こんにちは!BICP DATAの中村です。
改正電気通信事業法をFAQから整理するシリーズ。いよいよ最終回です。
ガイドラインも確定し、施行日もいよいよ迫ってきました。社内の最終確認のために参考にしてくださいね!
1.通知・公表すべき情報の内容とは
改正電通法に基づき、利用者に関する情報を送信する際に利用者に通知・公表しなければならない事項は、以下の通りです。
① 当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容
② 当該情報の送信先となる第三者の氏名又は名称
③ 当該情報の利用目的
以下、それぞれについて見ていきます。
(1)情報の内容
これには、利用者の端末に記録されている利用者に関する情報全般を指し、Cookieに保存されたIDや広告ID等の識別符号、利用者が閲覧したウェブページのURL等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます(問4-1)。
個人情報保護法でいうところの、個人情報と個人関連情報のいずれも、ということになりますね。
(2)情報送信先の氏名又は名称
これについては、仮にサービス提供者よりもサービス名の方が有名であったとしても、サービス提供者の氏名又は名称を記載しなければならず、かつその有名であるサービス名をも併記することが望ましい、とされています。
サービス提供者の氏名又は名称は必須で、サービス名が有名であればサービス名を併記することでより利用者が理解しやすくなり、利用者にとってメリットあり、ということですね。
(3)利用目的
(a) 利用目的は誰の利用目的を書くのか?
これについては、原則として送信先と送信元双方における利用目的を記載することが求められます。
なお、
① 送信先に送信された後、送信先から送信元に提供する場合
② 送信先からさらに別の者に提供される場合
は当該情報の第三者提供に該当し、電通法の外部送信規律の問題ではありません。
(b)利用目的が記載された別のページのURLを貼るだけでよいのか?
利用目的が記載された送信先のウェブページへのリンク(プライバシーポリシー等へのリンク)を示す方法で公表した、といえます。
この場合、利用者の便宜のため、単に当該リンク先を表示するだけではなく、リンク先で表示される内容の概略を併せて示すことが望ましいとされています。ただ、それだとリンクを貼るのではなく、その場に利用目的を書くのと大差ない気もしますね・・・ただ、「概略」なので、例えば、広告目的、分析目的、といった粒度を想定していると考えると良いのかもしれません。
なお、リンク先が英語等日本語以外で記載されている場合は、リンク先の表示のみの対応は認められません。意外とリンク先の表示のみでやっている気がしますね。グローバル企業への情報送信の場合には注意が必要です。
2 例外:通知・公表が不要な場合
ここまでは、外部送信を行う際に、通知・公表が必要とされる原則形態について、各論点について見てきましたが、ここからは、例外的な場面についての検討になります。
法は、外部送信を行うにあたり、送信する情報の内容等通知・公表しなければならないとしていますが、例外的に、以下の情報については通知・公表は不要、としています。
①②についてはインターネットでのサービス提供に必要不可欠なものといえるため、あえて利用者に知らせる必要のないものといえるでしょう。
また、③については、利用者が送信することを同意している以上、利用者にその情報について改めて通知・公表する必要はない、ということで、当然の規定かもしれません。ただ、利用者が当該情報を外部に送信する、ということの意味を真摯に理解して真意に基づいて同意している必要があることは言うまでもありません。
これらの例外①②④について、いくつかFAQに掲載されていますので、以下見ていきましょう。
(1)例外①に関して
上記例外①として、「サービスの提供のために、映像等を利用者の電気通信設備の映像面に適正に表示するために必要な情報送信の場合」がありますが、法律上はそれに加えて、「その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報」とあります。これは具体的にはどのような情報なのでしょうか。
これについては、
(ア) 利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電気通信事業者に送信される情報
(イ) 利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信事業者以外の第三者に送信することが必要不可欠な情報
が該当します。
(ア)はすなわち、そもそも外部送信規律はサービス提供事業者自身に送信される場合には適用がない、ということを指していますね。外部送信規律についての絵でも「第三者のサーバ」と書かれているのはこの原則に基づくものです。
また、当該電気通信役務を提供する電気通信事業者に送信される情報であっても、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、該当しません。
(2)例外②「識別符号」とはなにか
次に、「識別符号」についても除外されていますが、これは、First Party Cookieに保存されたIDなどのことをいいます。アプリケーションなどではIDFAやAAIDなどが該当します(6-1)。
ただし、IDなどと同時に当該電気通信事業者に送信される利用者に関する情報および当該IDを利用して第三者に提供される利用者に関する情報は除外されません(6-3、4)。但し、これらの情報のうち、当該サービスを提供するために真に必要な情報については「識別符号」として外部送信規律の適用除外となります。
3 例外④:オプトアウト措置を講じている場合
(1)概要
オプトアウト措置とは、利用者の求めに応じて、当該利用者に対し、情報の送信又は利用を停止する措置をいいます(問5-1)。
そして、オプトアウト措置を講じている場合であって、そのオプトアウト措置について以下の事項を利用者が容易に知りうる状態に置いている場合には、外部送信している情報についての通知・公表は不要である、とされています。
そして、オプトアウト措置についての公表事項については、外部送信規律の原則形態である「公表」と同程度の方法で行うことが望ましい、とされています(問5-2)。
(2)公表事項
オプトアウト措置について公表していることが求められる事項は以下の通りです。
これはよく見てみると、(オ)(カ)(キ)については、情報の外部送信を行っている場合に通知・公表しなければならない事項である、
① 送信されることとなる利用者に関する情報の内容
② ①の情報を取り扱うこととなる者の氏名又は名称
③ ①の情報の利用目的
とイコールですね。
ですので、オプトアウト措置を取っている場合でも、取っていない場合と比べて負担が軽いというわけではなさそうです。
これについては、利用者にとって利用しやすい方法を採用する必要があり、例えば、
・ボタンのクリックやタップ
・ホームページ上の指定フォームへの入力
・ダッシュボードでの操作
・リンクの表示
といった方法が例としてあげられています。
これは、利用者がオプトアウト措置の適用を求めた場合に、利用者が提供を受けるサービスの利用が制限されることになる場合を指しています。
例えば、情報送信指令通信を行うウェブサイト等を利用できなくなる、当該ウェブサイト等の特定の機能を利用できなくなる、といったことが想定されます。
これは機能的cookieをオプトアウトするとサイトが適切に表示されない場合、といったケースがわかりやすい例として挙げられます。
4.最後に
これまで総務省のホームページに掲載されているFAQを読みやすい形で整理してきました。
2023年2月には、「外部送信規律について ウェブサイトやアプリケーションを運営している皆様、御確認ください!」というパンフレットも提供されました。最終確定したガイドラインも提供されました。この先さらに情報があふれてくるかと思います。
各社さんが対応を進める中で、FAQやガイドラインでカバーされていない疑問が出てくることでしょう。
その時に立ち返ってほしい視点があります。
それは、
利用者・ユーザーに対して誠実に対応しているといえるためにはどういう結論を導くのが望ましいのか
です。個人情報やプライバシーの問題は、根本的には、法令遵守の問題ではなく、顧客との向き合いをどう考えるか、と捉えることが出来ます。すなわち、リーガル・エシックスの視点だけではなく、マーケティング視点でも考えることが重要になってきます。
マーケティング視点を加えることで、法律を守ってさえいれば良い、法律に当てはまらないので対応しなくて良い、という思考回路ではなく、どう対応するのが一番顧客に誠実といえるか、顧客に寄り添っているといえるか、ということを意識しながら、プライバシーについて考えてみてくださいね!
WRITTEN BY: BICP DATA Inc. 弁護士 中村恵美子