「外部送信規律」とは?
外部送信規律では、Webサイトやアプリにおいて、利用者のPCやスマホの外部に情報を送信している場合、送信先毎にその目的、送信先の名称、送信先における情報の利用目的などを「通知」または「容易に知り得る状態に置く」ことが求められています。その上で、「オプトアウト」や「同意」の手段を提供できる、という形です。
たとえば、多くのWebサイトやアプリで利用されている「Google Analytics」もこの対象です。WebサイトやアプリにGoogle AnalyticsのタグやSDKを組み込むと、利用者の端末からGoogleに対して情報の送信が発生するためです。Google Analyticsの場合、そのWebサイトやアプリではGoogle Analyticsを何の目的で導入したか、送信先はどこか(この場合はGoogle LLC)、Googleは受け取った情報をどのように利用するか、送信される情報はどのような情報か、という一連の情報を「通知」または「容易に知り得る状態に置く」必要があります。
他にも、Facebookの「いいね!」ボタンなどのソーシャルプラグインや、AdSenseなどの広告配信ツール、マーケティングオートメーションやABテストツールなどをWebサイトやアプリに組み込んでいる場合も、同様に一連の情報を掲載する必要があります。
ここまで聞くとオンラインマーケティングに詳しい方なら「なるほど、Cookieが規制対象なのか」と思われるかもしれません。しかし、対象はCookieだけではありません。外部送信規律では、Cookieに限らず外部に送信される利用者に関する情報すべてが対象となり得ます(真に必要な情報の送信については例外規定あり)。
アプリ向けの広告識別子であるIDFAやAAIDはもちろんのこと、昨今の3rd Party Cookie規制によって、Cookieを利用しない方法で利用者をトラッキングする手法(一部の共通IDソリューションやデバイスフィンガープリントなど)や、今後ブラウザに実装されることが検討されているTopics API、FLEDGEなどで用いられるTopicやInterest Groupの情報も対象です。また、コンテキストターゲティングなどCookieでのトラッキングを行わないとする広告手法も利用者に関する情報(IPアドレスや画面サイズなどの閲覧環境の情報や閲覧しているページタイトルなどの情報)の外部送信は発生しているため、外部送信規律の対象となります。
Cookieによるトラッキングが衰退しても、その他の情報が外部に送信されることによる利用者への影響がなくなるわけではありません。改正電気通信事業法の外部送信規律は次世代の技術にも対応しようとする規律と言えます。
具体的には、何をどうすればいい?
では、具体的にはどのように情報の送信先毎の目的、名称、送信先における情報の利用目的などを記載すればよいのでしょうか? 以下の画像は、一般社団法人MyDataJapanが総務省のワーキンググループで提案した記載方法の一例です。
総務省の公表する「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」において、最低限必要な情報として以下が示されています。
・送信されることとなる利用者に関する情報の内容
・情報の送信先として、当該情報を取り扱う者の氏名または名称
・電気通信事業者の利用目的
・情報の送信先となる者の利用目的
少しわかりにくいので、かみ砕いて表現すると、「どのような情報を」「誰に対して」「何の目的で送信し」「送信先では何に用いられるのか」を送信先毎に具体的に記載する必要があります。たとえば、目的を単に「広告」や「マーケティング」とすることは総務省のワーキンググループにおいても適切ではないことが指摘されており、MyDataJapanの記載例のように、具体的に送信元および送信先での利用目的を記載することが求められると考えられます。
また、これらを日本語で専門用語は使わず、平易な表現で記載することが求められており、これまで一部のWebサイトやアプリのCookieポリシーなどで記載されていた、情報送信先のプライバシーポリシーへのリンクを設置するという対応だけでは要件を満たせません。よって、Cookieポリシーなどを既に公開している事業者も記載事項を追記・修正する対応が必要となります。
さらに、上記の内容を「通知」または「容易に知り得る状態に置く」とされていますが、「通知」とはポップアップでの表示のことです。Webサイトやアプリの利用者に対し、以下の画像のようなポップアップを表示し、記載事項を確認できるページに遷移させる方法が考えられます。「容易に知り得る状態に置く」については、Webサイトのフッターに「Cookieポリシー」や「情報の外部送信について」などのリンクを設置し、上記の記載事項を確認できるページに遷移させる方法が、アプリについては起動時に表示される最初の画面から遷移させる方法が考えられます。
改正電気通信事業法では、「オプトアウト」や「同意」を行うことも認められていますが、どちらの対応を行う場合においても、上記記載事項を示した上で対応することが必要となります。「オプトアウト」や「同意」の措置を取っている場合でも、利用者に対して上記の記載事項を提示する必要があることに留意する必要があるでしょう。また、同意を取得する方法について、利用者が能動的に同意を行ったとは言えないような方法は認められていないため、「利用を続けた場合同意したものとします」などの表示はもちろん認められません。同意ボタンしか表示されていないなどの対応も、有効な同意として認められないと考えられます。
