コラム

電気通信事業法改正によるCookie規制を弁護士が解説

ケーススタディでわかるオンラインサービスのスタート法務

目次

第1章 はじめに
第2章 Cookie規制の経緯とは
1 そもそもCookieとは
2 サードパーティーCookieの問題
3 これまでのCookie規制の動向
4 Cookie規制に関する電気通信事業法改正の影響
第3章 Cookie規制に関する電気通信事業法改正
1 Cookie規制に関する電気通信事業法改正の概要
2 Cookie規制が適用される事業者とは
3 Cookie規制の内容
4 Cookie規制の例外
5 まとめ
第4章 3rd Party Cookieの利用状況を簡易調査する方法
第5章 おわりに

第1章 はじめに

2021年、総務省から、ターゲティング広告などのCookie利用を規制する電気通信事業法の改正を進めようとしていることが公表され、大きな話題となりました。Cookie規制の動きに対しては、経済団体からの反対の声も上がりましたが、紆余曲折を経て、2022年6月に、改正電気通信事業法が成立するに至りました。

現在、世の中は、Cookieを利用するオンラインサービスにあふれています。そのため、電気通信事業法改正で何が変わり、オンラインサービスの運営にどう影響するのかは、多数の企業の関心事となっています。

このコラムでは、Cookie規制がなぜ進められているのかについてはじめに確認したうえで、Cookie規制に関する電気通信事業法改正がどのようなものなのかをご紹介します。

第2章 Cookie規制の経緯とは

1 そもそもCookieとは

Cookie規制について取り上げる前に、そもそもCookieとは何かについて、簡単に確認しておきたいと思います。

Cookieとは、Webサイトなどの閲覧者が、PCやスマートフォン、タブレットなどのデバイスからWebサーバーにアクセスする際に、そのWebサーバーが閲覧者のデバイスに保存するファイルのことです。Webサーバーは、閲覧者からのアクセスを受けた際に、閲覧者のデバイスに保存されたCookieを参照することができます。

Cookieの利用形態は、大きく、ファーストパーティーCookieサードパーティーCookieに分かれます。

(a) ファーストパーティーCookie

ファーストパーティーCookieとは、閲覧者が訪問したWebサイトのサーバーとの間だけでCookieのやりとりが行われる利用形態です。ファーストパーティー(first party)とは、「当事者」という意味です。閲覧者が訪問したWebサイトのサーバーとの間でCookieのやりとりが完結することから、ファーストパーティーCookieと呼ばれます。

(b) サードパーティーCookie

サードパーティーCookieとは、閲覧者が訪問したWebサイト以外のサーバーとの間でCookieのやりとりが行われる利用形態です。サードパーティー(third party)とは、「第三者」という意味です。例えば、上の例では、閲覧者が訪問したドメインは「abc.com」ですが、そこから自動的に「ad.com」のサーバーにアクセスされて、「ad.com」のサーバーとの間でCookieがやりとりされる仕組みになっています。閲覧者が訪問したWebサイトのサーバーとの間で完結せず、それ以外のサーバーとの間でCookieのやりとりがされることから、サードパーティーCookieと呼ばれます。

2 サードパーティーCookieの問題

後ほど詳しく取り上げますが、電気通信事業法改正で主にCookie規制の対象になるのは、サードパーティーCookieの利用です。

ファーストパーティーCookieの場合、基本的に、特定のデバイスから自社のサーバーへのアクセス状況しか把握することしかできません。一方で、サードパーティーCookieの場合、1つの企業が多数の他社のWebサイトへのアクセス状況を把握することができます。それにより、どのデバイスから、どのWebサイトにアクセスされているのかに関する情報、つまり、閲覧履歴を集積することができます。このような仕組みを活用している例が、ターゲティング広告です。

あるデバイスの閲覧履歴を集積することができれば、そのデバイスのユーザーがどのようなことに関心があるかをプロファイリングすることができるようになります。ユーザーが把握していないところで、自分の趣味嗜好がプロファイリングされて利用されると、ユーザーの不安感につながり、プライバシーの観点からも問題が生じます。

3 これまでのCookie規制の動向

Cookie規制の必要性が議論されるようになったのは、最近のことではありません。従来から、ターゲティング広告を中心に、Cookie利用の問題が議論されてきました。

例えば、2010年3月に総務省情報通信政策研究所が公表した「行動ターゲティング広告の経済効果と利用者保護に関する調査研究報告書」では、ターゲティング広告を利用する事業者は、その利用について明示したり、あらかじめ同意を得たりすることが望ましいとの見解が示されています。

また、令和2年個人情報保護法改正では、DMPと呼ばれるサービスでのCookie利用を規制するルールが新設されました。詳しくは、「個人情報保護法改正で変わる!Cookie規制を弁護士が解説」のコラムで取り上げています。

もっとも、これまで、Cookieの利用自体を正面から規制する法的ルールは、日本では存在しませんでした。最近は、Cookieポリシーを公表したり、Cookieの利用に当たってあらかじめ同意を取得するためのポップアップ表示を採用したりするWebサイトが増えてきましたが、これらの対応は、日本ではあくまでも「望ましい」ものとして位置づけられるにすぎませんでした。

4 Cookie規制に関する電気通信事業法改正の影響

今回の電気通信事業法改正は、Cookieの利用を正面から規制する法律上のルールを新設するものである点で、大きな意味があります。なぜなら、これまでCookieの利用に当たって「望ましい」とされていた対応が「しなければならない」へと格上げされるからです。

Cookieを利用するオンラインサービスを運営する事業者は、今回の電気通信事業法改正がどのようなものかを正確に理解しておかなければなりません。

第3章 Cookie規制に関する電気通信事業法改正

改正電気通信事業法第27条の12
電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの
三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報
四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務
省令で定める事項について利用者が容易に知り得る状態に置いていること。

1 Cookie規制に関する電気通信事業法改正の概要

Cookie規制に関する電気通信事業法改正とは、具体的には、上記の改正電気通信事業法第27条の12のことを指します。この条文は、大変難解で、一読しただけでは「何が言いたいのかよく分からない」と感じるものです。本章では、この条文の意味について、丁寧に確認していきたいと思います。

2 Cookie規制が適用される事業者とは

改正電気通信事業法第27条の12は、Cookie規制が適用される事業者を、「電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」としています。

改正電気通信事業法施行規則(総務省令)第22条の2の27によれば、次のいずれかに該当する電気通信役務(電気通信設備を他人の通信の用に供するサービス)を他人の需要に応ずるために提供する事業者が、対象とされます。

(1) 利用者の間でメッセージのやりとりができるサービス(1号)
(2) SNS・電子掲示板・動画共有サービスなど、利用者がアップロードしたデータを不特定の利用者に(求めに応じて)送信する機能のあるサービス(2号)
(3) Web検索サービス(3号)
(4) その他、不特定の利用者に(求めに応じて)データを送信する機能があり、不特定の利用者による閲覧に供することを目的とした各種サービス(4号)

難解な条文ですが、丁寧に整理をしながら理解していくと、要するに、(単なるコーポレートサイトであれば非該当と考えられるが)「オンラインサービス」と一般にいわれるものであれば多くが該当すると理解することができます。

なお、パブリックコメントの回答によれば、宿泊施設予約サービス、就職情報提供サービス、不動産情報横断検索サービス、チャット機能を備えたオンラインゲームなどは、いずれも対象になるものと考えられるとのことです。

3 Cookie規制の内容

改正電気通信事業法第27条の12は、「利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信・・・を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない」と定めています。長い条文のうち、この部分が、Cookie規制の核となる内容を示しています。

この部分が示しているのは、要するに、

(1) 利用者に対しオンラインサービス(電気通信役務)を提供する際に
(2) 利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするとき
には、所定の事項を利用者に通知するか、利用者が容易に知り得る状態にしなさい

ということです。

では、「利用者の電気通信設備を送信先とする情報送信指令通信」とは、どのような意味でしょうか。

まず、利用者の「電気通信設備」(法2条2号)は、オンラインサービスを利用する際に使用する利用者のPC・スマートフォン・タブレットなどのデバイスが該当します。

次に、「情報送信指令通信」(電気通信事業法27条の12柱書)とは、利用者のデバイスがもつ情報送信機能を起動する指令を与えるデータ送信のことです。情報送信機能とは、利用者のデバイスに記録された「利用者に関する情報」を、利用者以外の人の「電気通信設備」に送信する機能のことです。利用者以外の人の「電気通信設備」とは、具体的には、サーバーが該当します。

Cookie情報として、利用者のデバイスを識別するためのIDを保存しておいて、別の機会にそのCookie情報をサーバーが要求することは、デバイスに記録された「利用者に関する情報」を、利用者以外の人の「電気通信設備」に送信する指令に該当します。

つまり、利用者のデバイスを識別するためのCookie情報の利用は、(1)利用者に対しオンラインサービス(電気通信役務)を提供する際に(2)利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするときに該当するものといえます。

このように、難解な条文を丁寧に見ていくと、主として、Cookie情報の利用を規制する内容であることが分かります。

改正電気通信事業法第27条の12及び改正電気通信事業法施行規則第22条の2の29によれば、このような情報送信指令通信を行おうとするときには、次の事項を利用者に通知するか、利用者が容易に知り得る状態に置かなければならないと定めています。

(1) 送信する「利用者に関する情報」の内容
(2) 送信先のサーバーを用いて「利用者に関する情報」を取り扱う者の氏名/名称
(3) 送信する「利用者に関する情報」の利用目的

つまり、Cookie規制の対象となるCookieの利用を行う場合には、収集するCookie情報や送信先、利用目的といった情報を本人に通知する仕組みを導入するか、あるいは、Cookieポリシーを公表するなどして利用者が容易に知り得る状態に置かなければなりません

なお、規制対象となる通信、「情報送信指令通信」は、Cookie情報の送信行為に限定されるわけではありません。例えば、スマートフォンで利用される広告識別子(ADID)なども規制対象になりえますので、注意が必要です。

4 Cookie規制の例外

例外的に、次の場合には、所定の事項を利用者に通知したり、利用者が容易に知り得る状態に置いたりする必要はないものとされています。

(1) 送信データを利用者のデバイスの画面上に適正に表示するために必要な情報など、利用者がオンラインサービスを利用する際に必要なものとして総務省令で定める情報を送信する場合(法27条の12第1号)

改正電気通信事業法施行規則第22条の2の30によれば、次のものが該当します。

(1) サービスを提供するために真に必要な情報
(2) 利用者がサービス利用時に入力した情報(認証情報も含む)を再表示するために必要な情報
(3) 不正行為の検知や被害軽減のために必要な情報
(4) サーバーの適切な運用のために必要な情報

(2) 利用者に対しオンラインサービスの提供の際に利用者のデバイスに送信したIDを自社のサーバーに送信させる場合(法27条の12第2号)

ファーストパーティーCookieにより、デバイスごとにIDを付与し、閲覧者が過去にアクセスのあった人であるかを識別するために利用するようなケースが想定されます。

つまり、Cookie規制は、サードパーティーCookieの利用形態が主に対象となります。

(3) 利用者が送信に同意している情報を送信する場合(法27条の12第3号)

「Cookieの利用に同意しますか」というポップアップを表示して、同意が得られた場合にのみCookie情報の収集や利用を行うケースが想定されます。

(4) 利用者の求めに応じて情報の送信・利用を停止する措置を講じて、受付方法などの総務省令が定める事項を利用者が容易に知り得る状態に置いている場合に、利用者がその措置の適用を求めていない情報(法27条の12第4号)

いわゆるオプトアウトの措置を講じて、利用者がCookie情報の収集や利用をいつでも拒否することができる状態にしておくケースを意味しています。

もっとも、Cookieの利用に同意が義務づけられているわけではないため、オプトアウトの措置を講じるメリットは小さいように思われます。

5 まとめ

今回の電気通信事業法改正は、Cookie利用のポップアップ表示による「同意」取得を義務づけるものではありませんが、サードパーティーCookieなどで利用目的や送信先をすべて特定する必要が生じた点で、オンラインサービスを営む事業者には一定の影響があります。そもそも、Cookie規制が明確に法律で規制されたことは大きな出来事ですし、今後Cookie規制がさらに強化される契機になる可能性のある改正でもありますので、決して軽視はできません。

第4章 3rd Party Cookieの利用状況を簡易調査する方法

自社サイトにおいて3rd Party Cookieが利用されているかを簡易調査する方法として、Google Chromeに「DuckDuckGo Privacy Essentials」という拡張機能を追加する方法が挙げられます。
具体的な手順については、次のとおりです。

1.Google Chromeから「chromeウェブストア」のサイトにアクセスする。
2.「DuckDuckGo Privacy Essentials」を検索して、インストールする。
3.ブラウザ右上の「点3つのボタン」をクリックして、「拡張機能」→「拡張機能を管理」を選択する。
4.右上に表示された「パズルのピース」(拡張機能)ボタンを選択して、ピンマークをクリックする。DuckDuckGoのアイコンが表示されるようになる。
5.「Protections are ON for this site」をオフにして、調査したいWebサイトを開く。
6.「Third-Party Requests Loaded」をクリックする。
7.3rd Party Cookieの利用状況が一覧表示される。

第5章 おわりに

当事務所では、プライバシーポリシー・Cookieポリシーの作成やCookieを利用したオンラインサービスの法的対応についてご相談を承っております。そのほか、オンラインサービスのスタートアップを支援するサービスや、月1万円(税別)から始められる顧問プランもご用意しています。

ケーススタディでわかるオンラインサービスのスタート法務

PAGE TOP