【2023】電気通信事業法改正を弁護士がわかりやすく解説!Cookie規制とは?
電気通信事業などについて規定する「電気通信事業法」の改正が令和4年(2022年)6月17日に公布されました。この改正は、令和5年(2023年)6月17日までに施行される予定です。
では、この改正により、Cookie規制はどのように変更されたのでしょうか?今回は、電気通信事業法改正によるCookie規制の変更などについて、弁護士がくわしく解説します。
目次
電気通信事業法とは
電気通信事業法とは、「電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進することを目的」とする法律です。
この目的を達成するために、電気通信事業の運営を適正かつ合理的なものとするとともに、その公正な競争を促進することにより、電気通信役務の円滑な提供を確保するとともにその利用者の利益を保護することとしています。
この法律の内容は、電気通信事業を提供する事業者の登録や、電気通信事業を営む者への規制などです。今回の改正により、利用者に関する情報の外部送信に対する一定の規制が導入されたことから、「Cookie規制の導入」などと称されることもあります。
Cookieとは何か
電気通信事業法の改正を理解するにあたっては、Cookieにまつわる基礎知識が不可欠です。はじめに、Cookieの基本を知っておきましょう。
Cookieとは
Cookieとは、ユーザーがあるWebサイトを閲覧した際に、閲覧した事実やWebサイト上で入力した内容、そのWebサイトを閲覧した環境に関する情報などが記録される仕組み(または、その情報そのもの)のことです。
では、なぜCookieを利用する必要があるのでしょうか?ユーザーとWebサイト運営者それぞれのメリットは、次のとおりです。
ユーザーにとってのメリット
Cookie導入によるユーザー側のメリットは、利便性の向上です。
たとえば、あるECサイトを閲覧したりSNSを利用したりする際、一度ログインしてからしばらくの間はユーザーIDやパスワードの入力をすることなく利用できることも多いでしょう。
これは、Cookieにより、スマートフォンやPCなどの端末に情報が記録されているためです。もしCookieがなければ、毎回IDとパスワードを入力しなければなりません。
また、ECサイト上でログインをしないまま商品をWeb上の「買い物かご」に入れた後、そのECサイトを離れても、一定期間であれば買い物かごの中身が保持されている経験をした方もいるのではないでしょうか?これも、Cookieが情報を記録していることによるものです。
このように、Cookieはユーザーの利便性を向上させます。ただし、仮にスマートフォンなどが盗難された際、第三者がそのスマートフォンから簡単にECサイトやSNSなどにログインできてしまう点には、注意しなければなりません。
Webサイト運営者にとってのメリット
Cookieを導入することによるWebサイト運営者側のメリットは、ユーザーの情報をマーケティングに活用できる点です。
たとえば、あるユーザーの購入情報や閲覧履歴などを分析して、その分析結果に応じてそのユーザーが関心を持ちそうな商品を広告として表示することなどが考えられます。
ファーストパーティーCookieとサードパーティーCookie
Cookieには、「ファーストパーティーCookie」と「サードパーティーCookie」などが存在します。
ファーストパーティーCookieとは、Webサイトなどの運営者が、そのWebサイトの訪問者(閲覧者)から集めたCookieです。たとえば、自社が運営するECサイト上での購買履歴や閲覧時のページ変遷情報、顧客が入力した顧客情報などがこれに該当します。平たくいえば、自社が自力で集めた情報といえるでしょう。
一方、サードパーティーCookieとは、第三者が集めたCookieを指します。たとえば、あるWebサイトで「保険」について調べたあと、その後他のサイトやアプリを閲覧している際にも保険についての広告が表示されたなどの経験を持つ方も多いのではないでしょうか?これが、サードパーティーCookieによるものです。
電気通信事業法改正によるCookie規制の背景
令和4年(2022年)6月に公布された電気通信事業法の改正により、Cookie規制が導入されました。この背景として主に挙げられるものは、次のとおりです。
プライバシー保護にまつわるトラブルの増加
サードパーティーCookieを利用した追跡型広告などについて、なんとなく「気持ちが悪い」と感じる人は少なくないでしょう。インターネットで検索することの中には、人にあまり知られたくない情報も存在します。
たとえば、自身のコンプレックスである身体的特徴を改善する方法などをブラウザから検索してからそのことにまつわるサプリメントなどの広告が頻繁に表示されてしまえば、自分の秘密が筒抜けになっているように感じるかもしれません。
このように、サードパーティーCookieに対して疑念を抱く人が増えています。実際に、GoogleやFacebookがCookieをオフにする方法をわかりづらくしていたとの指摘を受け、フランスで高額な課徴金が課されました。
GDPRへの対応
GDPRとは、「EU一般データ保護規則(General Data Protection Regulation)」です。日本における個人情報保護法のようなものであるとイメージすると良いでしょう。GDPRは、従来の「EUデータ保護指令」に代わり、2018年5月25日に施行されました。
EUは、個人情報保護に関する規制が特に厳しいことで知られています。このGDPRにおいてはCookieやIPアドレスなども個人情報とみなされており、これらの情報を取り扱う事業者はユーザーの同意を得なければなりません。仮にユーザーの同意を得ずに個人情報を取得した場合には、高額な課徴金の対象となります。
GDPRはEU域内の事業者が対象となるのみならず、EU域内に個人情報を保存するサーバーなどが設置されている場合のほか、ECサイトなどでEU域内へ商品などを販売している場合も対象です。そのため、このGDPRと足並みをそろえるべく、各国でCookieを規制する動きが強まっています。
改正個人情報保護法への対応
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。この法律は頻繁に改正されますが、最新の改正は2022年4月1日に施行されています。
改正個人情報保護法では、新たに「個人関連情報」という概念が誕生しました。個人関連情報とは、生存する個人の情報のうち、次のいずれにも該当しないものです。
個人情報:特定の個人を識別することができる情報や、個人識別符号が含まれる情報
仮名個人情報:一定の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる情報
匿名加工情報:一定の措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
たとえば、それ単体では誰の個人データであるのかまではわからないようになっているものの、他社が保有している他の情報などと照らし合わせることで、誰のデータであるのかが明確となるものがこれに該当します。この代表例が、上で紹介をしたサードパーティーCookieです。
改正法によれば、提供先の第三者にて他の情報と照合することで個人を特定できる情報となることが想定される場合には、原則として情報の提供を受ける側が、あらかじめ本人の同意を得なければなりません。併せて、情報の提供をする側に対しても、提供先が本人同意などを得ていることについて確認をする義務が課されます。これに対応するため、電気通信事業法が改正されました。
電気通信事業法の改正でCookie規制はどう変わる?
2022年6月に公布された電気通信事業法では、Cookieに関する規制が新たに設けられました。具体的には、サードパーティーCookieによりユーザーのCookie情報を取得しようとする際には、次の事項をユーザーが容易に知り得る状態に置くか、ユーザーに対して通知しなければならないとされています。
Cookieで送信される利用者に関する情報の内容
送信先の電気通信設備(サーバー)
その他の総務省令で定める事項
ただし、次のいずれかに該当する場合に、例外的に通知などをすべきケースから除外されます。
送信される情報が、音響や影像などをユーザーの利用画面に適正に表示するために必要となるものなど、総務省令で定める情報である場合
いわゆるファーストパーティーCookieである場合
Cookie送信についてユーザーが同意している場合
ユーザーが利用の停止を求めた場合に利用停止などをする措置(いわゆる「オプトアウト措置」を講じている場合
これらの詳細は今後総務省令で定められていくこととなる予定ですので、まずはこの概要を理解しておくと良いでしょう。
Cookie規制が適用される事業者
改正で新たに誕生したCookie規制は、「電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」を対象にすることとされています。
執筆時点である2022年10月現在では総務省令は未制定ですので、「電気通信事業者」と「第三号事業を営む者」のうちどのような者が対象となるのかは、今後制定される総務省令を参照する必要があるでしょう。
電気通信事業者と第三号事業を営む者とは、それぞれ次のような者です。
電気通信事業者
電気通信事業者とは、次の者のことを指します。
電気通信事業を営むことについて総務大臣の登録を受けた者:NTTやソフトバンクなどの通信キャリアなど
電気通信事業を営むことについて総務大臣への届出をした者:メッセージアプリやチャットアプリ、SNSなどの運営者
電気通信事業者はこのように、インターネットサービスを展開する広範な事業者が該当します。
第三号事業を営む者
第三号事業を営む者とは、電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務を、電気通信回線設備を設置することなく提供する電気通信事業です。
たとえば、オンラインストレージサービスやファイル共有サービスなどがこれに該当します。
まとめ
電気通信事業法の改正により、Cookie規制が新たに導入されました。
Cookie規制の対象者は今後総務省令で定められていくものの、NTTなどの通信キャリアのほかチャットアプリの運営者や、SNS運営者、オンラインストレージサービスの運営者など、幅広い事業者が対象となる可能性があります。オンライン上でのサービスを展開している事業者は、特に今後の動向に注意しておく必要があるでしょう。
電気通信事業法や個人情報保護法など個人情報保護に関する法令は頻繁に改正されており、自社のみで改正内容を追うことは容易ではありません。その一方でユーザーの個人情報保護への関心は強まっており、仮に違反した場合には深刻なユーザー離れが起きるリスクがあります。
改正電気通信事業などへの対応でお困りの際には、ぜひたきざわ法律事務所までご相談ください。たきざわ法律事務所では、個人情報保護などオンラインサービスの展開にまつわるリーガルサービスに力を入れており、法律的な視点から事業のリスク低減のサポートをしております。