- 改正電気通信事業法の施行日
- 各PHごとの対応実務
- PH1(規制対象役務該当性の判断)
- PH2(データマッピング)
- PH3(クリアランス手法の検討)
- PH4(公表文の作成)
- 各社のCMPの導入状況
- 改正電気通信事業法未対応のパターン
- 今後の対応
1.改正電気通信事業法の施行日
今回は、改正電気通信事業法の施行日である2023年6月16日を経て、各企業にてどのような外部送信規律の対応を行ったかを概観したいと思います。
結論から申しますと、電気通信事業法改正の対応は、各社様々でした。2023年6月16日の施行日に合わせて、スケジュールを組んでいる企業は、概ね半年から4か月前から対応準備を開始しておられました。
2.各PHごとの対応実務
以下、各対応フェーズに従って、企業の対応の現場での悩みをご紹介していきます。
3.PH1(改正電気通信事業法、規制対象役務該当性の判断)
まず、PH1では、外部送信規律の対象役務か否かをジャッジすることから始まりますが、その前に、そもそも自社のサイト・アプリの全容が把握されていないという問題が発生します。
例えば、サイト・アプリのリリースに稟議の統制をかけておらず、各事業部が、当該事業部の裁量だけでサイトなどをリリースできる形となっているため、管理部門が自社の管理するサイトなどを把握していないことから、まずは、自社及びグループ会社のサイトの把握から始める必要があるケースがありました。
なお、アプリの場合は、企業がパブリッシャーとなっているアプリについて、App storeとGoogle playで確認できるので、全容把握はそれほどの手間ではありません。
サイト・アプリの全容を把握すると、次は、弁護士が規制対象役務に該当するか否かを判断する工程となりますが、これは、1つ1つのサイトを目視で確認していくほかはありません。
企業によっては、50から100のサイトを運用しているので、それを弁護士3,4名で手分けしつつ、規制対象か否かをジャッジし、ダブルチェックしていくことになります。この中で最もジャッジが困難なのは、いわゆるオウンドメディアです。オウンドメディアは、情報提供の側面を持ちますので、規制対象役務となる可能性があります。
この点、オウンドメディアが自社商品・サービスの紹介にとどまるのか、それを超えて、一般的な情報提供をしているのか、例えば、他社商品・サービスの紹介コンテンツが含まれているのか、また、より一般的な業界全体の情報が含まれているかなどの観点からジャッジをしていきます。
TMIP&Sでは、PH1、PH2の無料簡易診断を始めました。詳しくは、下記のリンクからご確認ください。
改正電気通信事業法 無料簡易診断
改正法の適用・非適用判断及び外部サービス調査…….詳細
4.PH2(サイト内外部サービスのデータマッピング)
次に、PH2のデータマッピングの工程となります。ここでは、企業の内製で外部通信の状況を調査するのは困難なケースが数多くありました。
この点、サイト・アプリのCookieタグやSDK(ソフトウェア開発キット)を棚卸しをして管理している企業は、データマッピングの内製化も容易ですが、むしろ、そのような企業は極少数です。
そのため、実務的には、TMIP&S(当社)にデータマッピング調査をご依頼頂き、CMP(コンセントマネジメントプラットフォーム)機能を用いながら、ベンダへの外部送信状況を検知し、網羅的に調査する手法をとりました。
5.PH3(クリアランス手法の検討)
PH3では、外部送信規律のクリアランス手法を検討する工程ですが、当社では最も運用負荷の軽い通知・公表のうち「公表」を推奨しておりました。
その結果、ほぼ全ての企業で、プライバシーポリシー・Cookieポリシーのウェブページに、または独立したウェブページに「利用者情報の外部送信」として公表文の掲示をするという選択がされました。
6.PH4(改正電気通信事業法、公表文の作成)
最後は、PH4の公表文の作成ですが、こちらも難易度の高い工程となります。
この点、JIAAにおけるガイダンスには、公表文の作成のための参考資料が添付されておりますが、送信される利用者情報の類型や、送信先のベンダでの利用目的の記載が欠けているので、これらは別途、調査する必要があります。利用者情報の類型はPH2のデータマッピング工程で、どのような利用者情報が外部に送信されているかを把握する必要があります。
また、送信先ベンダでの利用目的については、送信先ベンダのプライバシーポリシーや利用規約から、利用目的を抽出し、それを要約して記載する作業となります。
この点、①送信先ベンダの利用目的がプライバシーポリシーに明記されていないケース、②プライバシーポリシーが英語でのみ記載されているケース、③送信先ベンダのプライバシーポリシーに送信元(=外部サービスのユーザ)の利用目的が記載されているケースなど、送信先ベンダの利用目的を記載することが極めて悩ましい場合が数多くありました。
以上のような工程の難易度から、特にPH2とPH4の工程については、CMPツールを用いなければ完遂することが難しいことを改めて実感した企業も多かったように思えます。
7.各社のCMPの導入状況
この点、2023年6月16日施行日において利用者情報の外部送信規律の対応済み企業を概観しますと、ほとんど全ての対応済み企業は、CMPツールを利用しており、CMPツールを利用しないで、アナログ(手作業)により公表文を作成したとみられる企業は少数であることが判明しました。
当社にて受任した企業においても、多くはCMPツールを導入して対応している企業が大多数であったことからすると、当社の感覚値と余りギャップはありませんでした。
他方で、CMPツールの選定については、改正電気通信事業法に対応するCMPツールを提供しているベンダは数社存在しますが、蓋を開けてみると意外にもwebtruの1社に集中していたことが分かりました。
8.改正電気通信事業法未対応のパターン
逆に、改正電気通信事業法が未対応の企業にも一定の傾向が見られました。まずパターン①は、SPI(スマートフォンプライバシーイニシアティブ)を参考に、外部送信先ベンダの一覧とそのプライバシーポリシー、オプトアウトリンクのみを公表をしているパターンでした。
SPIが要求する記載事項と利用者情報の外部送信規律が要求する記載事項では、差分がありますので、仮にSPIに準拠しても外部送信規律には対応できていないことに注意が必要です。
外部送信規律の対応が不十分な例
パターン②は、送信先ベンダの記載が一切ないパターンです。未対応の企業には、この2パターンが見られました。この未対応の原因として考えられるのは、パターン①については、SPIを参考にして送信先ベンダの一覧を記載すれば、それが改正電気通信事業法対応としても必要的記載要件を充足していると誤解されていることが推察されます。
また、パターン②の原因として考えられるのは、自社サイトが規制対象役務に該当することを看過していること、または純粋に外部送信規律の対応が遅れていることが考えられます。
9.今後の対応
今回の外部送信規律の拠り所となる実務指針は、施行日の直前に内容が固まったガイドライン解説(https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html)となりますが、このガイドライン解説を読み解いてもなお、法規制と現場レベルでの実装方法とは乖離があります。
それだけ理解しにくい規制と言えますが、施行日を経た現時点では、様々なお手本となる先行事例がありますので、それを参考に、CMPツールを導入しながら実装まで完遂することが効率的な対応と言えるでしょう。
TMIP&Sでは、PH1、PH2の無料簡易診断を始めました。詳しくは、下記のリンクからご確認ください。
改正電気通信事業法 無料簡易診断
改正法の適用・非適用判断及び外部サービス調査…….詳細
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。