近年のアプリやWebサービスには、複数の外部ツールが組み込まれているケースは珍しくありません。アクセス解析系のサービスを筆頭に、広告SDKも、プッシュ通知ツールなど様々なツールが組み込まれて利用されています。
それらが、何の情報を、どこに送信しているか、そしてプライバシーポリシーに正確に記載できているか、といった点についてしっかり把握できているでしょうか。
2023年6月施行の改正電気通信事業法により設けられた「外部送信規律」は、通信会社だけでなく、一定のアプリやWebサービスの運営者にも適用されます。
個人情報保護法上の対応をひととおり整えてきた事業者であっても、この規律は別の法律による根拠に基づくものであり、別の視点での確認が求められます。
義務の存在は知っていても、「自社が対象か」「何をどこまで書けばよいか」が曖昧なまま運用しているケースは少なくないようです。
この記事では、外部送信規律の対象となる事業者の範囲を整理した上で、クッキーや外部SDKの取り扱いとプライバシーポリシーへの記載について、法令の解釈と技術的な実態の両面から実務的な観点でお伝えします。
外部送信規律の概要
電気通信事業法の改正で変わったこと
2023年6月、改正電気通信事業法が施行されました。この改正によって新たに設けられた外部送信規律は、利用者に確認の機会を付与することを求める制度です。
具体的には、送信される情報の内容・送信先の名称・利用目的をあらかじめ通知または公表することが基本とされており、同意取得やオプトアウト措置の公表といった対応手法も認められています。
電気通信事業法といえば通信会社だけが関係するものと捉えている方もいらっしゃるかもしれませんが、この規律は通信会社に限られません。
※ただし、対象となるのは、後述する「総務省令で定める類型の電気通信役務」に限られます。
自社サービスに広告ツールやアクセス解析を組み込んでいる場合であっても、まず対象類型に該当するかどうかを確認することが出発点です。
また、個人情報保護法との関係についても確認が必要です。
外部送信規律は電気通信事業法に根拠を持つ規律であり、個人情報保護法上の「第三者提供」とは別の規律体系です。
プライバシーポリシーを個人情報保護法に基づいて整備してきた事業者であっても、それだけで外部送信規律への対応が完結するわけではありません。
「別の根拠に基づく、別の対応が必要」という関係として理解しておくことが出発点になります。
「外部送信」とは何を指すか
外部送信規律における「外部送信」とは、利用者の端末の外部に、利用者の端末に記録されている情報が送られる行為を指します。
なお、「外部」とは利用者端末の外部を意味し、第三者のサーバーに限られません。誤解されがちな点ですが、自社サーバーや自社が管理する委託先サーバーへの送信も含まれます。
総務省による外部送信規律のFAQ(問1-16)においても、
利用者がウェブサイトの閲覧やアプリケーションの利用を行う際に(利用者が認識しているかを問わず)通信の相手方となっている第三者のサーバだけでなく、当該電気通信役務を提供する電気通信事業者(ウェブサイトの運営者やアプリケーションの提供者)のサーバも含まれます。
※「外部送信規律について」の絵では、便宜上「第三者のサーバ」としていますが、規律の対象としては、当該電気通信役務の提供者のサーバに外部送信される場合も含まれます。
と示しています。
広告事業者のサーバーへのアクセスログの送信や、アクセス解析サービスへの行動履歴の送信が典型例として挙げられますが、それだけではない点に注意が必要です。
対象となる情報は、利用者端末に記録されている情報のうち、外部に送信されるものです。
クッキー、広告識別子(IDFA・GAID)、IPアドレス、閲覧履歴、端末情報などが典型例ですが、これらに限られるものではありません。購買履歴についても、端末に記録された情報として送信される場合には対象になる場合があります。
「個人情報ではないから関係ない」とは限らず、この点には注意が必要です。
「利用者の端末からどこに何が送られているか」という視点で自社サービスの動作を確認することが、外部送信規律への対応を考える上での基本的な問いとなります。
「自社は対象か」の確認
対象となる事業者・サービスの条件
改正電気通信事業法上、外部送信規律の対象となるのは、総務省令で定める類型の電気通信役務を提供する事業者です。
総務省令が定める対象類型は、大きくわけて次の4類型です。
①メッセージ媒介サービス
②利用者投稿型サービス
③検索サービス
④各種情報のオンライン提供サービス
SNS、動画共有、ブログサービス、オンラインショッピングモール、マッチングサービス、ライブ配信、オンラインゲーム、検索、ニュース、キュレーションサービスなどが対象例として挙がります。
通信事業者ではないから対象外になるわけではありませんが、一方でWebやアプリをやっていればすべて対象であるとも言い切れません。自社サービスが上記類型に該当するかどうかを起点に判断することが重要です。
もし「対象かどうか微妙」という状況であれば、確認と整備を進めておくことが実務的には妥当な判断といえます。
棚卸しの対象となる主な技術手段
外部送信規律への対応を進める前提として、「自社のサービスが実際に何を外部に送信しているか」を把握する必要があります。ここでは、棚卸し作業において確認すべき主な技術手段を整理します。
技術的な詳述が目的ではなく、「棚卸しの場面でどれが対象になりうるか」を判断できる水準の整理として位置づけています。
Webサービスにおけるクッキーと計測タグ
Webサービスにおける外部送信の代表的な手段がクッキーです。特にサードパーティクッキーは、サービス提供者以外の広告事業者が設定し、複数サイトをまたいで利用者の行動を追跡する仕組みです。コンバージョン計測タグやリターゲティング広告の実装においても、クッキーを通じた外部送信が発生します。
EU圏のGDPRの影響を受けて「クッキーバナーを設置すれば対応が完了する」という認識が広まっていますが、外部送信規律はクッキーだけを対象とする制度ではありません。
先述のとおり、広告識別子(IDFA・GAID)、閲覧履歴・購買履歴、利用者以外の連絡先情報なども対象となりえます。
また、クッキーバナーを表示しているかどうかではなく、法令が求める事項(送信される情報の内容・送信先の名称・利用目的)を適切に通知・公表等して利用者に確認の機会を与えているかどうかが問題です。
クッキー同意バナーを作る上での実務上の注意点は別の記事でも取り上げていますが、外部送信規律への対応はバナーの有無とは別の観点から整理する必要があります。
そのため、棚卸しの観点からは、どの計測タグが、どの事業者のサーバーに、何を送っているかという情報を一覧化することが、Webサービスにおける対応の起点となります。
アプリにおける広告IDとSDKの扱い
Webサービスにおけるクッキーに相当する技術として、モバイルアプリではIDFA(iOS)やGAID(Android)と呼ばれる広告識別子が使われています。これらも外部送信規律の対象となりうるものであり、アプリだから関係ないということはありません。アプリを運営している事業者においても、同様の視点での確認が求められます。
また、たとえばクラッシュが発生した際の端末情報やスタック情報を外部のサービスに送信する解析ツールも、外部送信に該当する可能性があります。
こういったツールのように、サービス品質の維持を目的として導入したものであっても、端末識別子や利用状況に関する情報を外部に送信している場合があります。利用状況を把握するためのツール類も例外ではないという意識が必要です。
スマホアプリ提供時に求められるプライバシーポリシーの整備については別途解説していますが、外部送信規律の観点からも、アプリに組み込まれているSDKとその動作を改めて確認することが求められます。
実務対応のポイント
送信している情報の棚卸しが最初の一歩
外部送信規律への対応は、プライバシーポリシーの文言を整えることから始まるように思われがちですが、実務的には「何を・どこに・何の目的で送信しているか」の把握が先です。
組み込んでいるSDK・タグ・ツールを一覧化し、各ツールの提供事業者・送信される情報の種類・利用目的を整理することが、対応の起点となります。
ここで注意が必要なのは、「自社が意図して組み込んだSDK」だけを確認すれば済むわけではないという点です。
一例として、広告SDKなどは、その内部にさらに別の計測用SDKや解析SDKを含んでいることがあり、開発担当者も認識していない外部送信が発生しているケースは決して珍しくありません。
「自分たちが入れたもの」の一覧と、「実際に外部に送信されているもの」の一覧が一致しない事態は起こりえます。この「気づかない外部送信」の存在を、棚卸しの出発点として意識しておくことが重要です。
この棚卸し作業は、法令解釈の側と技術の側が互いに連携しなければ実態を把握しきれない性質を持っています。開発担当者と文書整備の担当者が別々に動いている場合、見落としが生じやすくなります。法令と技術の両面を同時に確認できる体制が整っていない場合は、専門家への相談が有効な局面のひとつです。
なお、技術的な棚卸しは広く行うべきですが、法的な通知・公表の対象の範囲は正確に把握しておく必要があります。本規律が対象とするのは、利用者端末から外部に向けて発生する送信です。送信先のサービス事業者がデータを受け取った後に、さらに別のサーバーや事業者へ転送するサーバー間の二次転送は、本規律の対象外と整理されています。
ただし、送信先から解析結果等が返ってくることを理由に、最初の利用者端末からの送信が「対象外」になるわけではありません。アクセス解析ツールを例にとると、利用者端末からそのサーバーへ情報が送られる部分が規律の対象であり、後からツールが集計データを返してくることは対象性に影響しません。「利用者端末からの送信かどうか」が判断の起点です。
プライバシーポリシーへの記載内容
棚卸しの結果を踏まえ、外部送信に関する事項を公表します。
法令が定める記載の中核は、送信される情報の内容・送信先の名称・利用目的の3点で、記載の形式としては、プライバシーポリシー内に外部送信に関する見出しを独立して設け、自社が設置している送信プログラム(タグ・SDK等)ごとに一覧で示す方法があります。
また、プライバシーポリシーに記載するのではなく、「外部送信規律について」のような単独のページを設けて、そこに詳細を記載する場合もあります。
「外部送信ツールの一覧」として可視化することで、利用者が確認できる状態を作ることが目的です。送信先のURLを補足として記載することは有用ですが、名称の代替としてURLだけを記載する形では不十分です。
棚卸しの結果と記載内容が整合していなければ、対応の実質的な意味が生まれません。一般的な文言を並べて形式を整えても、実際に送信しているツールが記載から漏れていれば、利用者への誠実な開示にはなりません。
まとめ
外部送信規律への対応は、プライバシーポリシーの文言を整えることが目的ではありません。自社サービスにおける情報の流れを正確に把握し、それを利用者に対して誠実に開示することが本質です。
そのために、まず「何が外部に送られているか」の棚卸しを行い、その実態に基づいてプライバシーポリシーを整備する、という流れが対応の最短経路となります。
この作業は、法令の解釈と技術的な実態の両面を同時に確認する必要があるため、プライバシーポリシーの文言整備だけで完結するものではありません。対応の優先順位や記載内容について判断に迷う場合は、専門家への相談が近道になることも少なくありません。
棚卸しと文書整備の作業は複雑になりがちですので、プライバシーポリシーの内容に不安がある場合は、一度ご相談ください。現状を確認した上で、貴社に必要な対応をご提案いたします。
プライバシーポリシー・個人情報保護対応サービスの詳細はこちら
