毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2022年11月17日
  • タイトル:改正電気通信事業法ガイドラインの解説案の解説
  • 発表者:データサイン 代表取締役社長 太田祐一

問われるのは「外部送信」の有無

2022年11月4日、総務省「プラットフォームに関する研究会」傘下の「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第20回)」がオンラインにて開催されました。議事で取り上げられたのは「外部送信規律に係るガイドライン等について」。本ワーキンググループに構成員として参加したデータサイン 代表取締役社長 太田祐一が、会議の論点と解説案の気になる点を解説しました。

本ランチタイムトークでもたびたび取り上げている「外部送信規律」の「外部送信」とは、改正電気通信事業法の第二十七条の十二に記された、「利用者の電気通信設備に記録された当該利用者に関する情報を、当該利用者以外の者の電気通信設備に送信する機能」を表しています。

この「情報送信機能」を起動する指令を与える電気通信の送信を「情報送信指令通信」といいます。「外部送信」は「情報送信指令通信」によって発生する外部(第三者)への情報の送信のことを指しています。

「個人情報保護法では、自社のウェブサイトに第三者が開発したタグを設置することは原則として第三者による直接取得と一般に整理されますが、改正電気通信事業法では概念が異なります。個人情報保護法における直接取得か否か、または情報提供か委託なのか、などに関わらず、外部送信の有無が論点になります」(太田)

利用者に確認の機会を付与する規律

さて「外部送信規律」とは、「事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する」義務を指します。

具体的には、利用者のPCやスマホの外部に情報を送信している場合、送信先ごとに、その目的、送信先の名称、送信先における情報の利用目的等を「通知」または「容易に知り得る状態に置く」ことが義務付けられています。

平たくいうと…

  1. どのような情報を
  2. 誰に対して
  3. 何の目的で送信し
  4. 送信先では何に用いられるのか

それらを送信先ごとに具体的に記載する必要性です。

外部送信規律の対象の一例に、ウェブサイトやアプリで利用されている「Google アナリティクス」があります。ウェブサイトやアプリに「Google アナリティクス」を組み込むと、グーグルに対して情報の送信が発生します。

冒頭のワーキンググループ(第20回)では、総務省の作成した「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」の草案について、参加者が意見を交わしました。

より明瞭な表現へのブラッシュアップ

ただ、外部送信規律については、対象事業者や対象役務が分かりにくいことから、議論を呼んでいます。

さらに、この外部送信規律における規制対象はCookieだけにとどまりません。たとえば、Cookieを利用しない方法で利用者をトラッキングする手法(一部の共通IDソリューションやデバイスフィンガープリント等)や、今後ブラウザに実装されることが検討されているTopics API、FLEDGEなどで用いられるTopicやInterest Groupの情報も対象となります。

「ガイドラインの解説は、ガイドライン本文の内容を補うものですが、対象役務が具体的に何を指すのか、をより明瞭にすべきではないか、いうことが話題になりました。また、『通知又は容易に知り得る状態に置く方法』については、大筋変わらないものの、専門用語をできるだけ避けてより平易な表現を用いるべきという指摘がありました」(太田)

なお、後日開催された上記ワーキンググループ第22回(2022年12月23日開催)の配布資料には、それまでのワーキングループで議論された成果として「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」が公表されています。こちらもご参考までにどうぞご覧ください。