「多くの企業が『自分には関係ない』と考えているようだが、それが一番危ない」。プライバシー規制や個人データ保護に詳しい専門家たちは、2023年6月16日施行予定の改正電気通信事業法について異口同音にこう指摘する。
「クッキー規制」の対象が拡大
今回の法改正の目玉は、「外部送信規律」と呼ぶ新たな利用者保護ルールを設けることだ。ユーザーのWeb行動履歴の収集などに使う「クッキー(cookie)」といった利用者情報について、その利用目的を分かりやすく公表したり、同意を取得したりするよう求める。
違反が重なれば総務省から行政指導を受け、最悪の場合、業務改善命令を出される可能性すらある。そうなればサービスの信頼性を揺るがす深刻なダメージになり得る。知らなかったでは済まされない。
クッキー規制の強化で先行したのは2022年4月に施行した改正個人情報保護法だ。ただ同法での個人情報の取り扱いを巡る主な規制対象は、自社が持つ個人情報と外部から受け取った個人関連情報を組み合わせて活用する企業だった。
これに対して改正電気通信事業法は、利用者情報を、それが個人情報であるかどうかに関わらずユーザーの端末から外部に送信させようとする企業に対して規制をかけるという違いがある。
電気通信事業法は一般に、登録や届け出を要する電気通信事業者に対する法制度というイメージが根強い。だが外部送信規律は、何らかのオンラインサービスを手掛けていれば適用対象となる可能性がある。DX(デジタルトランスフォーメーション)への取り組みが進み、適用対象となる企業は多いとみられる。既に改正個人情報保護法への対応を済ませていても、自社サービスが新規制にのっとっているかを再点検する必要があるわけだ。
4種類のオンラインサービスの運営企業が規制の対象
改正電気通信事業法の基本的な規制内容について、「規制対象(誰が)」「規制行為(何をするときに)」「義務(何をしなければならないか)」、という3つの観点で見ていこう。
最初の「規制対象(誰が)」は比較的明確だ。改正電気通信事業法は施行規則で4種類の事業者を定めている。1つ目はメッセージやWeb会議など、他人間の通信を媒介するサービスの運営企業だ。
2つ目はSNS(交流サイト)や掲示板、動画共有、オンラインショッピングモール、シェアリング、オンラインゲームなどを手掛ける企業である。「複数の売り主が出店する場や、ユーザー同士が物品・サービスを売買できる場、ユーザー同士が意見交換できる場などを提供している企業が当てはまる」(インターネットイニシアティブ(IIJ)の鎌田博貴ビジネスリスクコンサルティング本部副本部長プリンシパルコンサルタント)。交通機関や宿泊施設など複数サービスを予約できる旅行予約サイトの運営企業も含まれる。
3つ目はオンライン検索サービスを提供している企業。そして4つ目は、ニュースや気象情報の配信、地図、求人・求職、乗り換え案内など情報提供サービス自体を手掛けている企業である。
4種類の事業者に共通するのは、Webサイトやスマートフォンアプリなどオンラインサービスを「他人の需要」に応じて提供している点だ。一方、自社サイトで自社の製品やサービスを紹介したり販売したりするだけの企業は、外部送信規律の対象とはならない。金融機関のオンラインバンキングや証券会社のオンライン取引といったサービスも同様に規制対象外だ。もっとも、本サービスに加えてニュース配信や掲示板などの付加サービスも提供している場合、そのサービスは規制対象となる。
