【個人情報保護法・国内】cookie等(外部送信)規制にどう対応するか - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

2020年、2021年の個人情報保護法(以下、「保護法」)改正に続けて、電気通信事業法(以下、「事業法」)の改正法が2023年6月に施行された。保護法では“個人関連情報”として規律の対象となる利用者のオンライン識別子(cookie等)について、利用者端末からの外部送信時に課される新たな規制(cookie等規制)は、個人情報・データ取扱いの先端を走るIT・通信業界のみならず、保護法対応に軸足を置いてきた他の業界にも影響しうる改正事業法の注目ポイントである。主客それぞれの立場を代表し、総務省の電気通信事業法の所管部局に出向していた弁護士法人片岡総合法律事務所・山根祐輔弁護士と株式会社住友倉庫・浅里拓自氏に、法解釈と対応の要点を議論いただいた。

cookie等規制対応の要否判断は対象サービスの“電気通信事業”該当性の検討が必要

山根弁護士 今般のcookie等規制対応に至るまでの社内検討状況はいかがですか。

浅里氏 cookieの詳細を調べたのはGDPR対応が発端です。同規制に準拠したプライバシーポリシーを策定後、2020年の保護法改正を受け再度検討した結果、cookie使用にかかるポップアップバナー掲出などの業務上の対策は“必須ではない”と整理しました。ただ、今般の事業法改正については、我々のようなB to Bメインの物流事業者がどこまで対応すべきか判断に悩みます。

山根弁護士 今般のcookie等規制は事業者が利用者情報を外部送信する場合の通知等を義務付けるものであり、多くのウェブサービスが対象となり得ます。御社のようなB to B事業の場合は、主に自社サイトが検討対象になると思いますが、まずは、改正事業法のcookie等規制の適用の有無は、対象となるサービスの4類型(①他人間の通信の媒介、②情報交換、取引の“場”の提供、③検索サービス、④不特定利用者への情報提供サービス)にあたるか検討し、続けて“電気通信事業”として“営む”ものかを判断するのが順序として分かりやすいです。貴社事業の顧客には一部個人も含む(B to C)と聞いていますが、考え方は基本的に同じです。

浅里氏 要件④が広範囲に解釈できるので要注意ですね。当社グループの一部の海外法人では、現地の物流事情や港湾などの情報を現地顧客向けにニューズレターとしてメール配信していますが、同じサービスを国内で行う場合の留意点はありますか。

山根弁護士 もし、当該情報を自社サイト上で不特定多数が閲覧可能な状態とすると規制対象となる可能性がありますが、メールの配信先が特定の者に限定されている限りは、不特定要件を満たさず“対象サービス4類型に非該当”との整理が可能でしょう。

浅里氏 電気通信事業者(役務)にあたるか否かは、どのような観点から判断すべきでしょうか。

山根弁護士 まず、“他人の需要に応じる”ために行うことが要件となります。具体的には、“情報の送信自体を目的としているか(該当)”または“別の本来業務を遂行する手段として行っているか(非該当)”が分かれ目であり、個別的な検討・判断が必要です。あとは“事業として”、つまり、主体的な意思をもって反復継続的かつ独立した役務として行っていることが要件になります。収益性の有無も重要であり、例えば当該情報に広告や有料コンテンツを含んでいると“営む”要件の該当性が高まります。

浅里氏 本来業務に関連する新サービスを自社サイトで提供する場合、それを一括して付随事業として位置付け、“電気通信事業者に非該当”と整理することはできますか。

山根弁護士 できる場合もありますね。ただ、例えば金融商品をオンラインで販売することを主な事業とする金融サービス提供事業者が、金融情勢や株価等の情報をまとめたサイトを別に運営するような場合は“電気通信事業者にあたる”とされているように、一般性の高い情報を不特定の者に周知することをビジネスとして行うとなれば、電気通信事業に該当する可能性が高まります。

山根 祐輔 弁護士

保護法と事業法の境界が生む難しさ 新しいサービスの展開時は慎重な検討を

浅里氏 cookie等規制対応の判断の難しさは、両法の規制の関係性が漠然としていることも背景にありますよね。

山根弁護士 保護法は事業分野による限定なく個人に関する情報を規制対象としているのに対して、事業法は電気通信事業に関して、法人・個人の区別なく利用者の情報の外部送信に関して規制しています。また、事業法は、一度事業者が取得したcookie等を別の第三者に提供することについては規制対象にしていませんが、ご承知のとおり、送信先で個人を識別できる情報と突合される場合は保護法の規制の対象となるため、それぞれに検討が必要になります。

浅里氏 当社では、従来から、IT、法務、広報などの部門で構成するCSIRT(コンピュータセキュリティインシデント対応チーム)を設置していますが、20年の保護法改正で、一定の要件に該当する場合、漏えい等の報告等が義務化されたこともあり、インシデント対応の机上演習に参加するなど、対策を強化しています。ちなみに、保護法は3年ごとに見直すとの情報がありますが、次回の具体的な論点は定まっていますか。

山根弁護士 保護法対応は、委員会告示やガイドラインの理解、実務経験の積み上げによって線引きできる側面が大きいです。次回改正の情報は持ち合わせていませんが、cookie使用によるトラッキングやプロファイリングは大きな関心事になると見込まれます。

浅里氏 今後も要件に照らした慎重な検討を適宜行いたいと思います。

浅里 拓自 氏

→『LAWYERS GUIDE 企業がえらぶ、法務重要課題』を 「まとめて読む」
他の事務所を読む

 DATA 

所在地・連絡先
〒100-0011 東京都千代田区内幸町2-2-1 日本プレスセンタービル4F
【TEL】03-3592-9151(代表)

ウェブサイトhttps://klo.gr.jp/

山根 祐輔

弁護士
Yusuke Yamane

14年慶應義塾大学法学部卒業。17年弁護士登録(東京弁護士会)、17年片岡総合法律事務所入所。21~23年3月総務省通信基盤局電気通信事業部消費者行政第二課任期付職員。23年4月~片岡総合法律事務所復帰。

浅里 拓自

株式会社住友倉庫 事業推進部事業推進課長
Takuji Asari

99年慶應義塾大学経済学部卒業、株式会社住友倉庫入社。18年総務部法務課長。22年より現職。取締役会・株主総会事務局等のガバナンス業務に従事した後、各種取引、訴訟、M&A等の法務およびコンプライアンス業務に携わる。現在は、事業戦略および経営計画の立案・推進、予算、CSR等に関する業務に従事。

この記事を見た人はこれも見ています