( KNOWLEDGE )
外部送信規律 「公表」の記載例【わかりやすい外部送信規律解説(5)】
外部送信規律
スピード対応ナビ
Web/アプリの外部送信先を徹底検知し、法令対応を最短3営業日で完了
公開:2023/04/27 更新:2023/06/02 記載:株式会社プライバシーテック
【Cookie規制/電気通信事業法改正ガイドライン解説】サイト運営者・Web広告企業のほとんどが対象!? 外部送信規律とは
外部送信規律への対象事業者やリスク、対応方法をここまで説明してきました。いよいよ、Webサイトへ外部送信規律に関する情報を開示する際、具体的にどのように記載すればいいのでしょうか。ここでは、業界団体や弁護士見解を踏まえ、外部送信規律の「公表」における記載例を解説します。
◆ この記事でわかること
===
外部送信を「公表(容易にわかる状態に)」するにあたって、
・どのページに記載するか?
・具体的な記載例・ページの構成要素はなにか?
・どう誘導するか(「容易に知り得る状態」の具体的な実装方法とはなにか)?
===
◆ 関連記事
===
(1) 外部送信規律とは
(2) 対象事業者(フローチャート)
(3) 違反時の罰則とリスク
(4) AI活用やDXを推進する組織に最適な対応方法
(5) 「公表」時における記載例 → この記事
(6) 用語集
===
どのページに記載するか?[設置ページ例]
外部送信に関する内容の確認付与の機会の提供において、容易に知り得る状態(公表)を実現する方法として、以下のページへの記載する方法があります。
外部送信ポリシー
新規で外部送信に関する情報を集約したページを作成するパターン。
メリット:
・外部送信規律の要件に準拠したページ構成が可能。
・柔軟に更新することが可能(公表対応の場合、改定時の同意取得が不要であるため)
デメリット:
・容易に知り得る状態にするための導線確保が必要(下記で説明します)
クッキーポリシーページ
現状のCookieポリシーのページを改め、Cookieやアプリの情報送信指令内容を網羅した「外部送信ポリシー」ページに集約するパターン。
メリット:
・すでに容易に知り得る状態に置かれているケースがある
デメリット:
・外部送信の記載要件を満たしていない可能性がある。
・クッキーだけに限定されない(アプリ等の外部送信の網羅が必要な)ため、名称を検討する必要がある(例:「クッキーを含めた外部送信について」「クッキーポリシー・外部送信ポリシー」など)
・送信先(サービス名・社名)、送信目的、送信情報を、平易な日本語で説明する対応が必要
プライバシーポリシー内
プライバシーポリシー内に記載するパターン。
メリット:
・すでに容易に知り得る状態に置かれている
デメリット:
・外部送信先に関する記載が含まれることを、タイトルや見出し等に明記し、かつ一覧で確認できる工夫が求められる
・改定の際の承認手続きによる柔軟な更新対応が難しい
プライバシーセンター等
プライバシー関連の情報を集約したコンテンツ(プライバシーセンター)等のコンテンツのひとつとして掲載するパターン。
メリット:
・すでに容易に知り得る状態に置かれている
デメリット:
・改定の際の承認手続きによる柔軟な更新対応が難しい
どう記載するか?[記載例]
外部送信規律について、独自のページを作成する場合の例を紹介します。
① タイトル
外部送信規律に対応したページであることがわかりやすいタイトルをつけましょう。
② 制定日・改定日
外部送信規律については、定期的(約半年ごと)に更新していくことが前提となります。ページの最終更新日を明記しておきましょう。
③ 前文
当該ページが何を目的としているのか、利用者視点でわかりやすく説明しましょう。
また、以下の要素を盛り込むと、利用者にとっての理解の向上につながると考えられます。
(記載要素の例)
・プライバシーポリシーなど、他の文面との関係
・外部送信規律に関する説明
・法令上の位置づけ
④ もくじ
利用者が、当該ページのどこにどのような情報が書いているのかがわかりやすいよう、分量が増える場合はもくじをつけると親切です。
⑤ 送信目的分類
外部送信規律では、外部送信プログラムごとに、送信先となるサービス名(運営企業名)・送信目的や送信情報を、「日本語を用い、専門用語を避け、及び平易な表現を用い」て記載することが義務付けられています。
一方、送信先が100を超えるケースも珍しくなく、その際、送信先別に、送信目的や送信情報の表記を行なうと、利用者からかえって、理解がしづらくなる懸念があります。
そのため、予め送信目的を分類し、その分類を示す方法が有効であると考えられます。
(送信目的の分類例)
1. 広告配信
2. 分析
3. 外部サービス連携
4. ウェブサイトやアプリにおけるサービスに必要なツール
(参考:JIAA)
⑥ 送信情報
送信目的と同様の理由で、予め送信情報を分類して示します。
(送信情報の分類例)
(1) 閲覧した内容についての情報(カテゴリー分類、商品名等)
(2) 閲覧の履歴(閲覧した日時、URL、リンク元のURL等)
(3) 購入や行動の履歴(購入や申し込みの際の日時、識別番号等)
(4) 閲覧した人や機器を識別する情報(ユーザーID、ブラウザ・デバイス識別子等)
(5) 閲覧した機器の位置についての情報(IPアドレス、GPS情報等)
(参考:JIAA)
なお、総務省のガイドライン解説案のパブリックコメントの結果で「7-3-1 通知すべき事項」の送信される情報について「例えば、『ウェブサイト閲覧履歴』や『サービス購入履歴』、『商品購入履歴等のような記載粒度で良いとの理解で良いか」という意見に対し、「個別の事案ごとに判断されることになりますが、いただいた記載粒度でも問題ないものと考えられます」との考え方が示されています。
こちらでは、上記粒度に加えた情報の項目を例示し、「3. 外部送信先一覧」で個別のサービスごとに上記粒度で情報の内容を記載する形をとっております。このような記載で問題ないことが、総務省とJIAAとの意見交換で確認されております。
⑦ 送信先一覧
以下の情報の記載が求められます。(★は必須、他は任意)
送信先サービス名★
・事業者名:【必須ではないが、サービス名よりも社名のほうが認知されている場合等は記載が望ましい】
・利用目的★:【⑤で分類した番号で記載】
・送信情報★:【⑥で分類した番号で記載】
・プライバシーポリシーURL
・オプトアウトページURL
⑧ 停止方法
外部送信を停止する方法として、外部送信先のオプトアウトページで対応可能なケース、利用者の端末側で設定可能なケースがあります。それぞれのケースを記載すると、利用者へのホスピタリティが向上します。
⑨ 問い合わせ先
上記⑧と同様、疑問や不安をもった利用者への相談窓口を設けると、より利用者の安心感の向上につながるでしょう。
⑩ 更新履歴
②で制定日・改定日を記載している場合は必須ではありませんが、どのような情報を更新したかを記載すると、改定時の差分がわかりやすくなります。
なお、当社の場合の記載イメージはこちらをご参照ください。(まだまだ読みやすさや、クリエイティビティの観点でカイゼンの余地がありますが、ひとまずシンプルに作成しています)
https://privacytech.co.jp/datatransfer-policy
どう誘導するか?[導線の例]
外部送信規律に関する詳細(外部送信ポリシー)ページへ、外部送信を行っているどのページからも、1クリック(1タップ)程度の操作でアクセスできるようリンクを配置するなど、利用者が容易にアクセス(到達)できるようにすることが求められています。
<Webサイトの場合>
情報通信司令を行なうウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、通知等すべき事項を表示すること。(第51条第4項第1号関係)
<アプリの場合>
情報送信司令通信を行なうソフトウェアを利用する際に、利用者の電気通信設備の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、通知等すべき事項を表示すること。(第51条第4項第2号関係)
アプリでの「公表」対応における 「最初に表示される画面から容易に到達できる画面」の具体例①
利用者にとってのアプリの利用体験(ユーザビリティ)の阻害にならない範囲においてホーム画面から数タップ程度で到達できる場所に詳細を記載したページへのリンクを表示する。 (「プライバシーポリシー」や「利用規約」などがある、既存の利用者が所在を想起しやすい場所に設置する)
アプリでの「公表」対応における 「最初に表示される画面から容易に到達できる画面」の具体例②
起動時にポップアップやスプラッシュ画面などを用いる場合は、詳細を記載したページへのリンクを表示する。※ プライバシーポリシーへの変更や重要な告知等を、ポップアップやスプラッシュ画面を使って実施する場合、必ずしもこれらの画面内において、リンクを表示する必要はない。
なお、総務省のガイドライン解説案のパブリックコメントの結果で「7-2-3 容易に知り得る状態に置く場合に求められる事項」について「『起動後最初に表示される画面』は単純に起動後すぐの画面という意味ではなく、およそ当該アプリケーションを利用する際に一般的に初期の画面となる画面であることを意図しているということでよいか」、また、「『当該事項を表示する画面へのリンクを記載』とあるが、アプリケーションにおいてはウェブページのように単純なリンクを貼り付けること以外にも、複数のメニューボタンを設置し、そのメニューボタンから必要な情報のたどり着く構成が一般的であると考えられる。単純なリンクではなく、アプリケーション独特のメニューなどのインターフェースによる遷移も可能であるということでよいか」という意見に対し、「ご理解の通りです。総務省のホームページにおいて掲載しているFAQ等において、明確化を検討します」との回答が示されています。
上記の回答や、主要事業者間との実対応上の確認をふまえ、上記のUXの対応で妥当であると考えられます。
◆ 関連記事
===
(1) 外部送信規律とは
(2) 対象事業者(フローチャート)
(3) 違反時の罰則とリスク
(4) AI活用やDXを推進する組織に最適な対応方法
(5) 「公表」時における記載例 → この記事
(6) 用語集
===
◆ 参考
総務省 外部送信規律
https://www.soumu.go.jp/mainsosiki/johotsusin/dsyohi/gaibusoushinkiritsu.html
#外部送信規律 #改正電気通信事業法 #改正電通法 #外部送信
Web/アプリ運営者必見 外部送信規律 スピード対応マニュアル(株式会社プライバシーテック)
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。