改正電気通信事業法(2023年6月16日施行)で導入された「外部送信規律」って？(4)

第１　はじめに

　第3回では、2023年6月16日より施行された改正電気通信事業法に基づく外部送信規律に関し、対象になる者について、「どのような場合」に規律が適用されるのかをご説明しました。今回は、外部送信規律の適用がある場合に、具体的に何をしなければならないのかについてご説明します（第2）。

第２　何をしなければならないのか

１　条文上の内容

（１）原則

　　電気通信事業法の条文（第27条の12本文）上は、

総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。

とされています。

　そして、同法施行規則第22条の2の29では、「総務省令で定める事項」について、以下の通り定められています。

法第二十七条の十二本文の総務省令で定める事項は、情報送信指令通信ごとに、次に掲げる事項とする。

一　当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容

二　前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称

三　第一号に規定する情報の利用目的

　パンフレット11～12pでは、上記の点について下記の通り掲載されています。

　要するに、

　①送信されることとなる利用者に関する情報の内容
　②①の情報を取り扱うこととなる者の氏名又は名称
　③①の情報の利用目的

を、利用者に通知又は公表（容易に知り得る状態に置く）ことが必要ということです。

　ただし、条文（第27条の12ただし書き）上、以下の場合には、通知又は公表は不要とされています。

一　当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報

二　当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号（電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。）であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの

三　当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報

四　当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報

イ　利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。

（１）当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信

（２）当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用

ロ　イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務省令で定める事項について利用者が容易に知り得る状態に置いていること。

　条文ではわかりにくいですが、パンフレット13~14pでは、上記の例外についても下記の通り掲載されており、

　①サービス提供にあたって必要な情報
　②サービス提供者が利用者に送信した識別符号
　③利用者の同意を取得している情報
　④必要なオプトアウト措置を講じている情報

については例外として通知又は公表が不要となるとされています。

　第3では、上記の各事項について、ガイドラインの解説を踏まえた詳細を確認します。なお、同意、オプトアウトに関しては、公表に比べ、現状、実務上の対応策として実施されている例が少ない現状等を踏まえ、説明は割愛いたします（ガイドラインの264~270pをご参照ください）。

第３　ガイドラインの解説を踏まえた詳細

１　通知・公表すべき事項

①送信されることとなる利用者に関する情報の内容

　ガイドライン258pでは、

・利用者に対し通知等を行うべき事項について確認の機会を付与するという立法趣旨を踏まえ、送信される情報がどのような情報であるか、利用者が適切に認識できるように記載する必要がある
・送信される情報を具体的に列挙することなく、「等」や「その他」等のあいまいな表現を安易に使用することは避けるなど、利用実態及び利用者の利便に合わせて適切に記載されるのが望ましい

とされています。

　一例として、メルカリの「外部送信ポリシー」における「Web版メルカリ」→「広告」→「Facebook 広告」を見ると、「送信している情報の例」として、以下の通り、明確にどのような情報が送信されるかが記載されています。

Facebookが利用者を特定するための識別子
クッキーなどデバイスに記録されている識別子
IPアドレス（位置情報や回線種別、アクセス元の企業や組織の推定に用いられます）
閲覧したサイトのURLやアプリの画面名
閲覧したサイトやアプリのタイトル
当社訪問の直前に閲覧したサイトのURL
閲覧日時（滞在時間などの算出に用いられます。）
ウェブブラウザやデバイスの種類、バージョン
デバイスの画面サイズ等の閲覧環境の情報

②利用者に関する情報を取り扱うこととなる者の氏名又は名称

　情報の送信先として、当該情報を取り扱う者の氏名又は名称を記載することが必要であり、ガイドライン258pでは、当該者の氏名又は名称よりもサービス名の方が認知されやすい、といった場合は、サービス名等も併記することが望ましいとされています。

　たとえば、先程確認したメルカリの外部送信ポリシーでは、おそらく、「メタ・プラットフォームズ」という社名に加え、「Facebook 広告」というサービス名を併記しており、むしろサービス名を冒頭に記載しています。社名よりも「Facebook」という名称の方が認知が高いことも踏まえたものではないかと思われます。

③情報の利用目的

・情報送信指令通信を行う電気通信事業者の利用目的（すなわち、当該電気通信事業者が情報送信指令通信を行う目的）
・情報送信指令通信に基づく利用者に関する情報の送信先となる者の利用目的（すなわち、上記②に該当する者が利用者に関する情報を取り扱う目的）

のいずれも記載する必要があります（ガイドライン258p）。

２　記載の方法

（１）「情報送信指令通信ごと」に記載すべきこと

　施行規則第22条の2の29において「情報送信指令通信ごとに」とされているとおり、上記①～③は、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに記載する必要があるとされており、注意が必要です（ガイドライン259p）。なお、情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト単位で（ウェブページごとではない）まとめて表示すること等も考えられるとされています（同p）。

（２）日本語を用い、専門用語を避け、及び平易な表現を用いること

　　情報送信指令通信について通知等を行う場合には、

　　①日本語を用いること
　　②専門用語を避けること
　　③平易な表現を用いること

が必要です。通知等が外国語や専門用語で表示されている場合、利用者は通知等を行うべき事項について容易に理解できないため、適切に確認の機会を付与しているとはいえないためです（ガイドライン254p）。

　ただし、ガイドラインでは、①に関し、訪日旅行者や、我が国に在住する外国人向けのウェブサイトやアプリケーションにおいて通知等を行う場合には、日本語だけでなく英語等も併記することが望ましい場合もあるとされています（254~255p）。

　また、②や③に該当するか否かは、当該電気通信役務で想定される一般的な利用者の知識や理解力等を基準として判断すべきで、その際、ユーザ ーアンケートを行ったり、外部の有識者の意見を踏まえたりすること等が考えられるとされています（255p）。

（３）操作を行うことなく文字が適切な大きさで利用者の電気通信設備の映像面に表示されるようにすること

　画面の拡大・縮小等の追加的な操作を行うことなく文字が適切な大きさで表示されるようにすることが必要です（ガイドライン255p。「縮小」とも指摘されている通り、極端に大きな文字も不適切です）。例えば、当該ウェブサイトやアプリで使用している標準的な文字サイズと同等文字サイズとするなどして、通知等を行うべき事項について利用者が容易に確認できるようにすることが必要となります（同p）。

（４）利用者が通知等すべき事項について容易に確認できるようにする こと

　(2)(3)を満たした上で、通知等を行うべき事項について、利用者が容易に理解できるようにすることが必要であり、

・ウェブサイトやアプリケーションの背景色との関係で視認性の高い文字色を採用する
・量が多い場合にはウェブページの階層化等の方法によりスクロールを行うことなく端末の画面に全体が表示されるようにする

といった方法が挙げられています（ガイドライン255p）。

（５）通知の場合に特に求められる事項

　通知の場合には、上記(2)～(4)に加え、次の①又は②のいずれかに該当する方法を取ることが必要とされています（255~256p）。

①通知等すべき事項又は当該事項を掲載した画面の所在に関する情報を当該利用者の電気通信設備の映像面に即時に表示すること（当該事項の一部のみを表示する場合には、 利用者がその残部を掲載した画面に容易に到達できるようにすること）

　具体的にはウェブサイトやアプリケーションの画面上で、ポップアップ形式によって即時通知を行うこと等が考えられます。当該事項の一部のみを表示する場合において、「利用者がその残部を掲載した画面に容易に到達できるようにすること」については、即時通知等の画面から 1 回程度の操作で到達で きる遷移先の画面に当該事項が表示されており、かつ、即時通知等の画面において、当該遷移先の画面に当該残部の表示があることが利用者にとって理解できる形になっていれば良いと考えられるとされています（ガイドライン256p）。

②①と同等以上に利用者が容易に認識できるようにすること

　新たな技術やユーザーインターフェースの開発・進展を見据えるとともに、電気通信事業者による創意工夫等を尊重するため、①の方法に限らず、同等以上に利用者が容易に認識できるようにする方法を採用することを可能としているとされています（ガイドライン256p）。

（６）容易に知り得る状態に置く場合（公表）に特に求められる事項

　容易に知り得る状態に置く措置の場合には、(2)～(4)に加え、次の①から③までのいずれかに該当する方法を取ることが必要とされています。

①情報送信指令通信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、通知等すべき事項を表示すること

　「容易に到達できるウェブページ」については、ⅰ　情報送信指令通信を行うウェブページから 1 回程度の操作で到達できる遷移先のウェブページに当該事項が表示されており、かつ、 ⅱ　情報送信指令通信を行うウェブページにおいて、当該遷移先のウェブページに当該事項の表示があることが利用者にとって理解できる形でリンクが配置されていれば、当該遷移先のウェブページは、「容易に到達できるウェブページ」に該当すると考えられます（ガイドライン257p）。

②情報送信指令通信を行うソフトウェアを利用する際に、利用者の電気通信設備の映像面に最初に表示される画面又は当該画面から容易に到達できる画面において、通知等すべき事項を表示すること

　「容易に到達できる画面」において通知等すべき事項を表示する場合については、アプリ ケーションの起動後最初に表示される画面において、当該事項を表示する画面へのリンクを記載する方法により行うことが考えられます（ガイドライン257p）。

③①及び②と同等以上に利用者が容易に到達できるようにすること　

　新たな技術やユーザーインターフェースの開発・進展を見据えるとともに、電気通信事業による創意工夫等を尊重するため、①又は②の方法に限らず、同等以上に利用者が容易に認識できるようにする方法を採用することを可能としています。例えば、①においては、 情報送信指令通信を行うウェブページやそこから容易に到達できるウェブページにおいて、 通知等すべき事項を表示することとしているが、それ以外に、ウェブサイトのトップページに表示すること等も考えられるとされています（ガイドライン257~258p）。

（７）プライバシーポリシーへの記載でも良いか

　通知又は公表が必要な事項について、前述のメルカリの外部送信ポリシーのように、独立したポリシーを作成するのではなく、自社がすでに作成済みのプライバシーポリシーに追記する形でも良いかという点は気になるところかと思います。

　この点については、ガイドラインに以下の言及があり、プライバシーポリシーへの追記による対応も可能であることが前提とされています。

なお、プライバシーポリシーやクッキーポリシー等が既にあり、その中に通知等を行うべき事項を記載する際には、3-5（プライバシーポリシー）（※筆者注：ガイドラインの該当箇所）に留意しながら、本規律に関する内容が含まれること等をタイトルや見出し等に明記しておくとともに、一括して確認できるように工夫することが望ましい。(255p)

通知等すべき事項が記載された送信先のウェブページへのリンクを示す場合や、既にプライバシーポリシーに通知等すべき事項が記載されているときに当該プライバシーポリシーへのリンクを示す場合は、当該リンクを単に表示するだけではなく、リンク先で表示される通知等すべき事項の概略を併せて示すことが望ましい。(259p)

とされています。この点については、FAQ4-6においても、「「第一号に規定する情報の利用目的」について、利用目的が記載されたプライバシーポリシーへのリンクを示す方法によって、通知又は容易に知り得る状態に置くことは可能です。この場合、利用者の便宜のため、単に当該リンク先を表示するだけではなく、リンク先で表示される内容の概略を併せて示すことが望ましいといえます。」とされています。

　ただし、ガイドラインでは、上記のような方法を用いる際は、通知等すべき事項の記載は、通知又は容易に知り得る状態に置く際に共通して求められる事項である「日本語を用い、専門用語を避け、及び平易な表現を用いること」等（前述(2)）を満たしておくことが必要であり、英語等日本語以外で記載されているリンクの表示のみで対応することは認められないとされている点（同p）は注意が必要です。

（８）通知・公表を行うことが望ましい事項

　第3の1で述べた通知・公表を行うべき事項に加え、これら以外にも、 次のような事項については、利用者への適切な確認の機会を付与するという観点からは、用者に通知等を行うことが望ましいとされています（ガイドライン259p）。

　①オプトアウト措置の有無
　②送信される情報の送信先における保存期間
　③情報送信指令通信を行う電気通信事業者における問合せ先
　④利用者に関する情報がどの国・地域に送信されることとなるか

３　通知・公表の規制が適用されない例外事項

　外部送信規律に関しては、電気通信事業法、通知・公表の規定が例外的に適用除外となる情報が規定されています。以下、これらについてみていきます。なお、①外部送信について利用者が同意をしている場合、②オプトアウト措置を講じている場合も適用除外となりますが、第2でも述べた通り、現状、実務上の対応策として実施されている例が少ない現状等を踏まえ、説明は割愛いたします（ガイドラインの264~270pをご参照ください）。

（１）電気通信役務を適正に表示するために必要な情報その他の電気通信役務を利用するために送信することが必要な情報

　次の①から⑤までの情報については、利用者が電気通信役務を利用する際に送信をすることが必要なものであるため、確認の機会の付与の義務付けの対象外です。ただし、これらの情報であっても、送信先が①から⑤までの目的以外の目的のためにも利用するときには、確認の機会の付与の義務付けの対象となります。

①当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報

　電気通信事業者が電気通信役務を提供するに当たっては、利用者の電気通信設備（端末設備）に対して送信する

　・符号（文字や記号等）、・音響（音楽、音声や効果音等）、・影像（画像や動画等）

を、利用者の電気通信設備（端末設備）の映像面（ディスプレイ等）に適正に表示する必要があります。

　そのためには、利用者の電気通信設備（端末設備）の OS情報、画面設定情報、言語設定情報、ブラウザ情報といった利用者の電気通信設備（端末設備）に関する一定の情報が必要です。したがって、これらの情報の送信については確認の機会の付与を義務付けないこととされています（ガイドライン261p）。

　そのほかにも、電気通信役務の提供に当たって必要不可欠な情報（「真に必要な情報」）の送信があり得ると考えられるため、同様に確認の機会の付与を義務付けないこととされています。この「真に必要な情報」が曲者で、ガイドラインでは、下記のような、説明になっているのかなっていないのかわからない記述があります（同p）。

具体的には、利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電気通信事業者に送信される情報は、基本的には当該電気通信役務の 提供に必要なものであると考えられるため、原則として「真に必要な情報」に該当すると考えられる。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しないと考えられる。

一方、当該電気通信事業者以外に送信される情報については、必ずしも当該電気通信役務の提供のために必要とは考えられないため、原則として「真に必要な情報」には該当しないと考えられる。ただし、利用者が利用を希望している電気通信役務を提供するに当たり、送信することが必要不可欠な情報については、この限りではない。

　6月16日に施行されたばかりで、まだ議論や事案の蓄積が少ないこともあり、ある情報について「真に必要な情報」に該当すると確実にいえない場合は、該当することを前提として通知・公表を行わないという対応を取ることはリスクがあるといえ、悩んだときは通知・公表を行っておくことが無難かもしれません。あるいは、他企業の公表事例を見つつ、足並みをそろえるということもあるかと思います。

②当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

　たとえば、利用者がオンラインショッピングモールにアクセスして特定の品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、当該品物を買い物かごに入った状態で再表示するために必要な情報など、利用者が電気通信役務を利用する際に入力した情報を、再度当該電気通信役務を利用する際に利用者の電気通信設備（端末設備）に再表示することが利用者の便宜に資する場合があるため、このような再表示を行うために必要な情報の送信については、確認の機会の付与を義務付けないこととされています（ガイドライン261p）。

③当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報

　利用者が電気通信役務を利用する際に入力した、当該利用者の認証に関する情報を、再度当該電気通信役務を利用する際に利用者の映像面に再表示することが利用者の便宜に資する場合があるため、このような再表示を行うために必要な情報の送信については、確認の機会の付与を義務付けないこととされています（ガイドライン262p）。

④当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報

　電気通信事業者が電気通信役務を提供する際には、セキュリティ対策を講じ、不正アクセスやサイバー攻撃等によって、当該電気通信事業者や、当該電気通信役務の利用者に被害が 生じることを防ぎ、また、被害を軽減する必要がある。このようなセキュリティ対策（当該電気通信役務のセキュリティ対策に限られる。）に必要な情報の送信については、確認の機会の付与を義務付けないこととされています（ガイドライン262p）。

⑤当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報

　オンラインゲーム等、利用者が多く多数のアクセスが集中する電気通信役務を提供する際には、特定のサーバ等に過剰な負担がかかることを防ぐため、負荷分散（ロードバランシング）等の措置が必要な場合があります。このような負荷分散など、電気通信設備の適切な運用のための措置に当たり必要な情報の送信については、確認の機会の付与を義務付けないこととされています（ガイドライン262p）。

（２）電気通信役務を提供する者が利用者に送信した識別符号であって、当該電気通信事業者に送信されるもの

　電気通信事業者は、その利用者に対し電気通信役務を提供する際に、当該利用者を識別するために、文字列で構成された識別符号（First Party Cookie に保存された ID等）を当該利用者に送信して、これを当該利用者の電気通信設備（端末設備）に記録させることがあります。このような識別符号は、当該電気通信事業者自身が生成するものであり、当該電気通信事業者が当該識別符号を当該利用者から当該電気通信事業者自身に送信させてこれを取得しても、当該利用者に自らが付した識別符号を回収しているに過ぎず、その使途も ID・パスワードの入力の省略等と限定的である場合が多いです。このような場合は、利用者の判断を経る必要性が低いため、送信される情報の内容等を当該利用者に通知等を行うことを要しないものとしています（ガイドライン262～263p）。

　なお、ガイドラインでは、以下のような注釈が付されており、留意が必要です。②については、Google Analyticsなどがこれに該当します。

①First Party Cookie に保存された ID 以外の、当該電気通信事業者への利用者に関する情報の送信に関しては、本規律の原則どおり、利用者に通知等を行うことを要するが、原則として真に必要な情報に該当すると考えられる。

②First Party Cookie に保存された ID を利用して当該電気通信役務を提供する電気通信事業者以外の第三者に利用者に関する情報を送信することもあり得るが、このような利用者に関する情報の第三者への送信に関しては、利用者が利用を希望している電気通信役務の提供に当たり、送信することが必要不可欠な情報でない限り、利用者に通知等を行うことを要する。