～TMIプライバシー＆セキュリティニュース8月号より～

　6月に成立した改正電気通信事業法について、大井哲也先生に解説してもらいました。サイト運営者やウェブサービスの事業者の皆さまにはインパクトの大きい改正ですので、是非ご覧ください。

　はじめに

　TMIプライバシー＆セキュリティニュースでは、国内外の個人情報保護法を中心にお話してきましたが、改正電気通信事業法では、少しアプローチの違う規制がかかっていますので、今回は改正電気通信事業法について解説します。特にウェブサイト運営においてCookieの通信をする場合に「利用者の外部送信に対する規律」がポイントになります。

　外部送信規律について

　利用者がウェブサイトを閲覧した際に、ウェブサイトに設置されたCookieタグによって外部の解析ベンダーや広告ベンダーのサーバーに対して通信がなされることがあります。このような利用者情報の外部送信をルール化したものが「外部送信規律」になります。

　※「電気通信事業を営む者」が、ウェブサイト運営サービスの利用者のPCやスマホなどの端末に保存されたCookieデータ、Cookieデータに紐づいている閲覧履歴、システム仕様、システムログなどの利用者情報を第三者のベンダーなどのサーバーに対して送信される行為に規制をかけています。
　※まず企業の各事業が「電気通信事業を営む者」にあたるかどうかの判断も重要になります。

　この規制をクリアするためには、送信されるCookieデータの内容や送信先のベンダー、その他、省令で定まっていく事項を「通知または公表」する必要があります。デジタルマーケティングの領域ではプライバシーポリシーをウェブサイトに公表するという取り扱いをしていましたが、同じように電気通信事業法に基づきCookieポリシー、プライバシーポリシーを公表する義務が課されることになります。このためウェブサイト運営、オンラインサービスを運営する事業者にとっては、非常にインパクトの大きい改正になります。

　対応の時期について

　改正電気通信事業法は、2022年6月13日に成立し、同年6月17日に公布されました。施行日は公布の日から1年を超えない範囲内で別途定まるとしていますので、あまり準備期間が取れず短期間での対応が求められている状況です。

３つのフェーズに分けて解説します。

・フェーズ１
　まずは、改正電気通信事業法の規制対象者に該当するかどうか、これが最初の重要なポイントになります。可能性としては、①電気通信事業者②第3号事業者③該当しない。この3パターンになります。該当しなければ規制の対象外ですので、対応は不要です。

・フェーズ2
　規制対象者だった場合、どのように規制をクリアするかという手段を決める必要があります。クリアリングの手法も3つのパターンありまして、軽いものから「通知・公表」、「オプトアウト」、「オプトイン」になります。オプトインは、Cookieの通信・利用に対して「事前」の同意を取得するもので、オプトアウトは、利用者が「事後的」にCookieの通信・利用を止める申請をして事業者がCookieの収集や利用を停止するという仕組みです。
　また、Cookieの類型判別も必要になります。今回の改正電気通信事業法では、適用の除外事由が定まっており、1st Party Cookieと必須Cookieは規制の適用が除外されます。1st Party Cookieか3rd Party Cookieかは発行主体が自社か第三者かで決まりますので、自社のウェブサイト、オンラインサービスでどのような通信がなされているかを網羅的に洗い出すことが重要です。さらにこの洗い出しの結果、どんな性質、機能を持ったCookieかを判別します。これによってCookieポリシーに記載する内容も変わりますので、通信の洗い出しからCookieの機能・性質を判別することが必要な作業になります。

・フェーズ3
　フェーズ2を基にシステム上どう実装するかの課題になります。フェーズ2で解説した「通知・公表」、「オプトアウト」、「オプトイン」のどの手段を用いるかを決めた後にCookieポリシーを公表するのみか、CMPと言われるツールを実装するのかを判断します。CMPは実装するだけでなく、そのセッティング（設定）も必要となります。さらにCMPによるcookieバナーに表示される文言やcookieバナーに貼られるリンクをクリックすることにより表示されるCookieポリシーの準備も必要です。

　最後に

　これまで解説してきたように、今回の改正電気通信事業法は施行日まで期間が長いと言えない中で、義務違反にならないようにしっかり準備期間を確保して対応する必要がありますので、早めに取り掛かることをお勧めします。