改正電気通信事業法の外部送信規律とは? よくある疑問を弁護士がわかりやすく一問一答
2023年6月16日に施行された改正電気通信事業法では、規制対象が拡大。Web担当者に関連するのは、この法律の外部送信規律で、新Cookie規制と呼ばれることもある。「デジタルマーケターズサミット 2023 Summer」に法律事務所ZeLo・外国法共同事業の弁護士 結城東輝氏が登壇し、外部送信規律について、よく寄せられる質問を紹介しながら、どういう事業者がどんな対応をしなければならないのかを解説した。
外部送信規律とは、ユーザーの端末から第三者に送信される情報を規制していこうというもの
結城氏はまず、改正電気通信事業法の外部送信規律では、何が規制対象となっているのかを解説していった。次の図は政府がこの法律について説明するときに用いる資料だ。
■ ユーザーがWebサイトを閲覧する時のサーバとのやり取り(上左図) 左の図はユーザーがWebサイトを閲覧する時のサーバとのやり取りを示している。 ユーザーがWebサイトを閲覧する場合、Webサイトのサーバに「このコンテツを出してください」とコールされ、サーバからはコンテンツとそれに加えてプログラムが発火されたり、埋め込まれたりしている場合がある。そのプログラムによって、ユーザーの情報が自社サーバだけでなく、第三者のサーバや外部の広告に送られることがある。「外部送信規律の主旨は、ユーザーの端末から第三者のサーバに送信される情報を規制していこうというもの」と結城氏は説明する。 ■ ユーザーがアプリを閲覧する時のサーバとのやり取り(上右図) 右の図はアプリの場合の図だ。アプリの場合、SDK(ソフトウェア開発キット)と呼ばれる仕組みを通して、外部へ情報送信が行われる場合が多い。Web、アプリにかかわらず、ユーザーの情報が第三者に渡る場合、何らかの形でユーザーに確認の機会を与えてくださいというのが今回の規制の概要だ。
個人情報保護法では対応不要でも、電気通信事業法では対応が必要なケースも
2022年4月に施行された個人情報保護法では、「個人関連情報」の送信が規制され「Cookie規制」と呼ばれていたが、今回の改正電気通信事業法の外部送信規律とは別の規制である。法律ごとに保護の対象とする「情報」や「行為」は異なる。個人情報保護法では対応不要であっても、電気通信事業法への対応は必要な可能性があるので、注意が必要だ。 個人情報保護法では、Cookieが個人情報に紐づかなければ適用対象外とされていた。今回の改正電気通信事業法は、個人情報に限らず「利用者に関する情報」が外部送信に含まれている場合は対象となる。 ┌────────── 本当の意味でのCookie規制と言われるものは、どちらかというと改正電気通信事業法が該当するのでは。法律ごとに興味を寄せる関心が異なるので、日本法ではいくつかの法律にまたがってCookie規制のようなものが入ってきている(結城氏) └──────────