6月16日に施行される「改正電気通信事業法」とは?対象者や対策について解説

EcWork編集部

6月16日に施行される「改正電気通信事業法」とは?対象者や対策について解説

EcWork編集部

これまでECやオウンドメディアのデータ収集で大きな役割を担ってきたクッキー(Cookie)。しかし個人情報保護の気運が高まるにつれ、いよいよ日本でも本格的な規制がスタートします。

今回は2023年6月16日に施行される「改正電気通信事業法」について解説します。同法の中でもEC事業者に関連が深い「外部送信規律(通称クッキー規制)」に焦点を当てながら、誰が対象なのか?どのような対策が必要なのか?についてご紹介します。

改正電気通信事業法とは?

改正電気通信事業法」とは2023(令和5)年6月16日に施行される電気通信事業に関する法規制です。

もともと「電気通信事業法」は1985年(昭和60年)に公布された法律で、条文では法の目的について次のように明記されています。

電気通信役務(※1)の円滑な提供を確保するとともにその利用者の利益を保護し、もつて電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進すること

※1:インターネット回線、電話回線等を介して提供されるサービス

https://elaws.e-gov.go.jp/document?lawid=360M50001000025

わかりやすく言い換えれば、インターネットや電話回線といったサービスが円滑に提供される仕組みを整え、利用者の利益や利便性を確保するのを目的とした法律となっています。

しかしグローバル化やIT技術の発展により同法が現代社会に対応できていない部分も増えてきました。そこで今回の法改正を受けて、より現代社会に則した規制としてスタートするのが「改正電気通信事業法」です。

改正法でポイントとなる「外部送信規律(通称クッキー規制)」

さて改正電気通信事業法は適用範囲が多岐にわたりますが、今回はその中でもECやオウンドメディアの運営者に関係が深い「外部送信規律」について解説します。

外部通信とは、Webサイトやアプリケーションの提供事業者が、ユーザーの閲覧履歴などの情報をユーザーの端末以外のサーバーなどに送信することを指します。これにルールを設けたのが、外部通信規律です。インターネット上の情報はクッキー(Cookie)を利用してやり取りされるため、今回の規制は「クッキー規制」とも呼ばれています。

従来までのクッキー規制よりも規制の範囲が広がり、これまで適用外だった事業者も規制の対象に含まれる可能性があります。

具体的な内容について分かりやすく説明するために、質問形式で解説していきます。

誰が対象となるの?

「電気通信事業者」又は「第三者事業を営む者」が外部通信規律の対象となります。

電気通信事業者とは、電話回線やインターネット接続サービス、Web会議提供サービスといった事業者を指します。こうした事業者は登録や届出が必要で、今回の法改正以前からきちんとルールが定められていました。

今回影響が大きいのが「第三者事業を営む者」です。具体的には、

  1. SNS
  2. オンライン検索サービス
  3. オンラインショッピングモール / オークションモール
  4. 各種情報のオンライン提供

などが該当します。たとえばモールサービスのように「オンラインサービスの提供」を目的とする場合は規制の対象となります。しかし小売ECのように「商品を販売することが目的」である場合は、この規制には含まれません。

これだけを見るとECサイトは関係ないように感じますが、厄介なのが4つ目の各種情報のオンライン提供です。規制では、この部分に関して『「他人のため」に情報発信をするWebサイト』と定義しています。

たとえば企業のコーポレートサイトや、日記的なブログは「自分のため」の情報発信です。しかしオウンドメディアの場合は、他人の要望(ユーザーの悩みや不安を解決する)に応じてサイトを運営している場合があり、今回の規制に含まれる可能性は否定できません。

この対象については意見が分かれますが、近年の個人情報への意識の高さを見ると、「迷った場合は対策を講じておく」というスタンスが間違いないでしょう。

また、アフィリエイトや個人のブロガーも利益を目的としている場合は、同法に抵触すると明記されているので注意が必要です。

なにが規制の対象となるの?

「ユーザーの閲覧履歴などの情報をユーザーの端末以外のサーバーなどに送信する」行為が対象となります。

具体的には、

  • 広告目的
  • サイト分析目的
  • マーケティング目的

などでクッキーを利用する場合は、いずれも規制の対象となります。Googleアナリティクスも規制の対象です。

ただ例外的にサービス提供に「真に必要な情報」は対象外となります。

  • オンラインショッピングモールでの買い物カゴ情報の保存
  • ログイン時のID、パスワードの保存
  • ロードバランサーのサーバー負荷の分散
  • セキュリティ保護

こうした情報はサービスを運営する・ユーザーを保護するうえで必要な情報と認識されるため、対象外となります。

事業者が講じるべき対策は?

では事業者は今後どのような対策を講じればいいのでしょうか。

具体的には次の3つの項目のいずれかの対応を施す必要があります。

  1. 通知または公表
  2. 同意取得(オプトイン)
  3. オプトアウト機会の提供

【1.通知または公表】

まず利用者に対して、下記のような項目を通知または公表する必要があります。

  • 何の目的でそのツールを入れたか
  • どんな情報が送信されるか
  • 誰に送信されるか
  • 送信先では何に利用されるか

公表とは「容易に知り得る状態に置く」という意味で、たとえばプライバシーポリシーに通知した内容が、ページを何階層もたどらなければ辿り着けないのは適切とはいえません。ページのサイドバーやフッターなど分かりやすい位置からアクセスできるようにしておきましょう。

【2.同意取得(オプトイン)】

同意ボタンを表示するなどして、データの取得や送信に関して同意を促します。

【3.オプトアウト機会の提供】

データの取得や送信に関して同意しない場合は、拒否する(オプトアウト)できるように設定します。

まとめ

今回は6月16日に施行される「改正電気通信事業法」について解説しました。

同法では新たにクッキー規制と呼ばれる「外部送信規律」のルールが設けられ、「ユーザーの閲覧履歴などの情報をユーザーの端末以外のサーバーなどに送信する」行為に規律が設けられました。

従来の電気通信事業法よりも適用される事業者が増えるため、対象となる場合は早急に対策を講じる必要があります。また同法には現在のところ罰則規定はなく、業務改善措置命令や違反者の氏名/名称などの公表となっています。

しかし昨今のプライバシー保護への関心の高さを考えれば、企業として利用者に透明性の高い事業であることを発信するのが上策といえます。あとから「隠していた」といったいらぬ誤解で信頼を損なわないように、このタイミングで対応しておくのがベストでしょう。