IT・ベンチャーの企業法務

令和5年電気通信事業法改正とは？Cookie規制についても詳しく解説

2023.05.25

IT・ベンチャーの企業法務

令和5年に施行される予定の電気通信事業法改正では、電気通信事業を取り巻く環境変化を踏まえ、サービスの円滑な提供・利用者保護を図るため、さまざまなルール変更が行われます。その中でも、特に注目されるのが、Cookieに関する規制です。

現在、Cookieを利用するオンラインサービスは非常に多岐にわたり、電気通信事業法改正によって、オンラインサービスの運営にどう影響するのかは、多数の企業の関心事となっています。今後のWebマーケティングにも大きな変化が予想されています。

この記事では、2022年6月に改正案が成立し、2023年6月17日までに施行を迎える電気通信事業法と、それに伴い整備された電気通信事業法施行規則等について紹介します。注目されるCookie規制についても詳しく解説します。

この記事の目次

電気通信事業法改正の概要

電気通信事業法とは、電気通信事業の公共性にかんがみ、その運営を適正で合理的にするとともに、事業者間の公正な競争を促進し、利用者の利益を保護するための法律です（電気通信事業法第1条）。もう少しわかりやすく言うと、インターネット・携帯電話などの電気通信サービスが円滑に提供される仕組みを整えて、利用者の利益と国民の利便性を確保することを目的としています。

電気通信事業者にあたる事業とは、電話やインターネットなどの情報通信インフラを提供する事業を指します。今回の改正では、対象事業者の範囲拡大をはじめとして以下のような改正が実施されます。

通信サービスを電気・ガス・水道のようなユニバーサルサービス化する
検索エンジンやSNSなども届出の対象とする
大手携帯電話キャリアと格安SIMなどの公正な競争の整備

2020年以降、テレワークやWeb会議、遠隔教育などが急激に一般化しました。今やインターネット環境は、個人が選択するサービスではなく、電気やガスのように誰もがアクセス可能なインフラと言ってもいいでしょう。今回の改正では、地域間での通信格差をなくすため、インターネット事業者が採算の取れない地域でも安定したサービス提供を確保できるよう、交付金制度が創設されました。

「電気通信事業者」の範囲も変わります。今まで対象外だった大規模な検索サービスやSNSについても規制の対象となりました。つまり、Googleのような大規模な検索エンジンや、Twitter、InstagramなどのSNSのように一定の規模を超える場合は電気通信事業者として届出の対象としたのです。

以下が、今回新たに届出の対象とされる事業者の条件です。

検索情報電気通信役務（Googleなどの検索エンジン）：利用者数が1,000万人以上かつ分野横断的な検索サービス
媒介相当電気通信役務（TwitterなどのSNS）：利用者数が1,000万人以上かつ主として不特定の利用者間の交流を実質的に媒介するもの

また、携帯電話大手3社とその他MVNO等の競争適正化を果たすため、料金算定方法の提示義務等を科すことも明記されました。

新たに創設された「特定利用者情報」とは

電気通信事業法施行規則により、新たに「特定利用者情報」という概念が創設されました。規制対象となるのは、利用者の利益に及ぼす影響が大きい電気通信役務を提供する電気通信事業者です。具体的には、毎月のアクティブ利用者数が、無料サービスなら1,000万人、有料なら500万人以上の事業者が規制の対象となります。固定電話・携帯電話、インターネット接続サービス事業者や、Googleなどの検索サービス、TwitterなどのSNSなどが例として挙げられるでしょう。

「特定利用者情報」とは、メールや電話記録などの通信の秘密、利用者IDや番号など、利用者を識別できる情報などを指し（電気通信事業法施行規則第2条の2，第22条の2の21）、これらの情報の取り扱いについて、事業者は以下のような義務を負います（同施行規則第22条の2の22）。なお、Cookieに保存される情報も、この特定利用者情報に含まれます。

取扱規定の策定・届出
取扱方針の策定・公表
毎事業年度、取扱状況を自己評価、取扱規定・方針に反映
上記時候の統括管理者の選任・届出
漏えい時の報告

特定利用者情報を取り扱う事業者は、その取り扱い方針を策定・公表する義務があります。また、技術動向やサイバー攻撃リスクなどの自己評価を実施し、必要に応じて方針を見直さなければなりません。

また、通算3年以上の経験をもつ統括管理者を選任し、1,000人を超える利用者の情報漏洩があった場合には、遅滞なく総務大臣に報告することが義務付けられました。

また、外部送信規律、いわゆるCookie規制が創設されたのは、今回の改正で最もインパクトの大きなポイントでしょう。以下、説明をしていきます。

明文化されたCookie規制

Cookieとは？そのメリットと問題点

Cookieとは、サイトを訪れたユーザーの情報をブラウザに保存しておく仕組みのことを指します。もう少し詳しく説明すると、Webサイトなどの閲覧者が、PCやスマートフォン、タブレットなどのデバイスからWebサーバーにアクセスする際に、そのWebサーバーが閲覧者のデバイスに保存するファイルのことです。Webサーバーは、閲覧者からのアクセスを受けた際に、閲覧者のデバイスに保存されたCookieを参照することができます。

これによって、一度利用したWebサービスのサイトにアクセスしたときに、システムはそれが以前にも来訪したユーザーであることを認識できます。例えば、ECサイトで買い物をしているとき、「気に入った商品をカートに入れ、別の商品ページをしばらく閲覧したあと再びカートを見ると、先ほどカートに入れた商品が残っている」という経験があると思います。実は、この仕組みには、Cookieが使われています。

Cookieとは、簡単にいえばユーザーを識別するためのIDやユーザーがサイトを訪れた日時や回数など多岐に渡るユーザー情報が集約されたデータのことです。Cookieは、ユーザーを識別できるため、そのユーザーが2回目以降にサイトを訪れたときに最適な情報提供ができます。

Cookieを使うことにより、ユーザーの意図しないところで個人情報を収集することも可能です。どのユーザーが、どのデバイスから、どのようなWebサイトにアクセスしているのかの情報を収集することで、ユーザーの趣味・嗜好を分析することが可能になります。

しかし、ユーザーのほとんどはCookieがいつどのようなデータを記録し、サーバーにどのようなデータを送信しているかを知ることはできません。Cookieのデータを、ユーザーが関知しない第三者の企業がビジネス目的で利用することも可能になってしまいます。そこで、プライバシー侵害の観点から、2022年4月の個人情報保護法改正により、Cookieが「個人関連情報」に指定されています。

今まで多くのWebサイト運営者はCookieによってユーザー情報を把握し、より正確で効果的なマーケティングアプローチを仕掛けていました。しかし、EUを始めとする諸外国ではCookieを使用したプライバシー侵害が問題視され、対策が取られてきました。特にEU圏のWebサイトを閲覧すると、Cookieの利用に同意を促すメッセージが表示されることに気づいた方も多いでしょう。

ファーストパーティーCookieとサードパーティーCookie

Cookieには、大きく分けるとファーストパーティーCookieとサードパーティーCookieの2種類に分けられます。

ファーストパーティーCookieとは、ユーザーが訪問しているWebサイトのドメインから直接発行されているCookieのことです。つまり、「Cookieの発行元のドメイン」＝「訪問Webサイトのドメイン」であるCookieのことです。ファーストパーティー（first party）とは、「当事者」という意味です。閲覧者が訪問したWebサイトのサーバーとユーザーのデバイスとの間でCookieのやりとりが完結することから、ファーストパーティーCookieと呼ばれます。

一方、サードパーティーCookieとは、閲覧者が訪問したWebサイト以外のサーバー（第三者）から発行されるCookieのことです。閲覧者が訪問したWebサイトのサーバーとユーザーのデバイスとの間で完結せず、それ以外のサーバーとの間でCookieを使ってデータのやりとりがされることから、サードパーティーCookieと呼ばれます。

電気通信事業法改正でCookie規制の対象になるのは、主にサードパーティーCookieの利用です。

サードパーティーCookieは、複数のドメインをまたいでユーザーの閲覧履歴情報等を取得することができます。あるデバイスの閲覧履歴を取得することができれば、そのデバイスのユーザーがどのようなことに関心があるかをプロファイリングすることができるようになります。ユーザーが把握していないところで、自分の趣味嗜好がプロファイリングされて広告等に利用されると、ユーザーの不安感につながり、プライバシーの観点からも問題が生じます。過去に訪問したサイトの広告や関連する商品の広告が多く表示されるようになるという経験を多くの人がしているのではないでしょうか。

日本では、これまではCookieの利用自体を正面から規制する法的ルールは存在しませんでした。2010年3月に総務省情報通信政策研究所が公表した「行動ターゲティング広告の経済効果と利用者保護に関する調査研究報告書」では、ターゲティング広告を利用する事業者は、その利用について明示したり、あらかじめ同意を得たりすることが望ましいとの見解が示されています。「望ましい」という言葉の通り、明確な法的拘束力はありませんでした。

今回の電気通信事業法改正は「望ましい」から一歩進んで、「しなければならない」と明言されている点から、Cookieの利用を正面から規制する法律上のルールを新設する動きと考えられます。

Cookie規制の内容

改正電気通信事業法第27条の12は、「利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信（中略）を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない」と定めています。

少し難解な言葉の条文ですが、要約すると

利用者に対し電気通信役務（つまりオンラインサービス）を提供する際に
利用者の電気通信設備（パソコンやスマートフォン）を送信先とする情報送信指令通信を行おうとするとき

には、所定の事項を利用者に通知するか、利用者が容易に知り得る状態にしなければならないということです。

では、利用者に通知する「所定の事項」とは具体的に何を指すのでしょうか。

改正電気通信事業法第27条の12及び改正電気通信事業法施行規則第22条の2の29によれば、このような情報送信指令通信を行おうとするときには、次の事項を利用者に通知するか、利用者が容易に知り得る状態に置かなければならないと定めています。

送信する「利用者に関する情報」の内容
送信先のサーバーを用いて「利用者に関する情報」を取り扱う者の氏名/名称
送信する「利用者に関する情報」の利用目的

つまり、Cookie規制の対象となるCookieの利用を行う場合には、収集するCookie情報や送信先、利用目的といった情報を本人に通知する仕組みを導入するか、あるいは、Cookieポリシーを公表するなどして利用者が容易に知り得る状態に置かなければなりません。

Cookie規制の4つの例外

改正電気通信事業法第27条の12では次の4つの場合において、所定の事項を利用者に通知するか、利用者が容易に知り得る状態にする必要はないと定めています。

一　当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報

改正電気通信事業法施行規則第22条の2の30によれば、次のものが該当します。

サービスを提供するために真に必要な情報
利用者がサービス利用時に入力した情報（認証情報も含む）を再表示するために必要な情報
不正行為の検知や被害軽減のために必要な情報
サーバーの適切な運用のために必要な情報

二　当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号（電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。）であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの

少し難解ですが、これは「自社が利用者のデバイスに送信したIDを自社のサーバーに送信する場合」を想定しています。つまり、前出のファーストパーティーCookieの場合は例外となり、サードパーティーCookieのみが規制の対象になります。