改正電気通信事業法の外部送信規律とは？ よくある疑問を弁護士がわかりやすく一問一答

2023年6月16日に施行された改正電気通信事業法では、規制対象が拡大。Web担当者に関連するのは、この法律の外部送信規律で、新Cookie規制と呼ばれることもある。「デジタルマーケターズサミット 2023 Summer」に法律事務所ZeLo・外国法共同事業の弁護士 結城東輝氏が登壇し、外部送信規律について、よく寄せられる質問を紹介しながら、どういう事業者がどんな対応をしなければならないのかを解説した。

外部送信規律とは、ユーザーの端末から第三者に送信される情報を規制していこうというもの

結城氏はまず、改正電気通信事業法の外部送信規律では、何が規制対象となっているのかを解説していった。次の図は政府がこの法律について説明するときに用いる資料だ。

ユーザーがWebサイトを閲覧する時のサーバとのやり取り（上左図）

左の図はユーザーがWebサイトを閲覧する時のサーバとのやり取りを示している。

ユーザーがWebサイトを閲覧する場合、Webサイトのサーバに「このコンテツを出してください」とコールされ、サーバからはコンテンツとそれに加えてプログラムが発火されたり、埋め込まれたりしている場合がある。そのプログラムによって、ユーザーの情報が自社サーバだけでなく、第三者のサーバや外部の広告に送られることがある。「外部送信規律の主旨は、ユーザーの端末から第三者のサーバに送信される情報を規制していこうというもの」と結城氏は説明する。

ユーザーがアプリを閲覧する時のサーバとのやり取り（上右図）

右の図はアプリの場合の図だ。アプリの場合、SDK（ソフトウェア開発キット）と呼ばれる仕組みを通して、外部へ情報送信が行われる場合が多い。Web、アプリにかかわらず、ユーザーの情報が第三者に渡る場合、何らかの形でユーザーに確認の機会を与えてくださいというのが今回の規制の概要だ。

個人情報保護法では対応不要でも、電気通信事業法では対応が必要なケースも

2022年4月に施行された個人情報保護法では、「個人関連情報」の送信が規制され「Cookie規制」と呼ばれていたが、今回の改正電気通信事業法の外部送信規律とは別の規制である。法律ごとに保護の対象とする「情報」や「行為」は異なる。個人情報保護法では対応不要であっても、電気通信事業法への対応は必要な可能性があるので、注意が必要だ。

個人情報保護法では、Cookieが個人情報に紐づかなければ適用対象外とされていた。今回の改正電気通信事業法は、個人情報に限らず「利用者に関する情報」が外部送信に含まれている場合は対象となる。

本当の意味でのCookie規制と言われるものは、どちらかというと改正電気通信事業法が該当するのでは。法律ごとに興味を寄せる関心が異なるので、日本法ではいくつかの法律にまたがってCookie規制のようなものが入ってきている（結城氏）

対応しない場合の一番のリスクは、市場や取引先、消費者から法律に対応しない企業とみなされること

以下が、改正電気通信事業法27条の12、外部送信規律を規定する条文だ。

ご覧の通り、弁護士や法務部でも頭が痛くなるような条文です。

さらに施行規則と呼ばれる下位の規則があり、その規則も参照して、理解しないといけません。では、この難しい条文を読み解いて対応しなかった場合、どうなるのか。悪質な事例では総務省から業務改善命令が出たり、法令等違反行為を行った者として氏名等を公表されたりする場合があります。それ以上に深刻なのは、市場や取引先、消費者から法律に対応しない企業だとみなされる、レピュテーションリスクです（結城氏）

続いて、結城氏は外部送信規律がどのような構造になっていて、どのような検討を行えばよいのかを解説していった。上記の図の条文の構造を読み解き、主語述語に分けてみると、以下のような簡単な構造になっている。

• 「規制対象となる主体」は（下図水色）、
• 「規制対象行為」をする場合（下図緑色）、
• 「事業者の義務」を果たさなければならない（下図赤色）

この3つのポイントで条文を読み解いていこう。

規制対象となる事業者は？ 3つの観点でチェック

まず、「規制対象となる主体」だ。自社は、外部送信規律の対象事業者となるのか。法律上の定義は、「電気通信事業者又は第三号事業を営む者」とされているが、これではわかりづらい。結城氏は総務省のガイドブックに掲載されている、電気通信事業者かどうかを判断するフローチャートを紹介し、「3つの観点でチェックしていけば、対象かどうかがみえてきます」と述べた。

1. 他人のために役務（サービス）を提供していますか？
   自分のためではなく、他人のためにサービスを提供しているか。例えば、会社のコーポレートサイトは、自分のために、自分の説明をしているので該当しない。他の会社や、顧客のために役務を提供している場合は該当する。
   2点目、3点目はオンラインサービスを提供している場合は、そこまで大きな論点はないと、結城氏。

2. 電気通信役務を提供していますか？
   オンラインでサービスを提供している場合は該当する。

3. 料金を徴収するなど、利益を得ようとしていますか？
   利用者は無料で使えても、広告が入っているサービスは利益を得ようとしていると言えるため該当する。

すべて「Yes」の場合も、適用対象外となるケースも。4類型に当てはまるかチェックしよう

このうち、一つでも「No」であれば、電気通信事業法は適用されない。ただし、すべてYesの場合でも適用対象外となるケースがある。「規制対象となる主体」について、条文ではカッコ書きで、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないもの」という条件が示されている。

オンラインサービスを提供する事業者のうち、利用者の利益に及ぼす影響が少なくない事業者だけが今回の外部送信規律の対象だと法律は定めています。先程のフローチャートがすべてYesの場合でも、次の4つの類型に当てはまらなければ、外部送信規律の適用対象外となります（結城氏）

4つの類型の概要が以下だ。

特に『他者の需要に応じて提供するものか』『不特定の利用者に向けた、オンライン提供サービスなのか』の答えがどちらもYesであれば、外部送信規律の対象と考えるとよいでしょう（結城氏）

自社は外部送信規律の適用対象になる？ よくある質問でチェック！

ここからは、よくある質問を通して、自社が外部送信規律の適用対象となるか確認していこう。

Q. ネットショップは適用対象外と聞いたのですが、本当ですか？

A. ほとんどの場合、外部送信規律の適用対象外となると思います。

オンラインでなければならないというサービスでない限り、手段としてオンラインサービスを使っているといえるので、そういったサービスは電気通信事業法の適用対象外となります。電気通信事業法の適用対象外であるため、外部送信規律も適用されません。ネット専業のECサイトであっても、同様に対象外です。

Q. オウンドメディアも「自社の需要」なので適用対象外と聞いたのですが、本当ですか？

A.「他人の需要」の判断が難しいため、安易に適用対象外とは言えません。法務や法律家と相談しましょう。

総務省の文書では、金融事業者によるオンライン取引やその取引に必要な株価の情報提供は、本来業務の手段として電気通信サービスを使っているに過ぎないので、電気通信事業に該当しないとしています。しかし、オンライン取引などとは独立した金融情報のニュース配信を行っている場合には、当該ニュース配信は情報の送信（電気通信役務の提供）の事業として独立していると考えられ、「電気通信事業」に該当するとしています。

広告なしのオウンドメディアで収益を得ていなくても、そこから顧客獲得につなげ、企業の利益になるのであれば、営利性が認められて、フローチャートの3つ目の『利益を得ている』がYesにならざるを得ないかなという話もあるので、迷った場合は専門家に相談を（結城氏）

Q. 当社は先頃新たにニュース配信サイトの運営を開始しましたが、今のところ利用者は多くありません。そのため、当社サービスは「利用者の利益に及ぼす影響」が少ないと考えますがどうでしょうか。

A. 判断において、利用者数やアクティブユーザー数、インプレッション数は影響しません。利用者数は判断要件から外すのがよいでしょう。

規制対象となる外部送信行為とは？ 例外はある？ 1st Party Cookieなら適用されない？

外部送信規律は以下の3つの構造となっていたが、結城氏は続いて2つ目の「規制対象行為」を解説していった。

• 「規制対象となる主体」は、
• 「規制対象行為」をする場合、
• 「事業者の義務」を果たさなければならない

条文を読み解くと、以下の3つを満たす行為が、規制の対象となる外部送信行為となり、対応が必要となる。

①利用者の端末に記録された利用者に関する情報を、（具体的にはCookieなどの情報）
②その端末の外に送信するプログラムを、（Webであればタグ、ビーコン、ピクセルなど。アプリならSDK、モジュールなど）
③置くこと

外部送信行為に関するよくある質問をみていこう。

Q. 利用者の情報を外部のサーバに送信する場合でも、適用対象外となる例外がいくつかあると聞きました。本当ですか。

A. 本当です。利用者にとって真に必要な情報送信であれば、利用者もその外部送信を理解していると思われるため、いくつか類型的な例外が定められています。

1. オンラインショッピングで、ログインせずにカートに入れて離脱。しばらくして再度アクセスすると、カートに入った状態で再表示する。この場合は、ユーザーがサービスを利用する際の必要な情報送信であり、想定内なので適用対象外とされている。

2. 利用者の認証に関する情報（IDとパスワード）を記憶し、再訪時に再表示する。この場合もユーザーの理解の範囲なので適用対象外とされている。

他にもサーバ負荷軽減目的など、限定的に類型が定められているという。広く例外が認められているわけではない点は理解しておこう。

Q. 1st Party Cookie（自社で発行しているCookie）であれば、外部送信規律は適用されないですよね？

A. 1st Party Cookieは「真に必要な情報」のために使われているため、原則、適用対象外だと考えられます。

ただし、利用者がそのサービスを利用する際に、必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報であったり、通常想定できない利用目的で利用されたりする情報は、1st Party Cookieを用いていても、「真に必要な情報」に該当しないため、適用対象と考えられることもあります。

「広告やアクセス解析、SNS連携などの目的で使う場合は1st Party Cookieであろうとなかろうと、ユーザーに説明する必要があるかなと思います」と結城氏。

事業者が行うべき対応は通知、公表、同意取得、オプトアウト措置の4つのいずれか

対象事業者が、外部送信行為を行っている場合、事業者はどういった対応が必要なのか。「外部送信規律が命じている措置は、非常にシンプルで、通知、公表、同意取得、オプトアウト措置の4つのうち、いずれかの対応を講じればよい」と結城氏。

内容を詳しくみていこう。法律では「通知又は容易に知り得る状態に置くべき（公表）事項」を次のようにしている。「主に、以下の3つをユーザーに通知、または公表しなさいと言っています」と結城氏。

1. 送信されることとなる利用者に関する情報の内容
   Cookieの場合であれば、Cookieを構成する要素のうち、外部に送信する利用者の情報を列挙する。

2. 1の利用者に関する情報を取り扱うこととなる者の氏名又は名称
   Cookieなどの情報を送信する先の事業者名や名称を記載する。

3. 情報の利用目的
   自社の利用目的および、提供先の利用目的の両方を記載する。

1〜3の情報をタグ、ビーコン、モジュール（SDK）ごとに、記載することを求められている点はよく理解しておきたい。結城氏も「今までは、Aの事業者にこの目的で送っていると一括して記載することもあったと思うが、タグやモジュールごとに記載しなさいとなりました」と注意を促した。

プラポリがあれば大丈夫？ アプリとWebは同じCookieポリシーでいい？ オプトインを選ぶのがいい？

続いて、結城氏は外部送信規律が命じている措置に関して、よく受ける質問を紹介していった。

Q. プライバシーポリシーを持っているので、それで良いでしょうか。

A. 個人情報保護法が通知・公表を求める事項として、プライバシーポリシーを用意している事業者は多くあると思います。個人情報保護法が通知・公表を求める事項と、電気通信事業法（外部送信規律）が通知・公表を求める事項には違いがあります。

そのため、電気通信事業法 外部送信規律のためのポリシーを別途準備する必要があります。個人情報保護法では、自社の利用目的のみですが、外部送信規律では、提供先、提供先の利用目的を含める必要があります。また、個人情報を含まないIDなどと、それに紐付くデータを、タグやモジュールごとに公表する必要があり、個人情報保護法よりも対応範囲が広い点を理解しましょう。

Q. Cookieバナーを設置しているので、それで問題ないでしょうか。

A. そのCookieバナーが、電気通信事業法の求める要件を満たしているかを慎重に確認する必要があります。EUを含む海外の規制への対応ができているからといって、日本法に適応できているとは限りません。

Q. アプリとWebのどちらもあるのですが、同じCookieポリシーで良いでしょうか。

A. 統一しても問題ありませんが、アプリで使っているSDKとWebで使っているビーコン、ピクセルが異なる場合は、同一ページ内でよいので、それぞれ個別の説明が必要です。結城氏の対応事例では、アプリはアプリ、WebはWebで、個別にCookieポリシーなどを用意する場合が多いという。アプリやWebのどちらもサービス提供している大きい企業を確認すると、個別にCookieポリシーなどを設置している会社も多いと思うので、ぜひ参考にしてみてほしい。

Q. オプトインを選んだほうが良いのでしょうか？

A. 法律はどの手法も平等に認めているため、通知、公表、同意、オプトアウト措置のいずれかで対応すれば問題ありません。広告業界でよく使われる「オプトイン」は、ユーザーから外部送信について同意を取得するものですが、オプトアウト措置は利用者が拒否した場合は、外部送信をやめるようにすることです。法律が施行されてから数ヶ月経ち、市場環境を見ると、通知または公表の選択をする事業者が多いようです。オプトインはEUへの対応を含める、グローバルなサービスを提供する場合に積極的に検討すべきものと考えます。まずは、通知または公表で対応していくのがよいかと思います。

オプトインは、取得することでユーザービリティが下がることもあるので、一概にユーザーにとってもよいとは言えないかなと感じています（結城氏）

どう対応をすすめていけばいい？ 5つのステップで行う対応方法とスケジュール

すでに施行されている法律だが、政府としても対応に時間がかかることを認識していると考えられる。これから対応をすすめていくという方は、紹介する実務的な対応方法とスケジュールを前提に考えてもらえるとよいだろう。結城氏は、次の5つのステップを紹介した。

STEP1：外部送信規律の適用の有無の検討

自社が適用対象かどうか、判断がつきにくい場合は、法務部、顧問弁護士、外部の専門家などに相談し、対応していくかどうかを意思決定する。会社単位ではなく、サービス、Webサイト、アプリごとに検討が必要な点は注意点だ。

STEP 2：データマッピングを含む外部送信の実態の棚卸し

「ここはとても時間のかかるところ」と結城氏。Cookieやタグ、SDKの洗い出しではどういうものが自社サイトに埋め込まれていて、どこに外部送信しているのかをすべて棚卸しする必要がある。結城氏によると、Excelやスプレッドシートベースで作成している会社が多いという。

可能であれば、送信先のプライバシーポリシーやオプトアウトリンクも含めて、確認・棚卸しすることが重要だ。特に送信先のプライバシーポリシーには、受け取った情報をどのように使っているのか利用目的が書いてあることが多いので、Cookieポリシーを整備していく際に、提供先の利用目的は提供先のプライバシーポリシーを参照してくださいと対応することが一般的になっている。棚卸し時にはExcelなどの一覧表に、先方のプライバシーポリシーを記録していくのがよいだろう。

Webの場合は、外部送信データの検知ツールなどを活用できるし、サイトやアプリを実装したエンジニアに送信データを確認して、事実の整理を行っていこう。結城氏の肌感覚では、このステップで1ヶ月ほどかかるという。

STEP 3：対応措置の選択

通知、公表、同意取得、オプトアウト措置のいずれかを選択するのかを決める。どのように実装するのか、手法を含めて検討する。

STEP 4：Cookieポリシーなどの作成

プライバシーポリシーの中に含める方法、独立して作成する方法がある。すでに公開している企業の事例を参考にしながら、自社はどういった記載方法にするかを決める。

STEP 5：今後の管理サイクルの構築

作成して放置するのではなく、定期的な管理メンテナンスの手法を考える。四半期ごと、半期ごとに、レビューツールや社内ヒアリングをして、現在公開している内容と現状の差分を確認するというプロセスを決めている企業もある。少なくとも年に1回は、公開しているCookieポリシーが最新かどうかレビューするプロセスを構築しよう。

このステップ全体を実施するのに、およそ1ヶ月半から2ヶ月かかるケースが多いです。今日から対応を進めても遅くはありませんし、既に対応したという方は、今後の管理サイクルも含めて、最善の手法を検討してほしいです。私の所属する事務所でも、ご支援していますので、相談ください（結城氏）