一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2023.03.24

レポート

Cookie規制と企業に求められる姿勢

~プラットフォーム研究会検討を中心に~

Cookie規制法とも呼ばれた改正電気通信事業法が2023年6月に施行されます。ここでは、電気通信事業法の改正内容そのものではなく、電気通信事業法や個人情報保護法の改正等により規制がどのように関係しているか、また海外との規制状況の比較、電気通信事業法改正を検討した総務省プラットフォームサービス研究会での経緯等を主に解説します。

日本とグローバルのプライバシー保護

保護の対象

今回の電気通信事業法改正に対し、「海外と比較して日本は規制が厳しすぎるのではないか」「対応が面倒」と言った声も聞かれます。しかし、実際には海外の規制に対して日本は周回遅れの状況です。それが、今回電気通信事業法が改正されたことにより、海外とは規制の建付け等は異なりますが、グローバルでのプライバシー保護の流れに近づいてきています。

日本とグローバルの大きな違いは、保護すべき情報の範囲が狭いこと、取扱いに関する規定が緩いことが挙げられます。日本の個人情報保護法では「単独、あるいは組み合わせたり他の情報と容易に照合できることによって『特定の』個人を識別できる情報」となっているのに対し、グローバルでは「単独または他の情報と組み合わせたり照合することで個人を特定できる『可能性がある』情報」を保護対象としています。今回、改正電気通信事業法で個人情報の範囲を超える「利用者情報」が保護対象となったことにより、グローバルでの保護対象と範囲がかなり近づいてきています。

また、今回日本では電気通信事業法という業法の中で規制しているため、対象となるのは『利用者の端末に記録された』利用者に関する情報(個人情報を含む)となっていますが、グローバルで言われるPersonal Data、PIIの定義ではあくまでも「個人を識別できる可能性のある情報」であり端末の内外は問われません。また、EUのGDPRを補完するePrivacy規則案でも電子通信データが対象なので、電子通信における通信中のデータ、端末内のデータすべてが対象となっています。ただし、日本でも外部に送られるものが仮名加工情報や匿名加工情報、個人関連情報等、個人情報保護法で取扱いが定められているものは、個人情報保護法も遵守する必要があります。

図 (参考)個人情報の分類

個人情報保護法では、個人関連情報は第三者に提供した際に個人情報になる場合のみに対応を求めていますが、今回、それ以外の個人関連情報に当たるものが電気通信事業法の改正により対象となったと考えることができます。

また、誰が対象となるかという点では、グローバルではすべての事業者が対象となっていますが、日本に関しては、電気通信事業者と電気通信事業を営む者とされる事業者のうち「利用者の利益に及ぼす影響が大きい、または少なくない」情報を扱っている者と条文の上では限定されていますが、実際には、インターネットビジネスをされているほぼすべての事業者の方々が該当します。

規制内容

誤解されているケースが多いのですが、GDPRは「同意があればOK」ではなく「Personal Dataの取扱いは原則禁止」で、明確な同意取得などの条件により「例外的に取扱いが可能」となります。また、ePrivacy規則でも、電子通信データは秘密で他人が干渉することを原則禁止しており、例外として明確な同意取得等により利用可能としています。

米国は、現状連邦法がないため個々の州法、セクトラル法により異なりますが、基本的には「透明性の向上」「アカウンタビリティ(説明責任だけでなく、説明通りに実行し、起こった事象に対しても責任を取る)」が求められており、そのうえで、消費者保護の観点から一般的にオプトアウトが義務化されています。

これに対して、日本の個人情報保護法では「通知・公表」が必須(ただし要配慮個人情報は同意取得)であり、改正電気通信事業法も「通知・公表」「同意」「オプトアウト」のいずれかを対応することが求められており、最低限「通知・公表」で対応可能なので、EU、米国と比較しても規制が緩い状況です。

電気通信事業法改正の経緯

電気通信事業法改正の前段と経緯

2009年に総務省に設置された「利用者視点を踏まえたICTサービスにかかる諸問題に関する研究会」が、2010年にライフログ活用サービスに関する「配慮原則」を公表しました。ここですでに、個人情報保護法上の個人情報には当たらない情報(Cookieや利用者識別ID、端末のシリアル番号やMACアドレス)も配慮原則の対象としています。

この「配慮原則」をベースに、2012年にまとめられた「スマートフォンプライバシーイニシアティブ(SPI)」では、プライバシーポリシーの作成や記載する項目等が規定されています。SPIはスマートフォンに限定したものですが、内容は今回の改正に引き継がれWeb全般に広がったことになります。

法改正に至る経緯としては、当初は個人情報保護法改正に伴い「電気通信事業における個人情報保護に関するガイドライン」(以下、ガイドライン)を改定する作業を予定していましたが、それに加えて、内閣官房デジタル市場競争本部のデジタル広告に関する検討から出たCookie等規制要請への対応、LINEの中国でのデータ処理問題に端を発したガバナンス検討の必要性等により、電気通信事業法自体の改正が検討され、2022年6月に公布、2023年6月施行となりました。

改正の大きなポイントは、元々電気通信事業法の適用範囲が狭いため、規制可能な範囲を拡大し、利用者への影響に及ぼす影響が大きいもの、影響が少なくないものに対して、それぞれ適切に規制(大手プラットフォームへの規制、利用者情報の外部送信規制)できるようにした点が挙げられます。

電気通信事業法の改正とプラットフォーム規制

改正法への対応を進めるにあたって、気を付けていただきたい点があります。今回の改正により個人情報保護法以外にもプライバシーに関する法制度ができたということだけでなく、プラットフォーム事業者に対する規制がプラットフォームの利用者にも影響するということです。海外ではすでに規制が進んでいますが、日本でもデジタルプラットフォーム透明化法が施行され、ECやアプリのマーケットプレイスや広告が規制対象となっています。さらに、現在はモバイルエコシステム(OS、アプリストア等)に対して競争法上の問題が指摘されています。

すでにモバイルアプリ等は、日本の法律に関わらず、Google、Apple等プラットフォームの厳しい審査の対象となっていますが、これがWebにも広がってくるため、単に日本の法律を遵守するだけでなく、海外法制度の規制対象であるプラットフォームの規制に従う必要が出てきます。少しおかしな話ではありますが、プラットフォーム事業者の規制に合わせておけば、日本の法規制をクリアできるというのが実態です。

EUで昨年発効されたデジタルサービス法等の内容も、すでに日本でも検討が始まっています。DFFT(Data Free Flow with Trust)の実現を目指すためには、グローバルでレベルを合わせる必要があるので、米国でも規制が進んでおり、2~3年以内には日本でもさらに規制が厳しくなると考えられます。

図「電気通信事業法の改正とプラットフォーム規制」

プライバシーガバナンス

「DX時代における企業のプライバシーガバナンスガイドブック」

これまでご説明した動向でもわかるとおり、法律の変更だけを後追いで対応していると将来的に行き詰まってしまう可能性があります。今後は、企業としてプライバシーに対してどのように取り組むかを考え、ガバナンスを確立する必要があります。

近年、企業はセキュリティが急務となっているため、データガバナンスとして、データ資産の管理統制を進めていますが、これと同様に、単にデータとしてだけでなくプライバシーに関して如何に顧客・消費者の意見要望を吸い上げ、必要な情報を伝えていくかという点まで含め、企業としてのスタンスを考えていく(プライバシーガバナンス)が重要となってきます。

では、プライバシーガバナンスとして何をすればよいのかという点については、総務省・経済産業省が「DX時代における企業のプライバシーガバナンスガイドブック」*を公開しており、まもなく改訂版も公表されるので、ぜひ参照してください。ガイドブックでは、経営者が取り組むべき要件として、(1)プライバシーガバナンスに関する姿勢の明文化、(2)プライバシー保護責任者の指名、(3)プライバシーへの取組みに対するリソースの投入、を挙げています。

今後に向けて

データガバナンスもプライバシーガバナンスも、将来的にはコーポレートガバナンス・コードへの記載が義務化されると思われます。すでに米国では、プライバシー問題は企業リスクと捉えられ、記載が義務付けられる方向に進んでおり、日本でも一部大手企業では対応し始めています。これらは、すぐに対応できるものではないので今から検討を始めることをお勧めします。

プライバシーガバナンスに取り組むにあたっては、プライバシー影響評価(PIA)等も参考になります。個人情報保護委員会では、PIA取組み促進のための資料*を公表しています。また、国際規格(ISO/IEC29134:2017)もすでにJIS化(JIS X 9251:2021)されているので、ぜひこれらの資料を活用して、自社のプライバシーガバナンス構築に取り組んでいただければと思います。

講師
JIPDEC電子情報利活用研究部 主席研究員 寺田 眞治
  • データ流通における個人情報を含むプライバシー保護に関する政策、法制度
  • IoT、ITセキュリティに関する政策・法制度
  • インターネット上のマーケティング、メディア、コンテンツビジネス等に精通。

総務省、経済産業省、消費者庁や関連機関の通信事業、海外進出、消費者保護、個人情報保護、データ流通、セキュリティ関連の有識者会議の委員等を歴任するとともに、関連する書籍の執筆や専門誌への寄稿多数。
【著作】近著「個人データ戦略活用 ステップで分かる改正個人情報保護法実務ガイドブック」(日経BP、2021年10月発行)

講師写真:JIPDEC寺田眞治