コラム

電気通信事業法改正によるCookie規制を弁護士が解説

目次

第1章 はじめに
第2章 Cookie規制の経緯とは
1 そもそもCookieとは
2 サードパーティーCookieの問題
3 これまでのCookie規制の動向
4 Cookie規制に関する電気通信事業法改正の影響
第3章 Cookie規制に関する電気通信事業法改正
1 Cookie規制に関する電気通信事業法改正の概要
2 Cookie規制が適用される事業者とは
3 Cookie規制の内容
4 Cookie規制の例外
5 まとめ
第4章 おわりに

第1章 はじめに

2021年、総務省から、ターゲティング広告などのCookie利用を規制する電気通信事業法の改正を進めようとしていることが公表され、大きな話題となりました。Cookie規制の動きに対しては、経済団体からの反対の声も上がりましたが、紆余曲折を経て、2022年6月に、改正電気通信事業法が成立するに至りました。

現在、世の中は、Cookieを利用するオンラインサービスにあふれています。そのため、電気通信事業法改正で何が変わり、オンラインサービスの運営にどう影響するのかは、多数の企業の関心事となっています。

このコラムでは、Cookie規制がなぜ進められているのかについてはじめに確認したうえで、Cookie規制に関する電気通信事業法改正がどのようなものなのかをご紹介します。

第2章 Cookie規制の経緯とは

1 そもそもCookieとは

Cookie規制について取り上げる前に、そもそもCookieとは何かについて、簡単に確認しておきたいと思います。

Cookieとは、Webサイトなどの閲覧者が、PCやスマートフォン、タブレットなどのデバイスからWebサーバーにアクセスする際に、そのWebサーバーが閲覧者のデバイスに保存するファイルのことです。Webサーバーは、閲覧者からのアクセスを受けた際に、閲覧者のデバイスに保存されたCookieを参照することができます。

Cookieの利用形態は、大きく、ファーストパーティーCookieサードパーティーCookieに分かれます。

(a) ファーストパーティーCookie

ファーストパーティーCookieとは、閲覧者が訪問したWebサイトのサーバーとの間だけでCookieのやりとりが行われる利用形態です。ファーストパーティー(first party)とは、「当事者」という意味です。閲覧者が訪問したWebサイトのサーバーとの間でCookieのやりとりが完結することから、ファーストパーティーCookieと呼ばれます。

(b) サードパーティーCookie

サードパーティーCookieとは、閲覧者が訪問したWebサイト以外のサーバーとの間でCookieのやりとりが行われる利用形態です。サードパーティー(third party)とは、「第三者」という意味です。例えば、上の例では、閲覧者が訪問したドメインは「abc.com」ですが、そこから自動的に「ad.com」のサーバーにアクセスされて、「ad.com」のサーバーとの間でCookieがやりとりされる仕組みになっています。閲覧者が訪問したWebサイトのサーバーとの間で完結せず、それ以外のサーバーとの間でCookieのやりとりがされることから、サードパーティーCookieと呼ばれます。

2 サードパーティーCookieの問題

後ほど詳しく取り上げますが、電気通信事業法改正で主にCookie規制の対象になるのは、サードパーティーCookieの利用です。

ファーストパーティーCookieの場合、基本的に、特定のデバイスから自社のサーバーへのアクセス状況しか把握することしかできません。一方で、サードパーティーCookieの場合、1つの企業が多数の他社のWebサイトへのアクセス状況を把握することができます。それにより、どのデバイスから、どのWebサイトにアクセスされているのかに関する情報、つまり、閲覧履歴を集積することができます。このような仕組みを活用している例が、ターゲティング広告です。

あるデバイスの閲覧履歴を集積することができれば、そのデバイスのユーザーがどのようなことに関心があるかをプロファイリングすることができるようになります。ユーザーが把握していないところで、自分の趣味嗜好がプロファイリングされて利用されると、ユーザーの不安感につながり、プライバシーの観点からも問題が生じます。

3 これまでのCookie規制の動向

Cookie規制の必要性が議論されるようになったのは、最近のことではありません。従来から、ターゲティング広告を中心に、Cookie利用の問題が議論されてきました。

例えば、2010年3月に総務省情報通信政策研究所が公表した「行動ターゲティング広告の経済効果と利用者保護に関する調査研究報告書」では、ターゲティング広告を利用する事業者は、その利用について明示したり、あらかじめ同意を得たりすることが望ましいとの見解が示されています。

また、令和2年個人情報保護法改正では、DMPと呼ばれるサービスでのCookie利用を規制するルールが新設されました。詳しくは、「個人情報保護法改正で変わる!Cookie規制を弁護士が解説」のコラムで取り上げています。

もっとも、これまで、Cookieの利用自体を正面から規制する法的ルールは、日本では存在しませんでした。最近は、Cookieポリシーを公表したり、Cookieの利用に当たってあらかじめ同意を取得するためのポップアップ表示を採用したりするWebサイトが増えてきましたが、これらの対応は、日本ではあくまでも「望ましい」ものとして位置づけられるにすぎませんでした。

4 Cookie規制に関する電気通信事業法改正の影響

今回の電気通信事業法改正は、Cookieの利用を正面から規制する法律上のルールを新設するものである点で、大きな意味があります。なぜなら、これまでCookieの利用に当たって「望ましい」とされていた対応が「しなければならない」へと格上げされるからです。

Cookieを利用するオンラインサービスを運営する事業者は、今回の電気通信事業法改正がどのようなものかを正確に理解しておかなければなりません。

第3章 Cookie規制に関する電気通信事業法改正

改正電気通信事業法第27条の12
電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの
三 当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報
四 当該情報送信指令通信が次のいずれにも該当する場合には、当該利用者がイに規定する措置の適用を求めていない情報
イ 利用者の求めに応じて次のいずれかに掲げる行為を停止する措置を講じていること。
(1) 当該情報送信指令通信が起動させる情報送信機能により行われる利用者に関する情報の送信
(2) 当該情報送信指令通信が起動させる情報送信機能により送信された利用者に関する情報の利用
ロ イに規定する措置、当該措置に係る利用者の求めを受け付ける方法その他の総務
省令で定める事項について利用者が容易に知り得る状態に置いていること。

1 Cookie規制に関する電気通信事業法改正の概要

Cookie規制に関する電気通信事業法改正とは、具体的には、上記の改正電気通信事業法第27条の12のことを指します。この条文は、大変難解で、一読しただけでは「何が言いたいのかよく分からない」と感じるものです。本章では、この条文の意味について、丁寧に確認していきたいと思います。

2 Cookie規制が適用される事業者とは

改正電気通信事業法第27条の12は、Cookie規制が適用される事業者を、「電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)」に限定しています。

要するに、Cookie規制が適用される事業者は、次の2パターンに限定されるということです。

(1) 電気通信事業法に基づく届出などをした事業者
(2) (1)以外で、総務省令で定めるオンラインサービス(電気通信役務)を「他人の需要に応ずるため」に提供する事業を営む者

(1) 電気通信事業法に基づく届出などをした事業者

オンラインサービスの中には、電気通信事業法に基づく届出などの対象になるものと、ならないものとがあります。

まず、オンラインサービスのうち、他人の通信を媒介するものについては、電気通信事業法に基づく届出などの対象になります。例えば、ユーザー間で個別メッセージのやりとりをすることができるオンラインサービスは、他人の通信を媒介する機能があるため、原則として、このようなオンラインサービスを運営する事業者は、電気通信事業法に基づく届出などをしなければなりません。

また、電気通信事業法改正により、総務大臣が指定する情報検索サービスやレンタルサーバーサービスなどが、新たに、電気通信事業法に基づく届出などの対象になります。

このようなオンラインサービスを運営する事業者は、例外なくCookie規制の対象になります。

(2) (1)以外で総務省令で定めるオンラインサービス(電気通信役務)を「他人の需要に応ずるため」に提供する事業を営む者

一方、オンラインサービスのうち、他人の通信を媒介せず、総務大臣が指定する情報検索サービスやレンタルサーバーサービスなどにも該当しないものについては、電気通信事業法に基づく届出などの対象にはなりません(電気通信事業法164条1項3号)。

ただ、このようなオンラインサービスであっても、「他人の需要に応ずるため」に提供するものであり、かつ、内容・利用者の範囲・利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める要件を満たすものについては、Cookie規制の対象になります。

本コラムの執筆時点では、Cookie規制の対象となるオンラインサービスの要件が総務省令で定められていないため、どのようなオンラインサービスがCookie規制の対象になるのかが明らかになっていません。オンラインサービスを運営する事業者は、自ら運営するオンラインサービスもCookie規制の対象になるかもしれないことを意識して、今後の動向に注目しておく必要があります。

特に、オンラインショッピングモールやリスティング広告の配信サービスのように、閲覧者の行動履歴が利活用される可能性の高いオンラインサービスについては、Cookie規制の対象になる可能性が高いように思われます(ただし、本コラムの執筆時点では総務省令が未制定ですので、あくまでも予想です。)ので、留意が必要です。

3 Cookie規制の内容

改正電気通信事業法第27条の12は、「利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信・・・を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない」と定めています。長い条文のうち、この部分が、Cookie規制の核となる内容を示しています。

この部分が示しているのは、要するに、

(1) 利用者に対しオンラインサービス(電気通信役務)を提供する際に
(2) 利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするとき
には、所定の事項を利用者に通知するか、利用者が容易に知り得る状態にしなさい

ということです。

では、「利用者の電気通信設備を送信先とする情報送信指令通信」とは、どのような意味でしょうか。

まず、利用者の「電気通信設備」(法2条2号)は、オンラインサービスを利用する際に使用する利用者のPC・スマートフォン・タブレットなどのデバイスが該当します。

次に、「情報送信指令通信」(電気通信事業法27条の12柱書)とは、利用者のデバイスがもつ情報送信機能を起動する指令を与えるデータ送信のことです。情報送信機能とは、利用者のデバイスに記録された「利用者に関する情報」を、利用者以外の人の「電気通信設備」に送信する機能のことです。利用者以外の人の「電気通信設備」とは、具体的には、サーバーが該当します。

Cookie情報として、利用者のデバイスを識別するためのIDを保存しておいて、別の機会にそのCookie情報をサーバーが要求することは、デバイスに記録された「利用者に関する情報」を、利用者以外の人の「電気通信設備」に送信する指令に該当します。

つまり、利用者のデバイスを識別するためのCookie情報の利用は、(1)利用者に対しオンラインサービス(電気通信役務)を提供する際に(2)利用者の電気通信設備を送信先とする情報送信指令通信を行おうとするときに該当するものといえます。

このように、難解な条文を丁寧に見ていくと、Cookie情報の利用を規制する内容であることが分かります。

改正電気通信事業法第27条の12は、このような情報送信指令通信を行おうとするときには、次の事項を利用者に通知するか、利用者が容易に知り得る状態に置かなければならないと定めています。

(1) 送信する「利用者に関する情報」の内容
(2) 送信先のサーバー
(3) その他の総務省令で定める事項(※本執筆時点では、総務省令は未制定です。)

つまり、Cookie規制の対象となるCookieの利用を行う場合には、収集するCookie情報や送信先サーバーなどの所定の事項を本人に通知する仕組みを導入するか、あるいは、Cookieポリシーを公表するなどして利用者が容易に知り得る状態に置かなければなりません

4 Cookie規制の例外

例外的に、次の場合には、所定の事項を利用者に通知したり、利用者が容易に知り得る状態に置いたりする必要はないものとされています。

(1) 送信データを利用者のデバイスの画面上に適正に表示するために必要な情報など、利用者がオンラインサービスを利用する際に必要なものとして総務省令で定める情報を送信する場合(法27条の12第1号)

本コラムの執筆時点で総務省令は未制定ですが、例えば、ログイン中に別のページに遷移する場合にログイン状態を維持するためにCookieを利用するケースや、ログインIDやパスワードの保存のためにCookieを利用するケースなどが想定されるものと思われます。

(2) 利用者に対しオンラインサービスの提供の際に利用者のデバイスに送信したIDを自社のサーバーに送信させる場合(法27条の12第2号)

ファーストパーティーCookieにより、デバイスごとにIDを付与し、閲覧者が過去にアクセスのあった人であるかを識別するために利用するようなケースが想定されます。

つまり、Cookie規制は、サードパーティーCookieの利用形態が主に対象となります。

(3) 利用者が送信に同意している情報を送信する場合(法27条の12第3号)

「Cookieの利用に同意しますか」というポップアップを表示して、同意が得られた場合にのみCookie情報の収集や利用を行うケースが想定されます。

(4) 利用者の求めに応じて情報の送信・利用を停止する措置を講じて、受付方法などの総務省令が定める事項を利用者が容易に知り得る状態に置いている場合に、利用者がその措置の適用を求めていない情報(法27条の12第4号)

いわゆるオプトアウトの措置を講じて、利用者がCookie情報の収集や利用をいつでも拒否することができる状態にしておくケースを意味しています。具体的なオプトアウトの措置の講じ方については、総務省令で具体的に定められる予定です。

5 まとめ

今回の電気通信事業法改正によってCookie規制の対象となるケースは限定的で、かつ、Cookie利用のポップアップ表示による「同意」取得を義務づけるものでもありませんので、事業者への影響は限定的です。とはいえ、Cookie規制が明確に法律で規制されたことは大きな出来事ですし、今後Cookie規制がさらに強化される契機になる可能性のある改正でもありますので、決して軽視はできません。

第4章 おわりに

当事務所では、プライバシーポリシー・Cookieポリシーの作成やCookieを利用したオンラインサービスの法的対応についてご相談を承っております。そのほか、オンラインサービスのスタートアップを支援するサービスや、月1万円(税別)から始められる顧問プランもご用意しています。


PAGE TOP