改正電気通信事業法によるCookieに関する規律の概要と日米欧中比較
2022/06/23   コンプライアンス, 情報セキュリティ

CIPP/E, GBL研究所理事 浅井敏雄[1]

 

本年(2022年)6月13日、改正電気通信事業法(以下「改正法」または「法」ともいう)が可決成立し、その公布日(同年6月17日)から1年以内に施行されることとなりました(附則1条)。

改正法では、新たに、第27条の12にCookieに関する規律が追加されました。おおまかに言えば、改正法では、多くの「電気通信事業」（オンラインサービス/情報提供サイト等を含み、自社情報発信サイト/小売業者等が実店舗等で提供するサービスのネット提供等を含まない）を営む者に対し、CookieおよびCookieと同様のテクノロジー(以下総称して「Cookie」)の利用に関し、①関連情報を事前に公表するか、②事前に利用者の同意を得るか、③事前にその方法を公表しオプトアウトを受付けるかのいずれかが義務付けられます(以下これを「外部送信規律」という)。

また、改正法では、総務大臣が指定する一定の大規模な「電気通信事業者」（従来の電話事業者・ISP等の他、改正で大規模な検索サービス・SNSの運営者も含まれる）に対し、Cookieデータを含むと予想される「特定利用者情報」の適正取扱いに関し、政府への届出/公表等の義務が課されます（27条の5～11/28条）(以下これを「特定利用者情報規律」という)。

本稿では、より多くの企業に関係する「外部送信規律」の内容を中心に解説するとともに、「特定利用者情報規律」についてはその概要を紹介し、更に、Cookie（個人情報・個人データに該当する場合を含む）に関する規律について日米欧中の法制を比較します。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) I　外部送信規律の内容 1　外部送信規律の対象事業者 2　外部送信規律の対象行為 3　外部送信規律の内容 II　外部送信規律に関する企業の対応 III　指定大規模電気通信事業者に係る特定利用者情報規律 IV　Cookieに関する規律の日米欧中比較

 

I　外部送信規律の内容

改正法27条の12(以下「本条」)の内容は理解するのに前提知識を要しかつ複雑です。以下においては、順を追って、なるべく分かり易いように解説します。

1　外部送信規律の対象事業者

外部送信規律の対象となる事業者(以下「対象事業者」)は、本条の規定上、(i)「電気通信事業者」[2]または(ii)「第三号事業」（法164条1項3号に掲げる電気通信事業）を営む者であって、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める者とされています。

言い換えれば、対象事業者は、法164条1項1号・2号により除外される電気通信事業（1社だけのための事業、使用する電気通信設備が1構内だけまたは小規模の事業）を除き、かつ、省令により「....影響が少なくない」とされる「電気通信事業」を営む者です。従って、小規模事業等を除き、「電気通信事業」を営む限り、多くの者が対象事業者に該当することになると予想されます。

ここで、「電気通信事業」とは、「電気通信役務」（自社が所有しまたは利用権限を有する電気通信設備を他人間または自己と他人間の通信の用に供すること）を他人の需要に応ずるために提供する事業を意味します（2条1～4号）。（脚注資料[3]参照）

従って、以下に例示する事業を営む者が、外部送信規律の対象事業者に該当しまたは該当しないことになります（例は脚注資料より）。

(a)　外部送信規律の対象事業の例：固定・携帯電話/インターネット接続サービス/利用者間のメッセージ媒介サービス/Web会議システム/SNS/オンライン検索サービス/オンラインショッピングモール/オークションモール/各種情報のオンライン提供（ニュースサイト）／経費精算・勤怠管理・電子契約・顧客管理・採用管理またはビジネスチャットのオンラインサービス/自動車メーカによる渋滞情報配信サービス

(b) 外部送信規律の対象「外」事業の例：企業の自社情報発信サイト運営/小売業者・銀行・証券会社が実店舗等で提供するサービスのインターネット経由での提供/家電メーカが自社製品保守の手段として行う客先IoTセンサーからの使用・故障データ受信　—　いずれも理由は「他人の需要に応ずる」の要件を欠くから。

2　外部送信規律の対象行為

外部送信規律の対象行為は、分かり易く表現すると、対象事業者が、Cookieにより、その電気通信役務の「利用者」（2条7号）（個人・法人。契約やアカウント登録の有無を問わない）のパソコン、スマホ、IoTセンサー等の端末器機に対し、その端末に記録されたデータ(Cookie IDとそれに紐づけされたデータ。以下「Cookieデータ」)を、利用者以外の者（対象事業者を含む）のサーバに送信させる信号を送信すること（下図では②）です（本条ではこの信号送信を「情報送信指令通信」と呼んでいる）。

図（「電気通信事業ガバナンス検討会報告書」(以下「報告書」) p. 55

page top

3　外部送信規律の内容

本条による外部送信規律の内容を、分かり易く表現すると、以下の通りとなります。

対象事業者は、情報送信指令通信を行おうとする場合（Cookieを利用しようとする場合）、事前に、利用者端末から送信されるCookieデータの内容、その送信先その他省令で定める事項を利用者に通知するか、または、公表等により、当該利用者が容易に知り得る状態に置かなければならない。

但し、以下各号の一に該当するデータについては当該通知・公表等を要しない。

(1)当該役務利用のために送信する必要があるデータ（省令で定める）—  [いわゆる必須Cookieであり、サービスの正常利用に必要な利用者端末のOS情報等と思われる：報告書 54の脚注]

(2)対象事業者のサーバが利用者端末に一旦送信し以後当該サーバに逆送信される利用者端末の識別符号 — [いわゆるファーストパーティーCookieのうちCookie IDに限り、Cookie ID以外のCookieデータやサードパーティーCookieは含まないと思われる]

(3)利用者が送信に同意したデータ

(4)対象事業者が利用者の求めに応じCookieの利用を停止する場合であって、その旨、その他の情報を利用者が容易に知り得る状態に置いた場合（いわゆるオプトアウト）において、利用者がまだオプトアウトしていないデータ

以上の内容を更に分かり易く表現すると、対象事業者は、Cookieを利用する場合には以下のいずれかを実施しなければなりません。

(1)Cookieにより送信されるデータ、送信先、その他省令規定事項の事前通知または事前公表

(2)利用者の同意取得

(3)利用者から要求された場合にはCookieの利用停止（事前にその旨公表・通知）（オプトアウト）

なお、一部報道[4]によれば、当初、総務省の規制案では、利用者の同意取得を義務付ける案が検討されていたものの、一部経済団体や米国側から反対があり、通知・公表等でもよいこととされたとのことです。

page top

II　外部送信規律に関する企業の対応

自社情報発信サイトや小売業者等が実店舗等で提供するサービスのネット提供等は外部送信規律の対象外であり、影響を受ける場合は比較的限定されています。また、対象であっても、Cookieの利用に関し既にプラバシーポリシー等で公表済みの企業であれば、その公表内容等を省令に適合させる微調整により最低限の対応は可能でしょう。

一方、対象企業で、この公表等もしていない場合は、改正法施行日（2023年6月16日までの日で政令で定める日）までには、Cookieの利用に関し、①最低限、関連情報を事前に公表するか、②事前に利用者の同意を得るか、③事前にその方法を公表しオプトアウトを受付けるかのいずれかを選択し準備しておかなければなりません。

【個人情報保護法第31条の「個人関連情報」提供との関係】同法第31条によれば、事業者は、第三者が「個人関連情報」（Cookieデータが含まれ得る）を(自ら保有する個人データに個人関連情報を付加する等して[5])個人データとして取得することが想定される場合は、原則として、事前に、当該第三者において当該取得について本人の同意が得られていることを確認しないで、同情報を提供してはならないと定めています(以下これを「個人関連情報の規律」という)。

個人関連情報の規律は、前掲図の②の、Webサイト運営者によるサイト利用者への「情報送信指令通信」に適用されますが、前掲図の③のサイト利用者のCookieデータがWebサイト運営者にとり（利用者の氏名等と紐づけて取得・管理していない等のために）個人データではなく個人関連情報に該当し、同データの第三者のサーバへの外部送信が、Webサイト運営者から当該第三者への個人関連情報の「提供」[6]と評価され、かつ、当該第三者が同データを「個人データとして取得する」ことが想定されるならば、当該Webサイト運営者は、外部送信規律だけでなく個人関連情報の規律にも服し、事前に、当該第三者において当該取得について利用者本人の同意が得られていることを確認しないで、同情報を提供してはならないことになります。

従って、結局、この場合、当該Webサイト運営者は、本人の同意の確認ができない限り、当該外部送信をすることができず、Cookie利用関連情報を事前に公表するだけでは足りません。

page top

III　指定大規模電気通信事業者に係る特定利用者情報規律

改正法では、外部送信規律の他、大規模な電気通信事業者に限定されるものの、「特定利用者情報」に関する規律が導入されます（27条の5～11/28条）。

すなわち、総務大臣は、利用者の利益に及ぼす影響が大きい電気通信事業者（従来の電話事業者・ISP等の他、改正で大規模な検索サービス・SNSの運営者も含まれる）（報告書p. 48脚注では利用者1,000 万人以上等を想定）を、「特定利用者情報」を適正に取り扱うべき者として指定でき、指定された事業者には、「特定利用者情報」の適正取扱いに関し、①情報取扱規程(安全管理/委託先監督等規定)の策定・届け出（大臣は必要に応じ規程内容の変更・遵守命令可）、②情報取扱方針（情報保管国/取扱業務委託先国の記載が必要となる可能性あり[7]）の策定・公表、③特定利用者情報取扱状況の評価・見直し（毎年）、④特定利用者情報統括管理者の選任・届出、⑤一定の特定利用者情報の漏えいまたはそのおそれの大臣への報告等の義務が課されます。

この「特定利用者情報」とは、利用者の利益に及ぼす影響が大きいものとして省令で定める電気通信役務に関して取得する利用者（契約やアカウント登録がある者に限る）に関する情報であって、①通信の秘密[8]に該当する情報または②それ以外の利用者を識別できる省令で定める情報です(27条の5)。脚注の検討会資料[9]では、これらには、クッキー技術を用いて生成された識別情報、ウェブページ上の行動履歴、アプリケーションの利用履歴等も含まれているので、「特定利用者情報」にはCookieデータも含まれることが予想されます。従って、この場合、指定された事業者は、Cookieに関し、外部送信規律に加え、特定利用者情報規律にも対応しなければなりません。

page top

IV　Cookieに関する規律の日米欧中比較

(1)日本の法制

【電気通信事業法】改正法上、Cookieに関しては、多くの「電気通信事業」を営む者（オンラインサービス/情報提供サイト等を含み、自社情報発信サイト運営/小売業者等が実店舗等で提供するサービスのネットの提供等を含まない）は、前述の外部送信規律の対象となり、事前通知・公表（または同意取得・オプトアウト）を要します。大規模な電気通信事業者（大規模な検索・SNSサービス提供者も含まれる）は更に「特定利用者情報」に関する規律の対象となり取扱規程の届出等の義務を負う可能性があると思われます。

【個人情報保護法】個人情報保護法上は、「個人情報」とは、氏名等により特定の個人を識別することができる情報（他の情報と容易に照合できそれにより特定の個人を識別できる情報を含む）とされ（2条1項）、ある情報から特定個人を識別可能かが問題とされています。

Cookieデータは、一般に、この定義に該当せず、事業者が氏名等と紐づけて取得・管理している場合等を除き、個人情報ではないと解され[10]、従って、原則として同法上の規律の対象外です。仮に個人情報に該当する場合でも、その取得については不正手段による取得が禁止されている（20条1項）だけでその他の条件・制限はありません。

但し、同法上も、Cookieデータは、前述の「個人関連情報」として、その提供先が同情報を個人データとして取得することが想定される場合には提供先で本人同意を取得済みか否かを事前確認しなければなりません。

(2) 欧州(EU)の法制 [11]

【ePrivacy指令】EUでは、「電子通信分野における個人データの処理およびプライバシーの保護に関する指令」（原文）(以下通称に従い「ePrivacy指令」)第5条第3項に従い、各EU加盟国の国内法令で以下の内容が実施されています。

[Cookieによる]契約者・利用者の端末機器への情報の保存または当該情報へのアクセスは、契約者・利用者が「データ保護指令」(GDPR施行後はGDPRを意味する:GDPR第94条2項)に従い明確かつ十分な情報（特に当該情報の処理目的）が提供された上で同意した場合にのみ許される。

但し、これは、次のいずれかの場合における技術的保存またはアクセスを妨げるものではない。

(i) 電子通信ネットワーク上での通信の伝達を実行することのみを目的とする場合  — [必須Cookie]

(ii) 情報社会サービスの提供者が、契約者・利用者が明示的に要求したサービスを提供するために必須である場合 — [必須Cookie]

— 従って、何人も（規制対象者の限定なし）、自社情報発信サイト等での利用を含め、Cookie（ファーストCookieもサードパーティーCookieも含む）の利用について、原則として、GDPRに従い契約者・利用者（個人・法人）に事前通知した上でその同意を得なければなりません。

【GDPR】 GDPR（日本の個情委の訳）上、「個人データ」は、識別・特定された個人に関連する情報やCookie IDを参照すること等により直接的または間接的に識別・特定できる個人に関連する情報と定義されています(4(1)、前文30)。

従って、氏名等が分からなくても、Cookie IDによる特定の場合を含め、ある個人が特定さえされれば、それに関連する情報は個人データに該当するので、大半のCookieデータが個人データに該当し、その結果、GDPR上も、大半のCookieデータについてその取得・提供等全ての処理にデータ主体本人の同意等が要求されます(6条/9条)。

(3) 米国（加州）の法制　[12]

【「カリフォルニア州消費者プライバシー法」（CCPA）】　CCPA（日本の個情委の訳）上、「個人情報」の定義は基本的にGDPRと共通し、特定の（Cookie IDによる特定を含む）消費者等に関連・紐付け等できる情報を意味し(140(o)(1), 140(g))、大半のCookieデータが個人情報に該当します。

そして、事業者は、その取得について取得時までに利用者に目的等を通知しなければなりません(140(e))。消費者にはその削除請求権（無制限）があります(105)。事業者間のCookieデータ提供（サードパーティーCookieによる自動取得を含む）は、通常、個人情報の「販売」（140(t)(1)）に該当し、消費者にはオプトアウトの権利が与えられます(120(a))。

【CPRA】上記は、CCPAの改正法である「カリフォルニア州プライバシー権法」（2023年1月1日全面施行）(CPRA）（筆者訳）でも同様です。

(4)中国の法制　[13]

【中国個人情報保護法】「中国個人情報保護法」（Miura & Partners和訳）上、「個人情報」の定義は基本的にGDPRと共通し、識別されたまたは識別可能な個人に関する全ての情報を意味し（4条1項）、大半のCookieデータが個人情報に該当します[14]（当局の運用も同様[15]）。

従って、同法上、事業者には、Cookieデータの取得・提供等全ての処理について本人の同意等が要求されます(13条1項)と思われます。

(5) Cookieに関する規律の日米欧中比較（要約）

以下は上記(1)～(4)の内容を更に要約したものです。

(a)日  本

改正電気通信事業法により、多くの「電気通信事業」を営む者（オンラインサービス/情報提供サイト等を含み、自社情報発信サイト運営/小売業者等が実店舗等で提供するサービスのネットの提供等を含まない）はCookie利用について事前公表（または同意/オプトアウト）要。

大規模な「電気通信事業者」（大規模な大規模な検索・SNSサービス提供者・SNSサービス提供者含む）は、同法上、更に取扱規程の届出等の義務を負う可能性あり。

個人情報保護法上、Cookieデータは、事業者が氏名等と紐づけて取得・管理している等の場合のみ個人情報に該当。該当する場合でも取得については同意等は不要。

また、同法上、事業者は、Cookieデータ（個人関連情報）の提供先が個人データとして取得することが想定される場合には提供先で本人同意を取得済みであることを確認要。

(b)欧州(EU)

ePrivacy指令により、何人も、Cookie利用には、サイト・アプリ等の利用者に事前した上で同意取得要。GDPR上、大半のCookieデータが個人データに該当し同法の適用を受ける。従って、同法上、Cookieデータについて、原則として、その取得・提供等全ての処理について同意等の根拠を要する。

(c)米国（加州）

CCPA上、大半のCookieデータが個人情報に該当し、その取得について取得時までに通知要。また、同法上、消費者にはオプトアウト権あり。

CPRAでも同様。

(d)中  国

中国個人情報保護法上、大半のCookieデータが個人情報に該当し同法の適用を受ける。従って、同法上、Cookieデータについて、原則として、その取得・提供等全ての処理について同意等の根拠を要する。

 

以上の通り、日本におけるCookieに関する規律は、改正法の施行後でも、欧米中に比較し限定的・断片的・緩やかで解釈も分かりにくいものになっています。従って、将来的には、更なる法改正により欧米中等に準じた規律が導入される可能性があると思われます。

 

page top

以　上

【注】

[1] CIPP/E (Certified Information Privacy Professional/Europe)／一般社団法人GBL研究所理事

[2] 【電気通信事業者】 法2条5号：「（電気通信事業者とは、）電気通信事業を営むことについて、第九条の登録を受けた者及び第十六条第一項（同条第二項の規定により読み替えて適用する場合を含む。）の規定による届出をした者をいう。」。—　電気通信回線設備を設置するかまたは他人の通信を媒介するのであれば、電気通信事業者に該当し9条の登録または16条の届出が必要。それ以外の「電気通信事業を営む者」はほぼ「第三号事業を営む者」に該当（次の注のマニュアルp 7参照）

[3] 【「電気通信事業」、「電気通信事業を営む者」の意味】 (参考) 総務省「電気通信事業参入マニュアル［追補版］ガイドブック」, 総務省「電気通信事業参入マニュアル[追補版]（令和元年１０月１日 最終改定）

[4] 読売新聞「ネット利用者情報の企業利用、総務省の規制案はなぜ後退したのか」2022/01/25

[5] 【個人関連情報を「個人データとして取得する」の意味】自ら保有する「個人データに個人関連情報を付加する等、個人データとして利用しようとする」ことをいう（「個人情報の保護に関する法律についてのガイドライン（通則編）」（2021年10月改定）3-7-1-1

[6] Webサイト利用者のCookieデータの第三者のサーバへの外部送信が、Webサイト運営者から当該第三者への個人関連情報の「提供」と評価されるか否かに関しては、個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するＱ＆Ａ」（2022年5月26日）の以下のQ&Aが手掛かりになると思われる（下線・太字は筆者）。

『（法第31条の適用の有無について）

Ｑ８－10：A社が自社のウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社はB社にユーザーの閲覧履歴を提供したことになりますか。

Ａ８－10

個別の事案ごとに判断することとなりますが、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B社がそのタグを通じて閲覧履歴を取得することについて、法第31条第１項は適用されないと考えられます。なお、個人情報取扱事業者であるB社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず（法第20条第１項）、また、個人情報の利用目的を通知又は公表する必要があります（法第21条第１項）。』

上記回答によれば、Webサイト利用者のCookieデータの第三者のサーバへの外部送信は、当該Webサイト運営者（上記のA社）も当該Cookieデータを閲覧・取得・利用する等して取り扱う場合は、Webサイト運営者から当該第三者（上記のB社）への個人関連情報の「提供」と評価されるが、そうでない場合は当該「提供」とは評価されない、ことになる。（参考）鈴木翔平「「タグ」によるデータ外部送信と第三者提供規制」（2022.03.31, TMI総合法律事務所）-Q3, Q4

[7] 電気通信事業ガバナンス検討会事務局「参考資料13－1　電気通信事業ガバナンスの在り方と実施すべき措置」（2021年12月14日）には、この公表に関し「必要な記載事項としては、例えば、取得する電気通信役務利用者情報の内容、電気通信役務利用者情報を保管する電気通信設備の所在国や電気通信役務利用者情報を取扱う業務を委託した第三者の所在国を明記すること等が考えられるのではないか。」と記載されている。これは、いわゆるLINE事件を念頭に置いたものと思われる(参考：浅井敏雄「LINE事件と中国におけるガバメントアクセス規定」企業法務ナビ, 2021/04/26)。

[8] 【「通信の秘密」の範囲】大阪高判昭和41年2月26日高刑集19巻1号58頁は、郵便法9条（現8条）・80条の「信書の秘密」に関する事件であるが、裁判所は、同法の規定は、憲法21条の「通信の秘密」の保障に基づき設けられており、「通信の秘密には、これらの信書の内容のほか、その発信人や宛先の住所、氏名等も含まれると解すべきである」とする。また、総務省「プラットフォームサービスに関する研究会　中間報告書」（2019年4月）には、電気通信事業法における通信の秘密の保護（4条1項）に関連し以下の通り記載されている。『「通信の秘密」の範囲には、個別の通信に係る通信内容のほか、個別の通信に係る通信の日時、場所、通信当事者の氏名、住所・居所、電話番号などの当事者の識別符号、通信回数等これらの事項を知られることによって通信の意味内容を推知されるような事項全てが含まれると従来から整理がなされている。 』

[9] 上記事務局資料P. 10で「電気通信役務利用者情報」としてその例が示されている。「①-1.情報規律の内容 （２．特に大規模な電気通信事業者に対する電気通信役務利用者情報の適正な取扱いに係る規律）」(p.17)、「①-2. 電気通信役務利用者情報の外部送信に関する規律の検討」(p.18)、いずれについても、この「電気通信役務利用者情報」が対象とされている。

[10]  (参考) 杉浦 健二「Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説」(2019年12月06日)-2

[11] 【欧州の法制】 (参考)浅井敏雄「GDPR関連資格CIPP/E準拠 詳説GDPR （上）- GDPRとCookie規制」2019年11月. I-C-3等参照

[12] 【米国（加州）の法制】 (参考)浅井敏雄「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月. 第3章2-Q3, 同5-Q2, 同8-Q1等。 浅井敏雄「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020/12/17. 第3章4-Q2, 同6-Q2, 同13-Q1等。

[13] 【中国の法制】 (参考) 浅井敏雄「中国データ・情報関連法」 2021/9/18. 第4章4, 同7等。

[14] また、「中国サイバーセキュリティ法」（JETRO掲載訳）上、ネットワーク運営者（ほぼ全ての事業者）は、その運営するサイト・アプリ上のネットワーク・ログ（ユーザのアクセス等のデータ）を最低6か月間保存し（21条3号）、ユーザを実名（本名）で登録し（24条）、当局の犯罪捜査・国家安全保障活動に協力する（28条）義務を負う。従って、ネットワーク運営者において、Cookieデータを含むログと実名は紐づけ管理されていると思われ、この場合もCookieは個人情報に該当する。

[15] 中国の国家標準「GB/T 35273—2020 情報安全技術-個人情報安全規範」（曾我法律事務所和訳）は、当局の監督・管理にも適用されるが（序文：引言）、その附属文書Aの個人情報の例には個人のインターネット接続記録も含まれている。