エンジニアの皆様向け 改正電気通信事業法 外部送信規律のご説明

Transcript

1. Copyright © 2022 LEACT All rights reserved. XXX株式会社 エンジニアの皆様向け 改正電気通信事業法

   外部送信規律のご説明 2023.MM.DD

2. Copyright © 2022 LEACT All rights reserved. 自己紹介 世古 修平

   （せこ しゅうへい） n 法律事務所LEACT（弁護士） n LINE株式会社（Privacy Counsel） n IPA（試験委員） n 経済産業省（電子商取引及び情報財 取引等に関する準則 研究会委員）

3. Copyright © 2022 LEACT All rights reserved. Agenda n 1.皆様への依頼内容

   n 2.背景事情のご説明

4. Copyright © 2022 LEACT All rights reserved. 1.皆様への依頼内容

5. Copyright © 2022 LEACT All rights reserved. 【1st 環境】 【3rd

   環境*2】 法務部では現在、Webサイトにおけるデータの外部送信を調査しています 依頼内容 1 ①アクセス ③情報送信指令通信 ④端末に記録された当該利用者に関する情報を送信 ②タグ発火 etc*1 *1 法律上はここのメカニズムについては限定を加えておらず、cookie以外にもリダイレクトやURLでのパラメータ受渡しなどの方法も含まれ得る *2 法律上は1st環境への送信もスコープだが、法務部としては一旦本格的な調査対象からは除外する。詳細はAppendixにて。

6. Copyright © 2022 LEACT All rights reserved. 例えばこんな製品を導入していないでしょうか？ 依頼内容 1

   出所：https://analytics.google.com/analytics/web https://contentsquare.com/jp-jp/ https://clarity.microsoft.com/ https://plaid.co.jp/

7. Copyright © 2022 LEACT All rights reserved. 【1st 環境】 【3rd

   環境*1】 法務部ではまた、Native Appにおけるデータの外部送信を調査しています 依頼内容 1 ④端末に記録された当該利用者に関する情報を送信 ②通信 ③情報送信指令通信 ①App起動 *1 法律上は1st環境への送信もスコープだが、法務部としては一旦本格的な調査対象からは除外する。詳細はAppendixにて。

8. Copyright © 2022 LEACT All rights reserved. 例えばこんな製品を導入していないでしょうか？ 依頼内容 1

   出所：https://firebase.google.com https://www.criteo.com/jp/ https://japan.inmobi.com/ https://www.adjust.com/ja/

9. Copyright © 2022 LEACT All rights reserved. これらについて①送信される情報, ②送信先, ③利用目的を調査しています

   依頼内容 1 【改正電気通信事業法規則 22条の2の29】 n 当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容 Ø 送信される情報を具体的に列挙することなく、「等」や「その他」等のあいまいな表現を安易に使用することは避けるなど、 利用実態及び利用者の利便に合わせて適切に記載されるのが望ましい。 n 前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称 Ø 当該者の氏名又は名称よりもサービス名の方が認知されやすい、といった場合は、サービス名等も併記することが望まし い。 n 第 1 号に規定する情報の利用目的 Ø 情報送信指令通信を行う電気通信事業者の利用目的（すなわち、当該電気通信事業者が情報送信指令通信を行う目 的）、及び情報送信指令通信に基づく利用者に関する情報の送信先となる者の利用目的（すなわち、上記(2)に該当する 者が利用者に関する情報を取り扱う目的）のいずれも記載する必要がある。 Ø 「情報送信指令通信ごとに」としているとおり、(1)から(3)までは、ウェブページやアプリケーションに埋め込まれたタグや情 報収集モジュールごとに記載する必要がある（情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト 単位で（ウェブページごとではない）まとめて表示すること等も考えられる。）。 Ø 通知等すべき事項が記載された送信先のウェブページへのリンクを示す場合や、既にプライバシーポリシーに通知等すべ き事項が記載されているときに当該プライバシーポリシーへのリンクを示す場合は、当該リンクを単に表示するだけではな く、リンク先で表示される通知等すべき事項の概略を併せて示すことが望ましい。

10. Copyright © 2022 LEACT All rights reserved. これらについて①送信される情報, ②送信先, ③利用目的を調査しています

    依頼内容 1 【改正電気通信事業法規則 22条の2の29】 n 当該情報送信指令通信が起動させる情報送信機能により送信されることとなる利用者に関する情報の内容 Ø 送信される情報を具体的に列挙することなく、「等」や「その他」等のあいまいな表現を安易に使用することは避けるなど、 利用実態及び利用者の利便に合わせて適切に記載されるのが望ましい。 n 前号に規定する情報の送信先となる電気通信設備を用いて当該情報を取り扱うこととなる者の氏名又は名称 Ø 当該者の氏名又は名称よりもサービス名の方が認知されやすい、といった場合は、サービス名等も併記することが望まし い。 n 第 1 号に規定する情報の利用目的 Ø 情報送信指令通信を行う電気通信事業者の利用目的（すなわち、当該電気通信事業者が情報送信指令通信を行う目的）、 及び情報送信指令通信に基づく利用者に関する情報の送信先となる者の利用目的（すなわち、上記(2)に該当する者が 利用者に関する情報を取り扱う目的）のいずれも記載する必要がある。 Ø 「情報送信指令通信ごとに」としているとおり、(1)から(3)までは、ウェブページやアプリケーションに埋め込まれたタグや情 報収集モジュールごとに記載する必要がある（情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト 単位で（ウェブページごとではない）まとめて表示すること等も考えられる。）。 Ø 通知等すべき事項が記載された送信先のウェブページへのリンクを示す場合や、既にプライバシーポリシーに通知等すべ き事項が記載されているときに当該プライバシーポリシーへのリンクを示す場合は、当該リンクを単に表示するだけではな く、リンク先で表示される通知等すべき事項の概略を併せて示すことが望ましい。

11. Copyright © 2022 LEACT All rights reserved. 2023/MM/DDまでに調査票への回答をお願い致します 依頼内容 1

    本日 2023/MM/DDまで 調査票 調査票 法務部 XXX部 XXX部 法務部

12. Copyright © 2022 LEACT All rights reserved. 6/16までに、外部送信ポリシーの作成・公表が求められています MM /

    DD 調査票配布 〜6 / 16 公表 MM / DD 調査票回収 MM / DD 外部送信ポリシー作成 依頼内容 1

13. Copyright © 2022 LEACT All rights reserved. ユーザーが「容易に到達できる」場所にポリシーを公表予定です Webサイトの場合 Native

    Appの場合 n 恐らく多くの企業がフッターにリンクを掲載 →MM / DD目処でXXX部門と詳細を相談予定 n 掲載面が限られているため各企業で対応検討中 →MM / DD目処でXXX部門と詳細を相談予定 外部送信ポリシー 外部送信ポリシー 依頼内容 1

14. Copyright © 2022 LEACT All rights reserved. 2.背景事情のご説明

15. Copyright © 2022 LEACT All rights reserved. 今回改正されたのは、電気通信事業法という非常に古い法律です 背景事情 ２

    1985年 施行 出所：https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd111120.html 2022年 改正 2000年 1995年 インターネットの普及*

16. Copyright © 2022 LEACT All rights reserved. この古い法律で、近時の問題事例に対応しようとしたのが今回の改正です 背景事情 ２

    1985年 2000年 1995年 施行 インターネットの普及 2023年 改正 2014年 ケンブリッジアナリティカ事件 2020年 Smooz事件 n ケンブリッジアナリティカ事件 Facebook に登録された 8,700 万件の個人情報 が米大統領選の選挙運動等に不適正に利用され ていた事件 ？ n Smooz事件 ウェブブラウザアプリが検索情報等を外部に送信し ている旨を指摘したブログが公表された事件 ？

17. Copyright © 2022 LEACT All rights reserved. 法務部では、総務省でのWG議事録なども参考に対応を検討しています 背景事情 ２

18. Copyright © 2022 LEACT All rights reserved. 今回の改正法は、大きく分けて2種類の企業を規制対象にしています 背景事情 ２

    n 携帯キャリア n 鉄道事業者 n 電力会社 など 電気通信事業者 n IoTサービス (物品位置 管理、混雑 状況検知システム等) n Webサーバ等用のサーバ貸与 (レンタルサーバ、 VPS3、PaaS) n オンラインストレージ n ファイル共有サービス/ファイル転送サービス n ソフトウェアのオンライン提供( SaaS 、ASP) n 各種情報のオンライン提供 n Webサイトのオンライン検索 n ECモール/ネットオークション/フリマアプリの運営 n 電子掲示板 オープン・チャット n 電子メールマガジンの配信 など 第3号事業を営む者* 従来から規制対象 改正法により規制対象に追加 *内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。

19. Copyright © 2022 LEACT All rights reserved. 当初はPV数 / ダウンロード数による対象の絞り込みが想定されていました

    背景事情 ２ 出所：https://www.soumu.go.jp/main_content/000820411.pdf

20. Copyright © 2022 LEACT All rights reserved. 総務省WG構成員の先生方の指摘を踏まえ、方針の変更が行われました 背景事情 ２

    出所：https://www.soumu.go.jp/main_content/000831308.pdf

21. Copyright © 2022 LEACT All rights reserved. 結果として、非常に広範な事業者が改正法の適用対象になりました 背景事情 ２

    出所：https://www.soumu.go.jp/main_content/000853183.pdf

22. Copyright © 2022 LEACT All rights reserved. Appendix

23. Copyright © 2022 LEACT All rights reserved. 【1st 環境】 【3rd

    環境】 法務部では、調査対象をひとまず3rd環境への情報送信に絞っています ①アクセス ③情報送信指令通信 ④端末に記録された当該利用者に関する情報を送信 ②タグ発火 etc Appendix

24. Copyright © 2022 LEACT All rights reserved. 【1st 環境】 一方で、法律上は1st環境への情報送信も規制対象に含まれています

    ①アクセス ③情報送信指令通信 ④端末に記録された当該利用者に関する情報を送信 ②タグ発火 etc Appendix

25. Copyright © 2022 LEACT All rights reserved. 1stへの「真に必要」でない情報送信がある場合、法務部に別途ご相談下さい Appendix 適用除外

    第1項の規定は、次に掲げる情報に係る情報送信指令通信については、適用しない。 (1) 当該利用者が当該電気通信役務を利用する際に送信をすることが必要なものと して次に掲げる 情報であって、その必要の範囲内において送信されるもの イ 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通 信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真 に必要な情報 利用者が利用を希望している電気通信役務を提供するに当たり、当該電気 通信役務を提供する電 気通信事業者に送信される情報は、基本的には当該電気通信役務の提供に必要なものであると考 えられるため、原則として「真に必要な情報」に該当すると考 えられる。 ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送 信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報について は、「真に必要な情報」には該当しないと考えられる。

26. Copyright © 2022 LEACT All rights reserved. 1stへの「真に必要」でない情報送信がある場合、法務部に別途ご相談下さい Appendix 適用除外

    第1項の規定は、次に掲げる情報に係る情報送信指令通信については、適用しない。 (1) 当該利用者が当該電気通信役務を利用する際に送信をすることが必要なものと して次に掲げる 情報であって、その必要の範囲内において送信されるもの イ 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通 信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真 に必要な情報 利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電 気通信事業者に送信される情報は、基本的には当該電気通信役務の提供に必要なものであると考 えられるため、原則として「真に必要な情報」に該当すると考えられる。 ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送 信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報について は、「真に必要な情報」には該当しないと考えられる。

27. Copyright © 2022 LEACT All rights reserved. 【1st 環境】 【3rd

    環境*2】 なお、いわゆる“サーバ to サーバ”の情報送信は規制の対象外です ①アクセス ③情報送信指令通信 ⑤サーバに記録された当該利用者に関する情報を送信 ②タグ発火 etc*1 Appendix ④1st環境サーバに保存