目次
この記事でわかること
2023年6月に施行された外部送信規律は、WebサイトやアプリでCookieやトラッキングタグを利用する事業者に大きな影響を与えています。対象事業者は、利用者の端末から外部に情報が送信される事実を通知・公表する等の対応が必要です。
この記事では、外部送信規律の概要、対象となるサービスの範囲、必要な対応、具体的な対応方法を解説します。
外部送信規律の概要
外部送信規律とは
外部送信規律とは、電気通信事業法第27条の12に基づき、利用者の端末に記録された情報(Cookie、閲覧履歴等)を外部のサーバーに送信させる際に、利用者に対して通知等の措置を講じることを求める規律です。
電気通信事業者又は第三号事業を営む者は、その利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするときは、(中略)当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。
― 電気通信事業法 第27条の12
「外部送信」の仕組み
外部送信とは、Webサイトやアプリに設置されたタグ・SDKなどを通じて、利用者の端末から第三者のサーバーに情報が送信される仕組みです。
| 構成要素 | 内容 |
|---|---|
| 情報送信指令通信 | 利用者の端末に情報送信を指示する通信(タグ・SDK) |
| 送信される情報 | Cookie、閲覧履歴、端末情報等 |
| 送信先 | 第三者のサーバー(広告配信事業者、分析事業者等) |
対象となるサービスの範囲
対象事業者
外部送信規律の対象となるのは、以下の2種類の事業者です。
| 対象事業者 | 内容 |
|---|---|
| 電気通信事業者(届出・登録済み) | 電気通信事業の届出または登録をしている事業者 |
| 第三号事業を営む者 | 電気通信事業法第164条第1項第3号に該当する事業を営む者 |
第三号事業とは
第三号事業とは、電気通信事業の届出は不要だが、利用者の利益に及ぼす影響が大きいとされるサービスです。
| サービスの種類 | 第三号事業の該当性 |
|---|---|
| 検索サービス | 該当 |
| SNS | 該当 |
| オンラインモール | 該当 |
| ニュース配信 | 該当の可能性あり |
| 動画共有サービス | 該当 |
| 一般的な企業サイト | 非該当 |
| 個人ブログ | 非該当 |
対象外のケース
| ケース | 理由 |
|---|---|
| 電気通信事業者でも第三号事業者でもない | 規律の対象外 |
| 外部送信を行っていない | 規律の対象となる行為がない |
| 自社サーバーへの送信のみ | 「外部」への送信ではない |
必要な対応(4つの方法)
外部送信規律への対応として、以下の4つの方法のいずれかを講じる必要があります。
| 方法 | 内容 | 実務的な対応例 |
|---|---|---|
| 通知 | 利用者に個別に通知する | ポップアップ、メール通知 |
| 容易に知り得る状態に置く | 利用者がいつでも確認できる状態にする | Webサイトへの掲載 |
| 同意の取得 | 利用者から事前に同意を得る | Cookie同意バナー |
| オプトアウト措置 | 利用者が拒否できる仕組みを提供する | オプトアウトリンクの設置 |
通知・公表すべき事項
いずれの方法を採る場合も、以下の事項を明示する必要があります。
| 通知すべき事項 | 具体例 |
|---|---|
| 送信される情報の内容 | 閲覧履歴、Cookie情報、端末識別子 |
| 送信先の名称 | Google LLC、Meta Platforms, Inc. 等 |
| 送信先における利用目的 | アクセス解析、広告配信、広告効果測定 |
具体的な対応方法
方法1: Webサイトへの掲載(容易に知り得る状態)
最も多くの事業者が採用している方法です。
| ステップ | 内容 |
|---|---|
| 1 | 自社サイト・アプリで使用しているタグ・SDKを洗い出す |
| 2 | 送信される情報・送信先・利用目的を一覧表にまとめる |
| 3 | 「外部送信ポリシー」等のページを作成しWebサイトに掲載 |
| 4 | プライバシーポリシーやフッターからリンクを設置 |
一覧表の記載例
| 送信先 | 送信される情報 | 利用目的 |
|---|---|---|
| Google LLC(Google Analytics) | 閲覧ページURL、IPアドレス、Cookie情報 | アクセス解析 |
| Meta Platforms, Inc.(Facebook Pixel) | 閲覧ページURL、Cookie情報 | 広告効果測定 |
| X Corp.(Xタグ) | 閲覧ページURL、Cookie情報 | 広告効果測定 |
方法2: Cookie同意バナー(同意の取得)
GDPR対応で導入されているCookie同意バナーを活用する方法です。
| メリット | デメリット |
|---|---|
| 利用者の明確な同意が取れる | 同意率が下がる可能性 |
| GDPR等の海外規制にも対応できる | 導入コストがかかる |
よくある質問
Q. Google Analyticsだけでも対応が必要?
対象事業者(電気通信事業者または第三号事業者)であれば、Google Analyticsの利用だけでも対応が必要です。Google Analyticsは利用者の端末からGoogleのサーバーに情報を送信するため、外部送信に該当します。
Q. 対応しないとどうなる?
外部送信規律に違反した場合、直ちに罰則が科されるわけではありませんが、業務改善命令の対象となります。命令に従わない場合は200万円以下の罰金が科される可能性があります。
Q. 既存のプライバシーポリシーに追記するだけで良い?
既存のプライバシーポリシーに外部送信に関する情報を追記する方法でも対応可能です。ただし、利用者が容易に確認できることが条件のため、別ページとして作成し、わかりやすくリンクを設置することが推奨されます。
Q. ファーストパーティCookieも対象?
外部送信規律の対象は「外部への送信」です。自社サーバーへの送信のみであれば対象外ですが、ファーストパーティCookieの情報が第三者のタグを通じて外部サーバーに送信される場合は対象になります。
Q. スマートフォンアプリも対象?
対象です。WebサイトだけでなくスマートフォンアプリにおけるSDK等を通じた外部送信にも、この規律は適用されます。
まとめ
外部送信規律は、利用者の端末から外部に情報を送信させる際の通知等の義務を定めた規律です。
- 対象事業者: 電気通信事業者+第三号事業を営む者
- 対応方法: 通知、容易に知り得る状態、同意取得、オプトアウトの4つ
- 通知すべき事項: 送信される情報、送信先、利用目的
- 推奨対応: Webサイトに外部送信ポリシーを掲載
- 違反の場合: 業務改善命令の対象
2022年改正の全体像は「電気通信事業法の改正まとめ|Cookie規制と外部送信規律」、電気通信事業の届出は「電気通信事業の届出が必要なケース|SaaS・Webサービス向け」をご覧ください。