- 改正電気通信事業法の施行日
- 各PHごとの対応実務
- PH1(規制対象役務該当性の判断)
- PH2(データマッピング)
- PH3(クリアランス手法の検討)
- PH4(公表文の作成)
- 各社のCMPの導入状況
- 改正電気通信事業法未対応のパターン
- 今後の対応
1.改正電気通信事業法の施行日
今回は、改正電気通信事業法の施行日である2023年6月16日を経て、各企業にてどのような外部送信規律の対応を行ったかを概観したいと思います。
結論から申しますと、電気通信事業法改正の対応は、各社様々でした。2023年6月16日の施行日に合わせて、スケジュールを組んでいる企業は、概ね半年から4か月前から対応準備を開始しておられました。
2.各PHごとの対応実務
以下、各対応フェーズに従って、企業の対応の現場での悩みをご紹介していきます。
3.PH1(改正電気通信事業法、規制対象役務該当性の判断)
まず、PH1では、外部送信規律の対象役務か否かをジャッジすることから始まりますが、その前に、そもそも自社のサイト・アプリの全容が把握されていないという問題が発生します。
例えば、サイト・アプリのリリースに稟議の統制をかけておらず、各事業部が、当該事業部の裁量だけでサイトなどをリリースできる形となっているため、管理部門が自社の管理するサイトなどを把握していないことから、まずは、自社及びグループ会社のサイトの把握から始める必要があるケースがありました。
なお、アプリの場合は、企業がパブリッシャーとなっているアプリについて、App storeとGoogle playで確認できるので、全容把握はそれほどの手間ではありません。
サイト・アプリの全容を把握すると、次は、弁護士が規制対象役務に該当するか否かを判断する工程となりますが、これは、1つ1つのサイトを目視で確認していくほかはありません。
企業によっては、50から100のサイトを運用しているので、それを弁護士3,4名で手分けしつつ、規制対象か否かをジャッジし、ダブルチェックしていくことになります。この中で最もジャッジが困難なのは、いわゆるオウンドメディアです。オウンドメディアは、情報提供の側面を持ちますので、規制対象役務となる可能性があります。
この点、オウンドメディアが自社商品・サービスの紹介にとどまるのか、それを超えて、一般的な情報提供をしているのか、例えば、他社商品・サービスの紹介コンテンツが含まれているのか、また、より一般的な業界全体の情報が含まれているかなどの観点からジャッジをしていきます。
TMIP&Sでは、PH1、PH2の無料簡易診断を始めました。詳しくは、下記のリンクからご確認ください。
改正電気通信事業法 無料簡易診断
改正法の適用・非適用判断及び外部サービス調査…….詳細
4.PH2(サイト内外部サービスのデータマッピング)
次に、PH2のデータマッピングの工程となります。ここでは、企業の内製で外部通信の状況を調査するのは困難なケースが数多くありました。
この点、サイト・アプリのCookieタグやSDK(ソフトウェア開発キット)を棚卸しをして管理している企業は、データマッピングの内製化も容易ですが、むしろ、そのような企業は極少数です。
そのため、実務的には、TMIP&S(当社)にデータマッピング調査をご依頼頂き、CMP(コンセントマネジメントプラットフォーム)機能を用いながら、ベンダへの外部送信状況を検知し、網羅的に調査する手法をとりました。
5.PH3(クリアランス手法の検討)
PH3では、外部送信規律のクリアランス手法を検討する工程ですが、当社では最も運用負荷の軽い通知・公表のうち「公表」を推奨しておりました。
その結果、ほぼ全ての企業で、プライバシーポリシー・Cookieポリシーのウェブページに、または独立したウェブページに「利用者情報の外部送信」として公表文の掲示をするという選択がされました。
6.PH4(改正電気通信事業法、公表文の作成)
最後は、PH4の公表文の作成ですが、こちらも難易度の高い工程となります。
この点、JIAAにおけるガイダンスには、公表文の作成のための参考資料が添付されておりますが、送信される利用者情報の類型や、送信先のベンダでの利用目的の記載が欠けているので、これらは別途、調査する必要があります。利用者情報の類型はPH2のデータマッピング工程で、どのような利用者情報が外部に送信されているかを把握する必要があります。
また、送信先ベンダでの利用目的については、送信先ベンダのプライバシーポリシーや利用規約から、利用目的を抽出し、それを要約して記載する作業となります。
この点、①送信先ベンダの利用目的がプライバシーポリシーに明記されていないケース、②プライバシーポリシーが英語でのみ記載されているケース、③送信先ベンダのプライバシーポリシーに送信元(=外部サービスのユーザ)の利用目的が記載されているケースなど、送信先ベンダの利用目的を記載することが極めて悩ましい場合が数多くありました。
以上のような工程の難易度から、特にPH2とPH4の工程については、CMPツールを用いなければ完遂することが難しいことを改めて実感した企業も多かったように思えます。
7.各社のCMPの導入状況
この点、2023年6月16日施行日において利用者情報の外部送信規律の対応済み企業を概観しますと、ほとんど全ての対応済み企業は、CMPツールを利用しており、CMPツールを利用しないで、アナログ(手作業)により公表文を作成したとみられる企業は少数であることが判明しました。
当社にて受任した企業においても、多くはCMPツールを導入して対応している企業が大多数であったことからすると、当社の感覚値と余りギャップはありませんでした。
他方で、CMPツールの選定については、改正電気通信事業法に対応するCMPツールを提供しているベンダは数社存在しますが、蓋を開けてみると意外にもwebtruの1社に集中していたことが分かりました。
8.改正電気通信事業法未対応のパターン
逆に、改正電気通信事業法が未対応の企業にも一定の傾向が見られました。まずパターン①は、SPI(スマートフォンプライバシーイニシアティブ)を参考に、外部送信先ベンダの一覧とそのプライバシーポリシー、オプトアウトリンクのみを公表をしているパターンでした。
SPIが要求する記載事項と利用者情報の外部送信規律が要求する記載事項では、差分がありますので、仮にSPIに準拠しても外部送信規律には対応できていないことに注意が必要です。
外部送信規律の対応が不十分な例
パターン②は、送信先ベンダの記載が一切ないパターンです。未対応の企業には、この2パターンが見られました。この未対応の原因として考えられるのは、パターン①については、SPIを参考にして送信先ベンダの一覧を記載すれば、それが改正電気通信事業法対応としても必要的記載要件を充足していると誤解されていることが推察されます。
また、パターン②の原因として考えられるのは、自社サイトが規制対象役務に該当することを看過していること、または純粋に外部送信規律の対応が遅れていることが考えられます。
9.今後の対応
今回の外部送信規律の拠り所となる実務指針は、施行日の直前に内容が固まったガイドライン解説(https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html)となりますが、このガイドライン解説を読み解いてもなお、法規制と現場レベルでの実装方法とは乖離があります。
それだけ理解しにくい規制と言えますが、施行日を経た現時点では、様々なお手本となる先行事例がありますので、それを参考に、CMPツールを導入しながら実装まで完遂することが効率的な対応と言えるでしょう。
TMIP&Sでは、PH1、PH2の無料簡易診断を始めました。詳しくは、下記のリンクからご確認ください。
改正電気通信事業法 無料簡易診断
改正法の適用・非適用判断及び外部サービス調査…….詳細
TMIプライバシー&セキュリティコンサルティング株式会社 代表
TMI総合法律事務所 パートナー弁護士
日本企業のサイバーインシデント対応およびデータ利活用・EUデジタル規制対応の双方に特化した国内でも数少ないIT・プライバシー法務の専門家。日本企業のサイバー危機対応およびデータ規制分野における第一人者の一人として上場企業、グローバル企業を含む多数の企業を支援している。
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティ分野における法務を専門とする。
主な専門領域:
- 企業へのサイバーアタック・情報漏えいインシデント対応
- 個人情報保護法に適合したDMP/CDP導入支援
- GDPR、EUデータ法、EU AI法、サイバーリジリエンス法対応
- 国内外データ保護規制に基づくセキュリティアセスメント
セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省情報セキュリティタスクフォース委員を歴任。
主な実績:
【サイバー攻撃・情報漏えいインシデント対応(有事対応)】
- 初動調査・ディレクション: インシデント発生時の初動調査支援や、フォレンジック調査のスコープ決定、業者選定のディレクション
- トリアージと被害拡大防止: 被害状況の初動把握(トリアージ)を行い、システム稼働停止の判断や二次被害防止のアドバイス
- 第三者委員会の組成・運営: 外部の情報漏えい事故調査委員会や再発防止委員会の組成、および委員長への就任
- 当局および対外対応: 個人情報保護委員会への速報・確報、警察への被害届出、プレスリリース作成、記者会見の支援まで総合的サポート
- 法的手続・被害回復: インシデントに伴う損害賠償請求、ベンダへの責任追及、刑事告訴などの法的措置
【データ利活用・プライバシー対応支援】
- 高度データの利活用支援: 人事・顧客データに加え、Cookie、バイタルデータ、生体情報データ、IoT、AI等の利活用における適法性評価
- 匿名加工情報の評価: ビッグデータ利活用における「匿名加工手続き」の個人情報保護法適合性評価
- DMP/CDP・アドテクノロジー: アドテクノロジーやビッグデータアナリティクス分野における実務支援
【プライバシーガバナンス構築の支援】
- 体制構築・規程整備: セキュリティ管理委員会の組成、各種ポリシー、管理規程、インシデント対応マニュアル等の策定・改定支援
- リスクアセスメント: セキュリティアセスメントやプライバシーインパクトアセスメント(PIA)を通じた分析
- 教育・研修: 経営層向けのレクチャーから事業部向けのセキュリティ研修
- リスク転嫁支援: 経済的インパクトを抑えるためのサイバーセキュリティ保険の導入支援や、保険料割引のためのセキュリティ診断
【IT・先端技術の法的支援】
- 多産業分野のアドバイス: クラウド、インターネット・インフラ、SNS、アプリ・システム開発、スマートシティ等の各分野で法的助言
- 適合性評価: クラウド導入に伴う国内外の個人情報保護法、およびガイドライン等の適合性評価
【国内外の個人情報保護規制へのアドバイス】
- 国内法: 個人情報保護法、不正競争防止法、電気通信事業法等に加え、資金決済法、特定商取引法等
- 海外法・規制: EUのGDPR、米国のCCPA、およびアジア・アフリカ・南米・中東各地域の個人情報保護法への対応、EUデータ法、EU AI法、サイバーリジリエンス法などEUデジタル規制対応、海外当局対応、IGDTA(Intra-Group Data Transfer Agreement)対応
- 国際基準: PCI-DSS要件やISMS認証基準への対応、米国財務省のOFAC規制(身代金支払いに関する制裁リスク)