外部送信規律とは？【わかりやすい外部送信規律解説(1)】

公開：2023/04/27　更新：2023/05/28　記載：株式会社プライバシーテック

【Cookie規制/電気通信事業法改正ガイドライン解説】サイト運営者・Web広告企業のほとんどが対象!? 外部送信規律とは

◆ この記事でわかること
===
・2023年6月16日より、電気通信事業法改正により「外部送信規律」が施行
・オンラインビジネスを行なう、多くの企業が対象
・Webブラウザ･アプリから送信される利用者情報の「確認機会の付与」が義務化
・対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金
===

◆ 関連記事
===
(1) 外部送信規律とは → この記事
(2) 対象事業者（フローチャート）
(3) 違反時の罰則とリスク
(4) AI活用やDXを推進する組織に最適な対応方法
(5) 「公表」時における記載例
(6) 用語集
===

改正電通法(2023年6月)の概要

そもそも、電気通信事業法とは、電気通信の健全な発達と国民の利便の確保を図るために制定された法律で、電気通信事業に関する詳細な規定が盛り込まれています。

電気通信事業というとNTTやソフトバンク等の通信キャリア等の事業者を思い浮かべるかもしれません。それは今までは正しい感覚でしたが2023年6月16日に電気通信事業法が改正されると話は変わってきてしまいます。

2023年6月16日から改正電気通信事業法（以下、改正電通法といいます）（2022年6月に国会で成立）が施行されることになり、以下の２つの新しい規律が追加となりました。

（1） 「特定利用者情報の適切な取り扱い」に関する規律
（2） 「利用者情報の外部送信」に関する規律（以下「外部送信規律」という）

（1）の規律は、利用者数が1,000万人（有料サービスの場合は500万人）を超えるサービスを提供している事業者に対して、特定利用者情報を守るための義務（社内ルールの策定や、利用者情報の取扱方針の公表、統括責任者の選任など）が盛り込まれるものとなっています。

（2）の規律は、事業者が外部送信をしている場合に、利用者に対する細かい情報開示を義務づける規律です。この規律は、一般に認識されている電気通信事業者よりも幅広い事業者が対象で、具体的には、Webサイトやアプリを運営する多くの事業者が対象となります。

今回の改正で多くの事業者に影響があるのは、2つの改正点のうちの（2）「外部送信規律」に関してです。それでは、その「外部送信規律」とはなんなのかを詳しく解説していきます。

外部送信規律とは

外部送信規律とは、2023年6月16日に「改正電気通信事業法（以下、改正電通法といいます）」の施行に伴い、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。

Webサイトやアプリを通じてビジネスを展開する事業者は、さまざまな目的でユーザー（利用者）のパソコンやスマートフォンなどの端末から、利用者個人に関する情報を送信するプログラム（タグやSDKなど）を実装しています。送信先は、利用しているサービスだけでなく、事業者が運営する他のサービスや、業務委託先、第三者の事業者へ送信されているケースがあります。

このようなケースにおいて外部送信規律は、利用者に対して確認の機会を付与する義務を課すルールです。確認機会の方法には、①通知、②利用者が容易に知り得る状態に置く（いわゆる公表）、③同意取得またはオプトアウト措置の提供があり、これらのいずれかを行う必要があります。 なお、「当該利用者以外の者の電気通信設備」とは、利用者がサービスを利用する際に、利用者の情報が送信されるサーバーなどのことです。第三者のサーバーだけでなく、サービスの提供事業者のサーバーも含まれます。

法令では、外部送信規律の対応について、以下のように記載されています。

電気通信事業者は、利用者に対し対象役務を提供する際に、当該利用者の電気通信設備（端末設備）を送信先とする情報送信指令通信を行おうとするときは、原則として、情報送信指令通信によって送信される情報の内容や送信先となる電気通信設備等について、当該利用者に確認の機会を付与しなければならない。

外部送信規律の要件は、3点に集約できます。

外部送信規律の対象

１点目は、インターネットでビジネスを行うほとんどの事業者が規制の対象となる点で、最もインパクトが大きい改正点となっています。電気通信事業法は、従来、通信会社やインターネットサービスプロバイダーなどを主な規制対象としてきました。これが、今回、対象の範囲が大きく広がりました。「自分たちは電気通信事業者ではないから大丈夫！」と認識していても、運営しているサービスや、サービスに実装している機能・収益モデルなどによっては、規律の適用対象となる場合があるため、改めて、確認を行う必要があります。

詳しい判定方法については、外部送信規律の対象事業者（フローチャート）をご参照ください。

外部送信規律の対象となる情報

２点目は、Webサイトだけでなく、アプリから送信される、法令上の個人情報には該当しない情報が対象となることです。例えば、Webサイトの場合はCookieに記録された閲覧履歴、アプリの場合は位置情報やトラッキング（追跡）情報などが対象となります。現状、個人情報保護法にのっとり「プライバシーポリシー」を通して個人情報取得の同意を得ているケースや、海外法（EUのGDPRなど）への準拠や透明性担保を目的として、「Cookieポリシー」や「同意取得バナー」を通じた対応を行っているケースがあるかと思われます。外部送信規律への対応は、これら現状の対応で十分なのか、追加で何か対応しないといけないのか、確認する必要があります。

外部送信規律で対応するべきこと

3点目は、Webブラウザーやアプリから送信される利用者情報に関して、確認機会の付与が義務化されていることです。確認機会の付与の方法は、原則として「通知」または「利用者が容易に知り得る状態に置くこと（以下、「公表」といいます）」となっています。これらの実装要件については、利用者視点で気づきやすく、分かりやすい実装となっていることが、従来の法令・ガイドラインよりも、より踏み込んだ形で具体化されています。また、「同意取得」または「オプトアウト」が代替策になるケースもあります。

具体的な対応方法については、外部送信規律の「公表」時の記載例をご参照ください。

（参考）個人情報保護法との違い

「外部送信規律」の趣旨や目的は個人情報保護法とかなり似ているものがあります。では、個人情報保護法に準拠していれば、新たに「外部送信規律」に対応しなくても良いのでしょうか。
結論から言うと、たとえ個人情報保護法に準拠していたとしても、新たに「外部送信規律」に対応する必要があります。それは、それぞれの法令で規制する対象が異なるからです。

個人情報保護法の規制対象の範囲は、個人を識別できる情報に限られるのに対し、「外部送信規律」は個人を識別できるかにかかわらず、広く利用者情報を規制対象にしています。

具体的に言えば、Webサイトの閲覧履歴や購入履歴は、その情報では特定の個人を識別することはできないので、個人情報保護法上の個人情報には当たらず、適用外の情報になります。しかし、外部送信規律では対応する必要がある情報になります。

（参考）海外法との関係

オンラインでやりとりされる個人に関する情報を対象とする代表的な規制として、欧州のGDPRやePrivacy指令、米国カリフォルニア州のCCPAなどがあります。外部送信規律は、これらの海外法規制を参照したうえで策定されていますが、規律の対象や内容を同じくするものではありません。グローバルで展開する事業者は、各国の法規制に準拠した対応を進める必要があります。

次へ：外部送信規律の対象事業者（フローチャート）

◆ 関連記事
===
(1) 外部送信規律とは → この記事
(2) 対象事業者（フローチャート）
(3) 違反時の罰則とリスク
(4) AI活用やDXを推進する組織に最適な対応方法
(5) 「公表」時における記載例
(6) 用語集
===

◆ 参考
総務省　外部送信規律
https://www.soumu.go.jp/mainsosiki/johotsusin/dsyohi/gaibusoushinkiritsu.html

#外部送信規律　#改正電気通信事業法　#改正電通法　#外部送信