いよいよ「日本版Cookie規制」が始まる!2023年6月16日に施行された改正電気通信事業法の最新情報と企業に求められる対応とは?

2023/06/28

2024/05/21

※イベントは終了しており、本記事はウェビナーレポートの掲載となります。

6月16日に施行された改正電気通信事業法。日本版Cookie規制とも呼ばれていますが、実際に規制の対象となっているのはCookieだけではありません。「何が規制の対象なのか」に加えて、「何をしたらいいのか」「誰がやらなくてはいけないのか」が分かりにくいのが現状です。

6月6日に開催された本ウェビナーでは、各企業が対応するべき具体的なポイントや知っておきたい最新情報を、ガイドライン解説案のワーキンググループメンバーとしても活動されているDataSign社の太田祐一氏に解説いただきました。

本ウェビナーレポートは、前回、2023年1月実施ウェビナーの内容からよりアップデートした、最新版の内容となっています。
企業のデータプライバシーやデジタルマーケティングに関わっている皆様に、お役立ていただける内容です。ぜひご確認ください。

注:記事中の社名、役職名はセミナー実施時点のものとなります。

電気通信事業法改正の概要

それでは、ウェビナー本編の内容をご紹介します。

電気通信事業法改正の内容

6月16日に改正される電気通信事業法の内容は幅広く、図①のように、大きく3つの柱があります。

図①「電気通信事業法改正概要」

図①「電気通信事業法改正概要」

このうち、今回お話しするのが「②安心・安全で信頼できる通信サービス・ネットワークの確保」にあたる部分です。

その中に、こう書かれています。

■大規模な事業者が取得する利用者情報について適切な取り扱いを義務付ける
■事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する

この2つを混同している方が多く、「大規模な事業者にCookieの規制がかかる」と勘違いしている方も見られます。本日は、大規模に限らない事業者が該当する「事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する」について説明していきます。

キャッチーに「日本版Cookie規制」とも呼ばれている改正電気通信事業法ですが、規制される対象はCookieに限らず幅広いため、「Cookie規制と言うな」と主張する方もいます。その辺も今日は説明していきましょう。

施行までの流れ

規制される対象や義務について記載されているのが、外部送信規律です。外部送信規律に関しては、私が構成員として参加していた総務省のプラットフォームサービスにかかわる利用者情報の取り扱いに関するワーキンググループにて、令和3年の3月から改正の方向性、総務省令やガイドラインを検討してきました。

ガイドラインを含めて総務省から示される様々な文書については、全て交付されています。リンクは記事の末尾にまとめますので、専門的な知識を身につけたい方はぜひご確認ください。


▼参考リンク集(本記事の末尾に集約しています)

どう違う? 電気通信事業法と個人情報保護法のCookie規制

電気通信事業法のCookie規制と、個人情報保護法でのCookieに対する規制は、どう違うのでしょうか。

個人情報保護法の規制は、企業が持っている個人情報を第三者に提供するのであれば、同意を取得しましょうというものです。例えば、就職ポータルサイトが持っている利用者のIDと内定辞退可能性(内定辞退率)を他の企業に提供するのであれば、同意が必要となります。

電気通信事業法で問題視されているのは、その就職ポータルサイトが、タグを設置した外部サイトから、行動履歴を集めて内定辞退率を出している場合に、その外部サイトを訪れた人は、気づかないうちに他のサービスに行動履歴を収集されて、内定辞退率が採取されているという点です。

これは個人情報保護法自体では、何の規制もされていません。サイトを訪れた際の行動履歴が、他のサービスに収集されているのであれば、サイト側で公表または通知してくださいというのが、電気通信事業法の趣旨です。

サイトならSNS広告のタグ、アプリならSDKなど、様々なものが設置されていますが、外部に送信される情報については、公表または通知が必要となります。

図②「その他 広告タグ/SDK」

図②「その他 広告タグ/SDK」

そのことが書かれているのが、改正電気通信事業法第二十七条の十二に規定されている外部送信規律ですが、この法律の文章だけを見ても、「何をしたらいいのか」「誰がやらなくてはいけないのか」がわかりません。

外部送信規律への対応方法のまとめ

外部送信規律では、どのようなことが求められているのでしょうか。わかりやすく解説していきます。

自社で運用しているサイトやアプリがあり、タグやSDKを設置するのであれば、

1:何の目的で
2:どんな情報を
3:誰に対して送信し
4:送信先では何に使われるか

送信先毎に記載したページを作成し

【サイトの場合】
ポップアップで誘導(通知)
または
フッターにリンクを表示(公表)

【アプリの場合】
最初に表示される画面から誘導
→アプリをダウンロードして起動すると、最初に照会画面が出るのが多いですが、その中のプライバシーポリシーに、この情報をリンクしておいて誘導することが求められています。

では、1~4の情報をどう書けばいいのでしょうか?

外部通信情報の記載例(MyDataJapan提案)

私が常務理事を務めている一般社団法人MyDataJapanでは、外部送信規律で求められている情報の記載方法を提案しています。

図③「MyDataJapan提案の記載例」

図③「MyDataJapan提案の記載例」

この記載方法で言うと、
1.何の目的で
に当たるのが、リマーケティング広告と書かれている部分です。
2.どんな情報を
に当たるのが、一番左の「当社からThe Trade Deskに送信している情報」と書かれている部分です。
3.誰に対して
に当たるのが、真ん中の「The Trade Deskについて」です。
4.送信先では何に使われるかについても、書かれています。

また、プライバシーポリシーが英語でしか記載されていない場合には、日本語でまとめて書いてくださいということも、外部送信規律の要件としてあります。

MyDataJapanが提案している方式では、送信先をオプトアウト(利用停止)することも可能です。送信の停止なのか利用の停止なのか、オプトアウトをして起こる不利益は何かについても示してあります。こちらが丁寧に対応している例であると感じています。

また、外部規律で規制されているのは、Cookieだけではありません。

図④「3rd Party Cookieだけじゃない」

図④「3rd Party Cookieだけじゃない」

3rd Party Cookieが使えなくなるにあたり、クッキーレスソリューションというものが出てきています。外部送信規律では、Cookieを使っていなくても、Topic/Interest Group、JavaScriptなどの情報送信を行っているのであれば、きちんと示す必要があります。

つまり、Cookie検出ツールを使って今回の規律に対応しようとすると、Cookieしか検出されないので、外部送信規律への対応が不十分となってしまうので注意が必要です。

外部送信で規制対象となるサービスや事業者とは?

一番質問が多いのは、規制対象のサービスや事業者についてです。

  1. メールサービス、ダイレクトメッセージサービス、ウェブ会議システムなど

  2. SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービスなど

  3. オンライン検索サービス

  4. 不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス

上記の1は対象者であることがわかりやすいでしょう。2はプラットフォームサービスと呼ばれる“場”を提供しているサービスです。3は、広く検索を提供しているGoogleやYahoo!などが該当します。

4は、文章だけを読むと、サイトを作ったらすべて対象になるように思えてしまいます。分かりやすくするために、各種情報のオンライン提供にならないサービスを見ていきましょう。

・自社の情報のみを掲載しているコーポレートサイト
・自社の商品や自社で仕入れた商品の情報のみ掲載しているECサイト
・利益を得ようとしない個人ブログ
・証券取引しかできないオンライン証券会社

自社の情報や商品の情報だけであること、利益があるかないかではなく利益を得ようとしているかどうかが重要です。コーポレートサイトは、会社やサービスを知ってもらい、問い合わせをしてもらって利益を得ようとしているものだと考えることもできるので、非常に判断しにくい部分でした。

この点について、パブリック・コメント(意見公募)*の回答という形で、5月末に総務省が見解を示しました。

*パブリック・コメントとは、行政機関が政令や省令などを決める際に、あらかじめ案を公表して広く国民から意見や情報を募集する手続きのことです。

1.オンライン証券で規制対象になるケース

運用のコツや狙い目の銘柄などを紹介するようなウェブサイトが該当する

→運用のコツや狙い目の銘柄を紹介していないオンライン証券サイトはほとんどありません。ログインをして証券取引をさせる前などに、情報を提供しているサイトは規制対象となります。オウンドメディアと称されるものは規制の対象と考えた方が良いでしょう。

2.コーポレートサイトで規制対象になるケース

自社の製品サービス以外の、業界団体、事業環境にかかる情報や業務提携先の企業にかかる情報などを提供する場合、「他人の需要に応ずる」に該当すると判断される場合がある

→コーポレートサイトについても、いろいろな情報を載せているものについては、規制の対象だと考えた方が無難でしょう。

電気通信事業法については、全てのサイトやアプリが対応すべきだと、ワーキンググループでも話が出ています。今の時点で対象か対象ではないかというのは、それほど重要ではありません。今は規制の対象ではなくても、時世に応じて変わっていくことが考えられます

CMPツール(同意管理プラットフォーム)「webtru」のご紹介

ここでご紹介したいのが、DetaSignが提供するwebtru(ウェブトゥルー)です。日本の事業者であり、日本の市場に合わせてガイドラインをつくるワーキンググループの構成員である私が代表を務めているDataSignがwebtruを開発しており、同製品は既に多数の企業に導入いただいています。

どんなところにデータが外部送信されており、そのデータを何に使っているのかを各自で調べるのは難しいものですが、2017年からこの事業をスタートさせているDetaSignでは、それぞれの送信先がどんなことにデータを使用しているのかについての独自のデータベースを構築しています。

さらに、webtruは独自の特許技術により、Cookieだけではなく、規制の対象となる情報送信を全て検出する高い検出精度を持っています。もちろん、Webサイトとアプリの両方に対応しています。

webtruでは、外部送信規律が求める通知や公表についての文章を、検出結果に応じて自動的に生成することができます。公表・通知・オプトアウト・同意など、ニーズに合わせた様々なモードに対応しており、各社で既に利用されているCookieポリシーやプライバシーポリシーに埋め込む形で表示することも可能です。

改正電気通信事業法に関して、対象事業者や対応すべきことがある程度把握され、概要やイメージが掴まれたところかと思います。改正電気通信事業法の対応で、最も簡単で確実な対策がwebtruを導入いただくことです。メディアやBtoB企業まで、様々な企業に選ばれています。

一方で、対象事業者様やそのご担当者様においては、どこから手を付けたらよいのか? 他社はどんな対応をしているのか? など気になる部分もあることでしょう。

webtruの販売代理店であるイー・エージェンシーでは、webtruがスムーズに導入できるように導入支援サービスを提供しています。これからは、自社のデータプライバシー対策に注意が必要です。対策に向けてどのように準備を進めればいいのか、webtruの導入や料金に関する質問などは、ぜひ無料相談会をご活用ください。

大規模事業者以外でも対応が必要。Cookie以外の対策も求められています

改正電気通信事業法に対応が必要なのは、大規模な事業者だけではありません。「日本版Cookie規制」と呼ばれていますが、Cookieだけではなく、外部に情報を送信しているサイトやアプリであれば、対応が求められます。

自社の情報のみを掲載しているコーポレートサイトや自社の商品や自社で仕入れた商品の情報のみ掲載しているECサイト、利益を得ようとしない個人ブログ、証券取引しかできないオンライン証券会社などは今回の規制の対象にはなりません。しかし、オウンドメディアと称されるもの、様々な情報を掲載しているものについては、規制の対象になると考えた方が無難です。また、今は規制の対象ではなくても、時世に応じて変わっていくことが考えられます。

どのサイトに情報が送信されているのか、そのサイトではどのように利用されているのかといった情報を収集し、求められている文章を生成する必要がありますが、各自で確実な対応をするのは難しいものです。簡単で確実に対応できる方法を探している方は、ぜひwebtruの導入をご検討ください。

ウェビナー申し込み時 事前アンケート結果のご紹介

今回のウェビナーは、改正電気通信事業法の施行直前に開催されました。まずは、申し込み時に伺ったアンケート結果から見ていきましょう。

「2023年6月施行の改正電気通信事業法への対応状況は?」

画像:アンケート結果①

画像:アンケート結果①

2023年6月施行の改正電気通信事業法への対応状況は、「これから対応する予定」(32%)が最も多く、続いて「状況を把握していない」(28%)、「一部対応済み」(25%)、「対応済み」(10%)、「その他」(5%)となりました。

「Cookieの利用に関して実施していることはありますか?」

画像:アンケート結果②

画像:アンケート結果②

Cookieの利用に関して実施していることについては、複数回答でしたが「無回答」(57%)が最も多く、「①Cookieにより送信されるデータ・送信先の通知または事前公表」に対応済みの方が10%、「②Cookieの利用停止(オプトアウト)方法の提供」は7%、「③Cookieを利用する場合の利用者の同意取得」は8%という結果になっています。「上記①②③のいずれかを実施済み」は8%、「上記①②③のすべてを実施済み」が5%です。

「CMP(同意管理)ツールの導入状況はいかがでしょうか?」

画像:アンケート結果③

画像:アンケート結果③

CMP(同意管理)ツールの導入状況は、「わからない」(35%)が最も多く、続く「未定」(20%)を合わせると、5割程度のお客様が対応されていない状況です。続いて「導入予定なし」(19%)、「利用中」(15%)、「検討中」(9%)という結果となりました。

施行が迫るけれども対応方法を悩まれている企業様や、これから対応するにはどのようにしたらよいかといったステータスの企業様からのお申し込みが多かったという結果です。

本記事のまとめ

  • 個人情報保護法と電気通信事業者法のCookie規制の違い

    • 個人情報保護法・・・企業が持っている個人情報を第三者に提供するのであれば、同意を取得する

    • 電気通信事業法・・・サイトを訪れたユーザーの行動履歴が、他のサービスに収集されているのであれば、サイト側で公表または通知を行う。
      ※外部に送信される情報は、公表または通知が必要

  • Cookie検出ツールを使って今回の規律に対応しようとすると、Cookieしか検出されず、外部送信規律への対応が不十分となってしまう。

  • 外部送信規律への対応方法
    自社で運用しているサイトやアプリがあり、タグやSDKを設置するのであれば、
    1:何の目的で
    2:どんな情報を
    3:誰に対して送信し
    4:送信先では何に使われるか
    を送信先毎に記載したページを作成する。

【Webサイトの場合】
•ポップアップで誘導(通知)
または
•フッターにリンクを表示(公表)

【アプリの場合】
•最初に表示される画面から誘導
→アプリをダウンロードして起動する画面から誘導することが求められている。

  • CMPツール「webtru」導入で、改正電気通信事業者法に対応できる

    • 外部送信規律が求める通知や公表についての文章を、検出結果に応じて自動的に生成可能

    • 独自の特許技術により、Cookieのほか、規制の対象となる情報送信を検出可能

    • 公表・通知・オプトアウト・同意など、ニーズに合わせた様々なモードに対応

登壇者紹介

太田 祐一

太田 祐一/株式会社DataSign代表取締役社長

太田 祐一/株式会社DataSign代表取締役社長

 

<経歴>
データ活用の透明性確保と、公正なデータ流通を実現するため2016年に株式会社DataSignを設立。一般社団法人MyDataJapan常務理事。内閣官房デジタル市場競争本部TrustedWeb推進協議会委員。総務省・経産省情報信託機能の認定スキームの在り方に関する検討会委員。総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ構成員。総務省特定利用者情報の適正な取扱いに関するワーキンググループ構成員。

参考リンク集

電気通信事業法 第27条の12
https://elaws.e-gov.go.jp/document?lawid=359AC0000000086_20230616_504AC0000000070#Mp-At_27_12

電気通信事業法施行規則 第22条の2の27~31
https://elaws.e-gov.go.jp/document?lawid=360M50001000025_20230616_505M60000008002

電気通信事業における個人情報保護に関するガイドライン 本文 第五章
https://www.soumu.go.jp/main_content/000805614.pdf

電気通信事業における個人情報保護に関するガイドライン 解説 7(P248~270)
https://www.soumu.go.jp/main_content/000805807.pdf

ガイドライン解説に対するパブコメ結果 P36~60
https://www.soumu.go.jp/main_content/000880995.pdf

総務省:外部送信規律ウェブサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

合わせて読みたい

Google Marketing Platform Google Cloud Partner

イー・エージェンシーは「Google マーケティングプラットフォーム」
「Google クラウドプラットフォーム」の 認定パートナーです。

お問い合わせ

サービスに関するご相談は
こちらよりお気軽にお問い合わせください。

e-Agencyの様々な情報をSNSでお届けします!