているため、Webページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに記載する必要があります。ただし、情報送信指令通信が行われる都度通知する必要はなく、Webサイト単位でまとめて表示する方法も考えられます。

なお、この規律はあくまでも利用者の電気通信設備から外部に送信される際に適用されるもので、送信先からファーストパーティに提供する場合や、送信先からさらに別の第三者に提供される場合は対象外となります。また、送信先が記載例等を示している場合にはそれを参照することが望ましいとされています。広く用いられている情報収集モジュール等について、Webサイトごとに異なる説明がされていると利用者にとってはわかりにくくなってしまうため、記載例の参照が望ましいとされています。

さらに、法律で要求されているものではありませんが、オプトアウト措置の有無や送信される情報の送信先における保存期間、情報送信指令通信に係るファーストパーティにおける問合せ先等も、通知等を行うことが望ましい事項として示されています。

同意を取る場合に関しては、法律・省令で具体的な方法は定められていませんが、適切な確認の機会を付与するという法律の趣旨に沿って、しっかりと情報提供し、確実な形で同意を取ることが望ましいとされています。

同意の取得により適切な確認の機会を付与したとするためには、まずは通知・公表と同様の方法で同意の対象となる情報の内容や送信先、利用目的を利用者が容易かつ適時に確認可能とし、そのうえで、同意のチェックボックスにあらかじめチェックを付す等の方法は避け、利用者から具体的かつ能動的な同意を取得する必要があるとしています。

オプトアウトについては、利用者の求めに応じて(1)情報の送信、(2)情報の利用のいずれかを停止すればよいこととなっています。オプトアウト措置を講じる場合は、ただ手段を用意するだけでなく、利用者が容易に認識できるよう公表することも必要です。公表の際には、

• オプトアウト措置を講じていること
• オプトアウト措置が、情報の送信または情報の利用のどちらを停止するものであるか
• オプトアウト措置を申し込むための方法
• オプトアウト措置の適用を求めたことによりサービスの利用が制限される場合はその内容
• 通知・公表する場合と同じ内容（送信される情報の内容、送信先、利用目的）

を明記する必要があります。

外部送信される情報が以下の場合は適用除外となります。

• 電気通信役務を利用する際に送信することが必要な情報
• 利用者が利用しているWebサイトやアプリケーションを提供している事業者が、利用者識別のために利用者に付与したIDをその事業者に返す場合

このうち、「電気通信役務を利用する際に送信することが必要な情報」には、以下のようなものが挙げられています。

1. OS情報や画面設定情報、言語設定情報、ブラウザ情報等の適正な表示のために必要な一定の情報、その他電気通役務の提供のために真に必要な情報
   サービス提供事業者に送信される情報は原則として「真に必要な情報」に該当すると考えられるものの、当該サービスを利用するにあたり必ずしも必要がなく、一般の利用者が送信されることを通常想定できない情報や、通常想定できない利用目的で利用される情報は、「真に必要な情報」には該当しないとされています。他方、サービス提供事業者以外に送信される情報は原則として「真に必要な情報」には該当しない（例外はあり得る）と整理されています。
2. 利用者が当該サービスを利用する際に入力した情報を再表示するために必要な情報
3. ログイン時に入力した情報を再表示するために必要な情報
4. 当該サービスに対する不正検知のために必要な情報（セキュリティ対策に必要な情報）
5. 電気通信設備の負荷軽減その他電気通通信設備の適切な運用のために必要な情報

また、ファーストパーティCookieに関しては、その中に保存されたIDは（改正電気通信事業法第27条の12第2号により）直接適用除外となっていますが、その他の保存された情報は、原則として「真に必要な情報」に該当するため適用除外に当たると整理されています。また、ファーストパーティCookieに保存されたIDを利用してサービス提供者以外の第三者に利用者に関する情報を送信する場合に関しては、利用者が希望しているサービス提供にあたって送信することが必要不可欠でない限り、適用除外とはならないとされています。

今回は、2022年12月に公開された「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」をもとに解説しました。ガイドラインの解説案は、近くパブリックコメントに付され、その後確定版が公表されるので、ぜひそちらも確認しながら対策を進めてください。