先月6月16日に改正電気通信事業法が施行されました。
これはあまり大きく報道されていませんが、外部への送信規制の対象を広げる法律改正です。
自社サイトでも個人情報取得の画面を変更したり、何か対策しなければいけないのではないかと、不安に思われていませんか?
今回の電気通信事業法の改正は、ホームページの運用に関わりがある場合があります。
しかしまた、改正内容自体、非常に曖昧なところが多く、どう解釈すればいいのか悩ましいのが多いです。
そこで、改正の内容をなるべく整理してまとめてみました。この記事を読んでいただければ
・どんなケースだと改正電気通信事業法の外部送信規制対象になるのか。
・対象になった場合はどうすればいいか
その根拠になる総務省の資料を基にして解説しています。
改正電気通信事業法による外部送信規制
外部への送信規制というのは、簡単に言うと個人情報を外部のサーバーに送っている場合については、情報の送信先を明確にしてユーザーの同意を得る必要がありますよ、ということです。
この場合、個人情報とは、個人を特定できるメールアドレス、クッキー情報、リクエスト元のIPアドレスやアクセス日時、アクセス先のファイル、リファラー情報、ユーザーエージェント等も含んでおり、外部への送信規制に含まれます
この送信規制の対象が広げられたのが今回の改正電気通信事業法です。
ではこの法律の対象になるのは誰なのか。役務類型によって大きく4つの分類に分けられます。
(1)他人の通信を媒介する電気通信役務
(具体例)メールサービス、ダイレクトメッセージサービス、参加者を限定したクローズドのWeb会議システム
(2)利用者が情報を入力(書き込み、投稿、出品、募集など)し、その情報を不特定の利用者が受信(閲覧)できるサービス
(具体例)SNS、電子掲示板、動画共有サービス、オンラインショッピングモール(※自社ECサイトは含まれない。)、シェアリングサービス、マッチングサービス、ライブストリーミングサービス、オンラインゲーム
(3)検索エンジンサービス(※全てのWebサイトを対象とした検索サービスに限る)
(具体例)Google検索、Yahoo検索、マイクロソフトBing検索
(4)不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供する、各種情報のオンライン提供サービス
(具体例)ニュースや気象情報等の配信を行うWebサイトやアプリケーション、動画配信サービス、オンライン地図サービス

電気通信事業参入マニュアル(追補版)P4
このように自社ビジネスのために、ECサイトやホームページを運営していたりする場合は、電気通信事業法の対象業者にはなりません。よって外部送信規制の対象にはなりません。
では自社サイトで、自社製品以外の製品を取り扱っているホームページを運営していたらどうなるのでしょう?
4つの役務類型の中で一番悩むのが、4番目の各種情報のオンライン提供サービスというところだと思います。
総務省は、この判断のためのフローチャートを提供しています。

電気通信事業参入マニュアル(追補版)P5
他人のために役務を提供しているかというところがポイントです。このワークフローのうち1つでもNoであれば電気通信事業者ではないので、規制対象にはなりません。
しかし、個人事業主としてアフィリエイトプログラムでブログサイトを運営していたりする場合は、情報の送信を事業としていると見なされ、登録や届け出は不要ですが、「電気通信事業を営んでいる者」として「第3号事業を営む者」ということになります。
ややこしいことに、同じブログでの発信であっても、個人が自ら趣味でやっていて、サーバー代の一部を賄うために広告バナーを貼る場合には、電気通信事業とは認められず「第3号事業を営むにも該当しません。
4番目の役務提供の判断は非常に曖昧で線引きが難しいところですが、総務省の示すフローチャートに乗っ取って判断をするしかありません。
総務省の電気通信事業参入マニュアル(追補版)ガイドブックの後半部分「主なオンラインサービスの考え方」に企業のHP,個人のHP,ビジネスチャットや製造メーカー等が提供するIoTサービス等かなり具体的な事例が列挙されています。不安な場合は確認をお勧めします。
規制対象となった場合にやるべきこと
仮に、自社のサイトが電気通信事業に該当し、「第3号事業を営む者」となった場合はどうすればいいのでしょうか。
ポップアップの即時通知など、利用者に目立つ形で、利用者情報が外部送信されることについて利用者の同意をとり、利用者が送信を停止ができる(オプトアウト)できるようにする義務が生じます。
よく海外のホームページを見ると、サイトを訪問した直後にプライバシーポリシーについての注意書きで、大きなポップアップや出てきたりしますが、あれです。
サイトの訪問者に、どんな個人情報を取得しているのかとその目的、データの送信先を明確に示す必要があります。
具体的な文言などはこちらのサイトが参考になります。
この外部送信規定の罰則などがあるのか調べてみましたが、罰則規定のケースが多すぎてよくわかりませんでした。
ちなみに「電気通信事業に従事する者が通信の秘密を侵す行為をしたときは、三年以下の懲役又は百万円以下の罰金に処する」とあります。
いきなり罰金ということはなく、まずは総務省からの指導等が入るとは思いますが、法律なので、それなりに罰金が課されることになります。
まとめ
いかがでしたでしょうか。
総務省は「電気通信事業者」という枠組みの中で見ているので、こういったわかりにくいルールになってしまうのでしょう。
では自社が電気通信事業者ではないとわかったところで何もしなくてもいいのでしょうか。
実はインターネット上における個人情報取得という観点については、GoogleもMicrosoftも非常に神経を尖らせています。
両社とも、検索広告サービスとウェブサイトを解析するツールを無料で提供していますが、顧客に透明性を重視しています。必ず自社で自社の顧客に対しては説明を行った上で広告やツールを使ってほしい、と明言しています。
Google アナリティクスの広告向け機能に関するポリシー要件
Microsoft Clarity サイトとプライバシー ポリシーの開示に関するサンプル文言
いずれも広告やツールを使うにあたって、自社の顧客に説明と同意を得るのは、自社の責任においてやってください、という主旨です
ツールの提供元がこのように明確にプライバシーポリシーを出している以上、これらのツールを使う場合については、会社側はやはりユーザーに対して自社でどのようなツールを使っていて送信先はどこなのかというのを最低限プライバシーポリシーに明記はするべきだろうと思います。
以上 改正電気通信事業法についてご説明してきました。
プライバシーポリシーを検討されておられる会社の参考になれば幸いです。