改正電気通信事業法について
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
2023年6月16日に改正施行される電気通信事業法をご存知でしょうか。「電気通信事業法」という名前からするとECサイトに関係がなさそうなように見えますが、今回の改正ではECサイトにも影響が出てくるかもしれない条文が追加されています。
どういう内容なのか詳しくご説明したいと思います。
改正電気通信事業法では何が変わるのか?
改正電気通信事業法で新しく追加された内容、それは「外部送信規律」です。
電気通信事業法は、もともとインターネットプロバイダやレンタルサーバー等の事業を営む企業を対象とした法律です。これらの企業からサーバーやサービスの提供を受けて事業を展開するECサイト事業者にとっては、これまで関係のない法律でした。
ところが今回、従来の電気通信事業者(要届出)以外に届出が必要ない「第164条第1項第3号に掲げる電気通信事業(第三号事業)を営む者」の定義が拡大されました。この「第三号事業を営む者」とは、以下のような事業が該当します。
イ ドメイン名電気通信役務
ロ 検索情報電気通信役務
ハ 媒介相当電気通信役務
特に今回影響が出ると考えられる役務が、「ハ」と考えられます。
具体的には、下記のようなサービスが該当すると考えられます。
- 利用者間のメッセージを媒介
- 利用者に「場」を提供
これらの事業は規模に関わらず規制の対象になるということです。また、利用者数が1000万人を超えると、届出が必要な電気通信事業者となります。
そして、利用者から外部へ送信される情報(Cookieも含め)に透明性を持たせるためにできた条項が、「外部送信規律」です。
名前を聞いただけではわかりにくい概念なので、詳しく見ていくことにしましょう。
外部送信規律とは
多くのウェブサイトやECサイトでは、
- 訪問者のログイン状態の制御
- 訪問者の行動履歴の記録
などの目的で、Cookieを利用しています。
このCookieには
- 閲覧中のウェブサイトから直接発行されたもの(1stパーティCookie)
- 外部のサーバー・サービスから発行されたもの(3rdパーティCookie)
があり、後者の3rdパーティCookieについてはブラウザベンダー各社がすでにプライバシー保護のために規制に乗り出しています。
なぜなら、3rdパーティCookieの中には「利用者の同意を得ないまま、勝手に情報収集をする」ものが存在しており、これらが全世界的に問題視されているからです。
今回の改正電気通信事業法においても、この3rdパーティCookieは規制対象になりえます。
要は、「利用者の同意を得ないまま、第三者(外部)に情報を送信してはならない」ということが「外部送信規律」の趣旨であると言えるでしょう。
外部送信のイメージ
外部送信については、総務省のサイトにわかりやすいものが掲載されています。
次の図を見てください。
出典:総務省
改正法の対象となる事業者
改正法の対象となる事業者は、
- 従来の電気通信事業者
- レビューやフォーラム・掲示板といった機能を提供しているウェブサイト(外部送信規律の対象)
です。
ECサイトに視点を絞って考えると、レビュー投稿機能が比較的よく見られる機能ではないかなと思われます。
改正法の対象となった場合の対応
改正法の適用対象となる事業者は、電気通信事業法施行規則に沿って、下記のいずれかの対応が必要となります。
- ポップアップ・バナーによる通知、Cookieポリシーへの記載
- 同意取得
- オプトアウト
どのような対応が必要になるのか、順番に確認していきましょう。
(1)ポップアップ、バナーによる通知、Cookieポリシーへの記載
記載事項として、送信される利用者に関する情報を具体的に書く必要があります。また、送信先サーバーの運用法人名・サービス名称。目的は明確に書く必要があります。GDPRの諸原則の中の1つ、透明性・公正さに通じる大切な義務だと感じます。
(2)同意取得
同意の取得方法には下記の注意が必要です(適用除外があり、設定内容や送信先により該当する場合・しない場合があります)
- 利用目的ごとに同意を得る。OECDの原則に沿った、基本的な事項と考えられるかと思います。利用者の安心・安全の為にも大切ですね。
- 同意の際、目的ごとのチェックボックスは「予め」チェックは入れない。この方式はGDPRと同じ同意取得方法になります。日本国内ではこれまでオンラインショップで商品を購入しようとすると、メルマガ購読などのあらゆるフラグが立っていましたが、改正法の施行によってようやく解放されるかもしれません。
- 規制となる情報は個人情報とは限らない。個人を特定しない識別子も規制対象になりました。これで世界標準とも言えるGDPRや、e-Privacy指令に近づく第一歩と感じました。
(3)オプトアウト
オプトアウトに関連する情報の案内や、オプトアウトの方法のご案内。これは、GDPRで話題になった削除権行使や、CPRAでのオプトアウトに関する法令にようやく近づいたと感じます。私自身も日本国内で様々なサービスを登録した際に、退会が容易にできず苦しめられた事から、ようやく解放されるのかと感慨ひとしおです。
Magentoのレビュー機能は?
Magentoの場合、標準でレビュー機能を備えています。ただし、利用するCookieは1stパーティCookieであるうえ、外部送信も行いません。
この場合、外部送信規律の規制の対象にならないのでは?と考えるところですが、不特定多数の方が閲覧できる「場を提供」(ガイドブック参照)している事で、改正法の規制対象となります。
先日2023年5月18日総務省から「電気通信事業における個人情報保護に関するガイドライン」及びその解説の改訂版が公表されました。寄せられた意見及びこれに対する総務省の考え方が示された中で、自社ECでレビュー機能を使用する場合に下記指針が示されました。結果、ケースバイケースとはなりますが自社EC上でのレビュー機能は規制対象でないと考えられます。
「自己の需要のために電気通信役務を提供しているのであって、 「他人の需要に応ずるために提供」しているものではないため、「電気通信事業」に該当しない。」
Google Analyticsは?
個人情報以外の識別子、代表的な例ではGoogle Analyticsが挙げられます。現在のGoogle Analyticsは1stパーティCookieを利用するサービスとなっていますが、閲覧者の情報をGoogleのサーバーに送信しています。
そのため外部送信ありとみなすことができ、規制対象の事業者は前述の義務を負うことになります。
世界的なプライバシー保護の動きにも注目
GDPR(一般データ保護規則)は、その法令の厳しさのみならず、制裁金が高額(最大2000万ユーロ、もしくは全世界の売上高4%のいずれか高い方)である事から、世界に大きなインパクトを与えました。そして、GDPRのうねりは、米国のCCPA(カリフォルニア州消費者プライバシー法)、CPRA(カリフォルニア州プライバシー権法)、南米から、アジア、世界各国へ波及しています。今後も各国の動きには注意が必要です。
GDPRが影響を及ぼしている国や地域
下記の表に、GDPRの影響を受けた国や地域(欧州委員会から認定を受けた国を含む)を記載します。
| 国または地域 | 代表的な法令名 | GDPR十分性認定 (EU域内と同等の個人情報保護水準にある国だとする認定) |
|---|---|---|
| EEA(EU+アイスランド、リヒテンシュタイン、ノルウェー) | GDPR(General Data Protection Regulation) e Privacy Directive(Privacy and Electronic Communications Directive 2002/58/EC) |
ー |
| シンガポール | PDPA(Personal Data Protection Act 2012) | |
| マレーシア | PDPA(Personal Data Protection Act 2010) | |
| タイ | PDPA(Personal Data Protection Act) | |
| 日本 | 個人情報保護法、電気通信事業法 | ○ |
| インドネシア | PDPL(Personal Data Protection Law) | |
| 韓国 | Personal Information Protection Act | ○ |
| イギリス | UK GDPR:General Data Protection Regulation | ○ |
| ニュージーランド | The Privacy Act 2020 | ○ |
| 米国 | CCPA(California Consumer Privacy Act of 2018) CPRA(California Privacy Rights Act) |
|
| カナダ | PIPEDA(Personal Information Protection and Electronic Documents Act) | ○ |
| メキシコ | The Federal Law on Protection of Personal Data Held by Private Parties | |
| ブラジル | Brazilian General Data Protection Law(Law No.13, 709/2018) | |
| アルゼンチン | Personal Data Protection Act, Act No. 25.326 of 2000 | ○ |
| UAE | Data Protection Regulations 2021 |
お気軽にご相談ください
Magento及びAdobe Commerceをご利用の方で、改正電気通信事業法の対応で「何をやれば良いかわからない〜!」というお客様は是非是非、ベリテワークスまでご相談くださいませ。
※本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応にあたりましては、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。
電気通信事業法の規制対象は、まさしく電気通信事業者を規制する法律なのですが、今回の法規制では、電気通信事業者ではなくても規制の対象になります。様々なサービスを利用する際に、端末からは様々な情報が発信されます。これは通信を媒介しない事業者であっても、利用者の様々な情報を取得することになります。今回の法改正では、利用者がより安全に利用するための法律だと考えていただければ良いかと思います。ただ、今回の法改正をもってしても、まだ全事業者が対象になっていないことは、一利用者として、心に留めておく必要があるかと思います。(規制を受ける側としては、「また面倒な法律ができた〜」なのですが、利用者としてはより安心な方向へ向かう法改正と思います)
外部送信規律を検討する過程において、EEA(EU+3カ国)のe-Privacy指令は適宜参照されたとはあるものの、微妙に異なっています。「Cookie」というワードが先行してしまいましたが、外部送信規律は、Cookieを含むオンライン識別子を使用していなくとも規制の対象となります。(FAQ 問1-7)
