消費者と事業者の信頼の中心に
2023年7月3日
日本の個人情報保護法における個人情報のおおまかな定義は、生存する個人に関する情報で、その情報に含まれる記述等によって特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含む)となっています。
そのため、例えばCookie等を通じて収集されたWEBサイトの閲覧履歴、商品の購買履歴、位置情報等の情報は、特定の個人を識別できない場合には個人情報には該当せず、長い間、法規制が及んでいませんでした。
しかし、個人情報保護法の改正による個人関連情報の第三者提供の制限、及び、電気通信事業法の改正による外部送信規律の導入によって、そういった情報においても一定の条件下で法規制がかかることになりました。
短期間に複数の法律によって規制が導入されたことになり、規制内容の把握が間に合っていない事業者様もいらっしゃるかと思います。
そこで今回のブログでは、個人情報保護法における個人関連情報の第三者提供の制限と電気通信事業法における外部送信規律についてご説明いたします。
なお、実務対応におかれましては法令やガイドライン等(個人情報保護法関係、電気通信事業法関係)を直接ご確認ください。
2022年4月に施行された個人情報保護法において、個人関連情報の定義が新設され、その第三者提供が制限されることになりました。
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものと定義されています。
これにより、商品の購買履歴やWEBサイトの閲覧履歴、位置情報等の情報で特定の個人を識別できないものが、個人関連情報と整理されることになりました。
※仮名加工情報及び匿名加工情報はデータ分析等の用途が想定されているもので、法で規定された加工基準を満たす必要があります。当機構ブログのご説明もご参照ください。
ガイドラインでは個人関連情報に該当するものとして以下の事例が挙げられています。実務的には特に事例1が重要かと思います。
【個人関連情報に該当する事例】
事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例3)ある個人の商品購買履歴・サービス利用履歴
事例4)ある個人の位置情報
事例5)ある個人の興味・関心を示す情報
注意が必要なのは、個人情報に該当する場合は、個人関連情報に該当しないことになるということです。Cookie等の端末識別子やそれを通じて取得された情報についても、他の情報と容易に照合することができ個人を識別できる場合は個人情報となります。
個人関連情報の新設と合わせ、一定の条件下での個人関連情報の第三者提供において規制が導入されました。
この規制は、個人関連情報を第三者に提供する際に、提供先(情報の受け手)が個人関連情報を個人データとして取得することが想定されるときに適用されます。
例えば、以下の画像のように、A社とB社がIDを共有した上で、A社は個人の購買履歴のみ(個人関連情報)、B社は氏名、年齢(個人データ)を保有しているとします。
この場合にA社がIDと購買履歴をB社に提供すると、B社ではIDを介して購買履歴を氏名等と紐づけることができるため、購買履歴が個人データとなることが想定されます。
なお、「想定される」には、提供先が現に認識している場合のほか、一般人の認識を基準に通常想定できる場合も該当します。ガイドラインにはその事例として、明確に説明されていなくても、個人関連情報とあわせて共通のIDを提供する場合が挙げられています。
(画像出典:令和2年11月20日個人情報保護委員会資料「改正法に関連する政令・規則等の整備に向けた論点について」)
上記に該当する場合は、提供先の第三者において本人の同意を取得し、提供元は提供先の第三者が同意を取得していることを確認する必要があります。
提供先と提供元、どちらも対応が必要になることに注意が必要です。
提供先において本人同意を得る場合は、おおまかには個人データの第三者提供時等の本人同意の取得時と同様の対応が必要ですが、対象となる個人関連情報を特定できるように示した上で同意を取得しなければなりません。
WEBサイトの場合、本人が説明を確認しやすいのはポップアップ等での同意取得となるかと思いますが、ガイドラインに対するパブリックコメントにおいては、「プライバシーポリシーにおいて必要な事項を示してこれに対する同意を求める方法」も考えられるとされています。(パブリックコメントNo369)。
個人情報保護委員会資料におけるウェブサイトでの同意取得にあてはめた例は以下画像の通りです。
(画像出典:令和2年11月20日個人情報保護委員会資料「改正法に関連する政令・規則等の整備に向けた論点について」)
提供元による提供先の同意の確認方法としては、第三者から申告を受ける方法の他、適切な方法で確認する必要があるとされています。ガイドラインでは以下の事例が挙げられています。
【第三者から申告を受ける方法に該当する事例】
事例1)提供先の第三者から口頭で申告を受ける方法
事例2)提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法
【その他の適切な方法に該当する事例】
事例1)提供先の第三者が取得した本人の同意を示す書面等を確認する方法
事例2)提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法
同意取得を提供元の個人関連情報取扱事業者が代行することも認められています。その場合は、本人が認識できるように提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示す必要があります。
また、提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において通知、もしくは公表しなければなりません。
この場合、提供先の第三者は提供元の個人関連情報取扱事業者に適切に同意取得させなければならないとされています。
本規定には個人データの第三者提供における委託、事業承継、共同利用(法第27条第5項各号)に相当する例外規定はありませんので、注意が必要です。
また、法第27条(第三者提供の制限)の第1項各号(法令に基づく場合、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等)に該当する場合は例外となり、適用が除外されます。
外国にある第三者への提供にあっては、必要な情報を本人に提供する必要があります。また、提供元、提供先それぞれ、第三者の氏名、個人関連情報の項目等を記録しなければなりません。詳しくはガイドラインをご確認ください。
2023年6月に施行された改正電気通信事業法により、外部送信規律が導入されました。
これにより、電気通信事業を営む者は、利用者の端末に外部送信を指示するプログラムを送る際は、あらかじめ、送信される利用者に関する情報の内容等を、通知・公表しなければならなくなりました。
現在、タグや情報収集モジュール等を通じてCookie・広告ID等の識別子・閲覧履歴・行動履歴等の情報を送信し、広告配信等に利用するといったことが広く行われていますが、このようなケースが本規制の典型的な対象となります。
個人情報保護法における個人関連情報の第三者提供の制限では規制が及んでいませんでしたが、電気通信事業法の改正によって規制の対象になったということになりますので、注意が必要です。
電気通信事業を営む者において外部送信規律が適用される場合のイメージ
対象事業者は、法の条文では以下とされています。
「電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」
WEBサイトやアプリケーションを運営している全ての事業者が必ず対象とはなるわけではありませんので、自社が該当するのかのご確認をおすすめいたします。以下に詳細について説明します。
まず、「電気通信事業者又は第三号事業を営む者」ですが、電気通信事業法の規制の対象になる者の2つの分類になります。
電気通信事業法の規制の対象となる事業者は「総務省への登録・届け出が必要な電気通信事業者」と、「総務省への登録・届け出が必要ない第三号事業者」に分かれます。その両方に外部送信規律が適用されるということです。
第三号事業者は法改正前までは電気通信事業法の規定の大部分が適用除外となっておりましたので、これまで電気通信事業法に注意を払っていなかった事業者も多いかと思います。特に留意が必要です。
「電気通信事業者又は第三号事業を営む者」をまとめて「電気通信事業を営む者」となりますが、その該当性の判断するための資料が以下になります。
(資料出典:電気通信事業参入マニュアル(追補版)ガイドブック)
上記のⅠ~Ⅲのすべての条件に該当する場合は「電気通信事業を営む者」に該当することになりますが、事業者にとって最も問題になるのは、「Ⅰ 他人のため(自己のためでなく)に役務を提供」に該当するかどうか、になるかと思われます。
言葉を変えると、「インターネットサービスを必ずしも前提としない、別の自らの本来の業務の手段としてWEBサイト等を提供する場合」は該当しないということになります。典型的な例としては、小売業者が自社の商品を販売するためにECサイトを利用しているようなケースや、金融機関が金融サービスの提供をWEBサイトやアプリを通じて行っているケース等が挙げられます。
法では、続いて、かっこ書きの通り「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る」と定められているので、総務省令も合わせて確認する必要があります。
なお、「利用者の利益に及ぼす影響が少なくないものとして~」とありますが、サービスの性質による判断となり、利用者の数で判断されるものではない旨、ご注意ください。
総務省令では以下の4つのサービス類型が挙げられています。
典型的には、メールサービス、参加者を限定したWeb会議システムが挙げられています。また、SaaSサービスやオンラインゲーム、各種マッチングサービス等で、ダイレクトメッセージ機能があるものも該当します。
典型的には、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、ライブストリーミングサービス等が挙げられます。
こちらはすべてのWEBページを検索することが要件となっています。特定の情報を検索するサービスはこちらには該当しませんが、次の「4.各種情報のオンライン提供サービス」に該当することになります。
ニュース配信、気象情報配信、動画配信、地図情報の他、各種情報のオンライン配信サービス等が該当します。
最後の各種情報のオンライン提供サービスは範囲が広いため、先にご説明した「電気通信事業者または第三号事業者」に該当するのかがポイントになります。
「電気通信事業者または第三号事業者」の該当性については、電気通信事業参入マニュアル(追補版)ガイドブックの13ページ目以降に、様々なオンラインサービスごとの考え方が示されていますので、そちらも合わせてご確認することをおすすめいたします。
外部送信とは、利用者のパソコンやスマートフォン等の端末に記録されたWEBサイト等の利用者に関する情報を、当該利用者以外の者の電気通信設備(Webサーバ等)に送信することになります。
ご注意いただきたいのは、ここでの「外部」は「利用者以外」ということになり、WEBサイト等の運営者も外部に含まれることです。
ただし後述する通り、WEBサイト等の利用に必須な情報や、利用者を識別するためにWEBサイト等運営者自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID)は対象外となります。実務的には重要なポイントかと思います。
外部送信規律の対象となる場合には、基本的には外部送信に関する情報の通知・公表が求められます。ただし、WEBサイトの利用に必要な情報等は適用が除外されます。また、同意の取得、オプトアウト措置による対応も可能です。
EUのGDPRへの対応のように、Cookie同意バナーの設置までが必須となっているわけではありません。
まず適用除外ですが、WEBサイト等の利用に必須な情報や利用者を識別するためにWEBサイト等運営者自身に送信させる識別符号(いわゆる1st Party Cookieに保存されたID)については、外部送信規律の適用は除外されます。
WEBサイト等の利用に必須な情報の例としては、OS情報、画面設定情報、言語設定情報、ブラウザ情報等、電気通信役務の提供のために真に必要な情報、入力した情報の保持等に必要な情報、ユーザー認証に必要な情報、セキュリティ対策に必要な情報、ネットワーク管理に必要な情報等が挙げられます。
規律の対象となる場合に求められる対応としては、基本的には通知・公表になります。「公表」ですが、正確には「容易に知り得る状態に置く」ことで、説明用の文書を用意し、利用者が容易にアクセスできるようにしておくということになります。
通知・公表しなければならない情報は以下の通りです。
具体的に列挙し、安易に「等」「その他」等の曖昧な表現を使用することは避けるなど適切に記載するのが望ましいとされています。
事業者の名称よりもサービス名の方が認知されやすい場合等は併記することが望ましいとされています。
WEBサイト等の運営事業者での利用目的だけではなく、送信先での利用目的も記載する必要があるとされています。
以上の情報は、「情報送信指令通信ごとに」記載しなければならないため、タグや情報収集モジュールごとに記載する必要があります。また、送信先で記載例を用意している場合はそれを参考にすることが望ましいとされています。
実務的には、まず設置しているタグや情報収取モジュールを棚卸しして、それぞれについて記載例の有無を確認し、説明を作成する流れになるかと思われます。
説明の記載においては、日本語で記載する、専門用語は使わない、平易な表現を使う、適切な文字の大きさで表示する等、利用者が認識しやすいようにする必要があります。また、プライバシーポリシー、クッキーポリシー等に記載する場合は説明が含まれていることをタイトルで見出しで明記することが望ましいとされています。
なお、送信先から送信元に送信される場合は、送信先からさらに別の送信先に送信される場合は本規律の適用外となります。
他に、通知等を行うことが望ましい項目として、オプトアウト措置の有無、送信された情報の送信先での保存期間、WEBサイト運営者への問合せ先等が挙げられています。
本規律が導入されたのは改正電気通信事業法が施行された2023年の6月16日であり、本ブログ作成時(2023年6月末)ではまだ導入から日が経っていませんが、「情報の外部送信について」「利用者情報の外部送信について」といった独立した説明を設置、公表して対応している例が多数見受けられます。
通知・公表ではなく、同意取得による対応も可能とされています。その場合も通知・公表時と同様の情報を通知することが望ましいとされています。また、同意の取得においても、タグや情報収集モジュールごとの同意取得が望ましいとされております。実務的な対応としては、クッキー同意ツールの導入が考えられるかと思われます。
以下の情報を公表した状況下で、利用者がオプトアウトを希望していない場合には、オプトアウトによる対応も可能となっています。5.6.7の情報は通知・公表時と同様となっているため、実務的には通知・公表プラスアルファの対応になるかと思われます。
1. オプトアウト措置を講じているという事
2. オプトアウト措置が情報の送信と利用のどちらを停止するものか
3. オプトアウト措置の申込みを受け付ける方法
4. オプトアウト措置を適用した場合、サービス利用が制限がされる場合は、その内容
5. 送信されることとなる利用者に関する情報の内容
6. 5の情報を取り扱うこととなる者の氏名又は名称
7. 5の情報の利用目的
以上となります。
両規定とも導入からまだ日が経っていないため、対応においては法令、ガイドラインをしっかりとご確認ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。