Cookie規制関連法改正にマーケはどう対応する?~改正電気通信事業法・改正個人情報保護法のポイントを解説~
改正個人情報保護法が2022年4月に施行され、個人情報そのものだけでなく、Cookie情報など付随するデータまで厳しく管理されるようになりました。また2023年6月には、改正電気通信事業法が施行されます。2つの法改正がマーケ業務にどういう影響を及ぼすのかポイントをかいつまんで説明します。
目次
- 1. 電気通信事業法・個人情報保護法
- 1-1. 電気通信事業法とは
- 1-2. 改正電気通信事業法のポイント
- 1-3. 改正個人情報保護法のポイント
- 2. なぜ今法改正なのか
- 3. 企業が行うべき対応策
- 4. まとめ
1.電気通信事業法・個人情報保護法
1-1.電気通信事業法とは
「電気通信事業法」とは、電気通信役務*の円滑な提供を確保するとともにその利用者の利益を保護し、電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進することを目的とした法律です。(電気通信事業法第一条)
2022年6月に改正電気通信事業法が成立し、2023年6月から施行予定となっています。
*:インターネット回線、電話回線等を介して提供されるサービスのこと
自社のサービスが同法の規制対象となるかどうかは、「電気通信事業」に該当するかどうかによります。
例えば以下のような場合は、「電気通信事業」として届出が必要になります。
①通信のための設備を用意し、それを用いたサービスをお客様に提供している(携帯電話会社やインターネットサービスプロバイダなど)
②他人と他人の通信をサーバーで媒介しているサービス(レンタルサーバー事業など)
③メッセージアプリ
④オンライン会議などでのユーザー同士のメッセージのやり取り
⑤Webサービス内でのユーザー同士のメッセージのやり取り(チャットなど)
①②は何となく想像がつくと思いますが、④⑤などはお客様とのコミュニケーションなどで気軽に利用している企業も多いかと思います。「企業⇔お客様」のみのやり取りなら良いのですが、お客様同士でコミュニケーションが取れるような場合は届出対象となる「他人の通信を媒介する」に当たる可能性があります。届出を怠った場合、6月以下の懲役または50万円以下の罰金が課されることがありますので、この機会に一度社内の届出状況を確認しておくと良いでしょう。また上記以外にも届出対象となる事例がまとめられていますので、併せてこちらもご覧ください。
▶総務省「電気通信事業参入マニュアル[追補版]」
1-2.改正電気通信事業法のポイント
今回の法改正は以下3点を主軸としています。
①情報通信インフラの提供確保
②安心・安全で信頼できる通信サービス・ネットワークの確保
③電気通信市場をめぐる動向に応じた公正な競走環境の整備
特に重要視されているのが②です。同法内で明文化されている「通信の秘密」は、対象となる「通信」における「情報」を区別することなく、全て「秘密」として保護対象とするものです。つまり、サイバー攻撃や他人を誹謗中傷するコメント、海賊版サイトへのアクセス情報でさえも保護対象となってしまい、問題視されてきました。
法改正では、この問題への解決策として
①大規模な事業者が取得する利用者情報について適正な取扱いを義務付ける(利用者情報の適正な取扱い)
②事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する(利用者情報の外部送信)
という2点を改正の方向性として示し、「特定利用者情報」として明確に保護する対象情報の定義を新たに設けました。
「利用者情報の外部送信」に関する規律の対象となる事業者は、電気通信サービスを継続して提供を行い、電気通信サービス自体で利益を上げる者(電気通信事業を営む者)のうち、
(1) 登録・届出が必要な「電気通信事業者」(電子メール、固定電話、携帯電話事業者等)
(2) 登録・届出が不要な「オンラインコミュニティ等の場所を提供している事業者」(SNS、検索サービス等)のうち、内容・利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくない事業者
を総務省令では対象としています(改正法27条の12)。
つまり、(2)の場合電気通信事業法の届出対象ではなくても、改正法の規制対象となるのです。
これを図にすると以下のようになります。
改正法では、規制対象となる行為を「利用者の電気通信設備を送信先とする情報送信指令通信を行うこと」としています。
わかりやすく言うと、ユーザーがWebサイトやアプリを利用する際に、ユーザーに関する情報であるユーザー端末情報(端末に保存された閲覧履歴、システムログ、Cookie*など)をWebサイト運営者やアプリ提供事業者、またはそれ以外の第三者に外部送信することです。そして、この外部送信を行う規制対象事業者は、外部提供していることをユーザーに通知、もしくはユーザーが容易に確認できるようにしなければなりません。
*:3rd Party Cookieのこと(1st Party Cookieは除外)
総務省令で定める事項では
① 事前に利用者に通知又は容易に知り得る状態に置く(通知公表)
② 事前に利用者の同意を得る(同意取得)
③ オプトアウトを受け付ける(オプトアウト)
といったいずれかの対応が義務付けられます。
参考:総務省「利用者に関する情報の外部送信の際の措置について」
・通知公表
①送信されることとなる利用者に関する情報の内容
②情報の送信先となる電気通信設備
③その他総務省令で定める事項
をあらかじめユーザーに通知またはユーザーが容易に知り得る状態にすることです。
・同意取得
その情報が送信先の電気通信設備に送信されることについてユーザーから同意を取る方法です。
・オプトアウト
ユーザーの意思を反映できるよう、以下3点の対応が必要となります。
① 次のいずれかに掲げる行為をユーザーの求めに応じて停止する措置を講じていること
・ユーザーに関する情報の送信
・ユーザーに関する情報の利用
② オプトアウト措置、オプトアウト措置に係るユーザーの求めを受け付ける方法その他の総務省令で定める事項について、ユーザーが容易に知り得る状態に置いていること
③ ユーザーがその情報について①に規定する措置の適用を求めていないという意思表示ができること
1-3.改正個人情報保護法のポイント
2022年4月に施行された改正個人情報保護法は、みなさんもうよくご存知と思いますのでここでは概要に触れておきます。
改正法のポイントは、大きく分けて6つあります。
①データの活用促進
・仮名加工情報
改正前は、個人を特定できないように個人情報を加工した場合でも、加工前の情報と同等に厳格な規制の対象となっていましたが、改正法では、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は(仮名加工情報)、開示・利用停止請求への対応等の義務を緩和しました(2条9項、10項、35条の2、35条の3)。
・提供先で個人データとなる情報の第三者提供
提供元では個人データに該当しないものの、提供先において他の情報と照合することにより、容易に個人を特定することができる情報(個人関連情報)があります。(例:Cookieなどのような識別子情報とそれに紐づく閲覧履歴や購入履歴などの個人情報ではない情報)改正法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設しました(26条の2第1項)。
②事業者責務の追加
改正法では個人情報取扱事業者に対し、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されました(22条の2、1項)。
また、同時に個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されています。
③ペナルティの強化
措置命令違反、報告義務違反、個人情報データベース等の不正流用をした個人及び法人に対する罰則が重くなりました。特に法人に対する罰金刑は、措置命令違反と個人情報データベース等の不正流用については「1億円以下」に引き上げられました(83、85、87条)。
④事業者の自主的な取り組みの推進
本人や関係者からの個人情報取扱いに関する苦情の処理や、個人情報等の適正な取扱いに関する情報の提供、その他個人情報等の適正な取扱いの確保に関して必要な業務を自主的に行う民間団体を「認定個人情報保護団体」として認定する制度について、改正前は個人情報取扱事業者のすべての分野(部門)を対象とする必要がありましたが、改正法では特定の分野(部門)だけを対象にできるようになりました(47条1項、2項)。
⑤域外適用等の拡充
改正前は対象ではなかった、日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用されることになりました(75条)。また、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、移転先事業者における個人情報の取扱いに関する制度等について本人への情報提供義務などが規定されました(24条2項、3項)。
⑥本人の請求権拡大
改正前の個人情報保護法で認められていた本人による利用停止請求に以下が追加されました。
・不適正な利用がなされたとき(30条1項、16条の2)
・保有個人データを利用する必要がなくなったときや、保有個人データの漏えい等が生じたとき、その他保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるとき(30条5項)
・本人の個人情報取扱事業者に対する個人情報の第三者提供の記録(公益等が害されるものとして政令で定めるものを除く)の開示請求権が新設(28条5項)
2.なぜ今法改正なのか
2つの法改正に共通する部分として、Cookie規制が挙げられます。なぜこの部分の規制を強化したのか、理由は大きく2つあります。
①プライバシー保護にまつわるトラブルの増加
3rd Party Cookieを利用したリターゲティング広告などについて、不愉快に感じる人もいるでしょう。インターネットで検索する情報の中には、人には知られたくないものも当然あります。
たとえば、ダイエット方法などを検索した後、まったく関係ないサイトでダイエットに効果があるサプリメントなどの広告が頻繁に表示されれば、自分の秘密が漏れているような気になってきます。
このように、3rd Party Cookieに対して不信感を持つ人が増えています。
②GDPRへの対応
GDPRとは、EU圏内で制定されている日本の個人情報保護法のようなものです。「EU一般データ保護規則(General Data Protection Regulation)」と言って、従来の「EUデータ保護指令」に代わり、2018年5月25日に施行されました。
EUは、個人情報保護に関する規制が特に厳しいことで知られており、日本の個人情報保護法もEUで決定した事項に追随する形で法改正が行われています。このGDPRにおいてはCookieやIPアドレスなども個人情報とみなされ、これらの情報を取り扱う事業者はユーザーの同意を得なければなりません。もしユーザーの同意を得ずに個人情報を取得した場合は、高額な課徴金の対象となってしまいます。
GDPRはEU圏内の事業者が対象となるばかりでなく、EU圏内に個人情報を保存するサーバーなどが設置されている場合や、ECサイトなどでEU圏内へ商品などを販売している場合も対象となります。そのためGDPRに追いつくべく、各国でCookieを規制する動きが強まっているのです。
3.企業が行うべき対応策
改正個人情報保護法の施行に伴い、企業側で対応すべき部分はすでに完了していると思います。
今回は6月に施行予定の改正電気通信事業法への対応について、企業側で対応すべき内容をまとめます。
① 事前に利用者に通知又は容易に知り得る状態に置く(通知公表)
② 事前に利用者の同意を得る(同意取得)
③ オプトアウトを受け付ける(オプトアウト)
今回の法改正では、上記いずれかの対応を実施していれば問題ありません。ただ、GDPR含め世界の流れはプライバシー保護をますます強化する方向に進んでいるのは間違いなく、3年後、5年後には更に厳しい対応が必要になってくると予想されます。先述したように、今の日本では対象となっていないIPアドレスも、いずれは個人情報とみなされるようになるでしょう。
とはいえ、企業側で法改正のたびにWebサイトの開示情報やシステムの修正をかけるという作業は、専門知識のある人間でもいない限り難しいと思います。そこで検討したいのがCMPです。
CMP(Consent Management Platform)とは、Webサイトなどの運営者がユーザーに対し、Cookieなどを取得すること、またそのCookieを用いて取得したユーザーのデータ利用目的を明らかにした上で、ユーザー本人から利用の同意を取得し管理するためのツールです。
企業側としても、ユーザーの同意(オプトイン)を得た上でCookieを利用することができるようになり、ユーザーが閲覧したWebページの履歴などを取得し、マーケティング施策に活用できるようになります。
CMPでの表示方法としては通知のみのものやユーザーの同意を取るもの(一括もしくはデータごと)があります。またCMPサービスには、多言語に対応したもの、CDPなどの機能が備わったもの、プライバシー保護対策をまとめたソリューションとして提供されるものなど様々あります。
4.まとめ
Cookie規制関連情報として、改正電気通信事業法、改正個人情報保護法のポイントを説明しました。今後も続く法改正に正確かつ迅速に対応するためにもCMPの導入は最優先の検討材料です。自社に最適なCMPサービスがどれなのか、ヒアリングからCMPサービスの選定・実装、各種マーケツールとの連携からアフターサポートまで、一貫して提供している当社にぜひご相談ください。
