<Cookieとは?>
Cookieとは、Webサイトを閲覧したときに、ユーザーが訪れたWebサイトや入力したデータ、利用環境などの情報が記録されたファイルないしその仕組みを指します。情報を記録することで、ユーザーは2度目にサイトを訪れた際に情報の再入力なしでログインできる、商品を購入する際に住所などの入力を省くことができるといった利点があります。また、Webサイト側もユーザーがサイトに訪れた情報や履歴を見ることで、ユーザーそれぞれに合わせた情報を提供することができるほか、ユーザーに合わせた広告を出すことも可能となります。
Cookieには、訪問したWebサイトから直接に発行されるファーストパーティCookieと第三者のドメインから発行されるサードパーティCookieがあります。このうち、サードパーティCookieは、第三者がユーザーの行動を横断的に追跡することになり、多くのデータを紐付けることができるという点でプライバシー保護に欠けるとして問題視されていました。
<Cookie規制の対象者>
令和4年6月13日、電気通信事業法の一部を改正する法律が成立し、令和5年6月16日から施工されています。いくつかの改正がありましたが、Cookie規制との関係では、総務省が掲げる「②安心・安全で信頼できる通信サービス・ネットワークの確保」として、「・大規模な事業者が取得する利用者情報について適正な取扱いを義務付ける。」また、「事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する。」という点です。
規制対象となるのは、「登録が必要な電気通信事業」(同法9条)を営む者、「届出が必要な電気通信事業」(同法16条)を営む者、「登録又は届出が不要な電気通信事業」(電気通信回線設備を設置せず、かつ、他人間の通信を媒介しない電気通信事業)を営む者(同法27条の12にいう「第三号事業を営む者」)です。具体的には、①他人のために役務を提供すること、②電気通信設備を用いてサービス提供をしていること、③②を反復継続して行っていること、④料金を徴収するなど、利益を得ようとしていること、これら全てに当てはまると、電気通信事業を営む者に該当します。その内、電気通信回線設備を設置している場合には、登録か届出が必要な電気通信事業者に当たります(登録が必要なのは、端末系伝送路設備(例えば、局舎から利用者宅までの間の伝送路設備です。 より具体的には、光ファイバなどの線路設備や無線系の設備です。))。電気通信回線設備を設置しておらず、他人の通信の媒介(情報の内容を変更することなく、伝送・交換し、他人と他人の通信を成立させることです。 ※自分と他人の通信のみを行う場合は該当しません。)をしている場合には届出が必要な電気通信事業者であり、していない場合には登録及び届出が不要な電気通信事業者(いわゆる第3号事業を営む者)です。
※「電気通信設備」:電気通信を行うための機械(サーバ等)、器具、線路(光ファイバ等)その他の電気的設備をいいます。 電気通信設備は、自らが所有するものでなくても、利用する(又は利用させる)権限を有するものも含みます。 また、「他人と他人の通信を媒介」する場合だけでなく、「自分と他人の通信」によってサービスを提供する場合も含みます。
※「電気通信回線設備」:送信の場所と受信の場所との間を接続する伝送路設備及びこれと一体として設置される交換設備・附属設備です。
参照:000799137.pdf (soumu.go.jp)
<Cookie規制の対象行為>
「第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。(以下、略)」
情報指令通信が規制の対象行為であることがわかります。では、情報送信指令通信とは何でしょうか?
情報送信指令通信とは、①利用者の電気通信設備(端末設備)が有する情報送信機能(②利用者の電気通信設備(端末設備)に記録された当該利用者に関する情報を③当該利用者以外の者の電気通信設備に送信する機能)を起動する指令となるプログラム等の送信です。具体的には、利用者に関する 情報を利用者の電気通信設備(端末設備)から外部(※1)に送信させ収集するための仕組 みを実現するコード等の情報の送信(※2)(※3)が含まれる。
※1 「外部」とは利用者以外のことであり、第三者に限られない。すな わち、当該電気通信役務を提供する電気通信事業者(ウェブサイトの運営者やアプ リケーションの提供者)及び第三者が該当します。
※2 ウェブサイトの場合については、HTML、CSS、JavaScript 等の言語で記述されたウ ェブサイトを構成するソースコードのうち上記仕組みを実現する部分(上記仕組みを 実現する HTML 要素を DOM の中に生成する JavaScript コード等を含む。)などが考えられますが、これらに限られません。
※3 アプリケーションの場合については、アプリケーションに埋め込まれている情報収 集モジュール等の情報送信機能の起動の契機となるプログラム等の送信が含まれます。
①利用者の電気通信設備(末端設備)には、利用者が電気通信役務を利用するために使用している電気通信設備であり、パーソナルコンピュータ、携帯電話、スマートフォン、タブレット等の電気通信設備(端末設備)が含まれます。
②利用者の電気通信設備に記録された当該利用者に関する情報には、利用者の電気通信設備(端末設備)に記録されている情報であり、Cookie に保存された ID や広告 ID 等の識別符号、利用者が閲覧したウェブページの URL 等の利用者の行動に関する情報、利用者の氏名等、利用者以外の者の連絡先情報等が含まれます。
③利用者以外の者の電気通信設備には、利用者が電気通信役務を利用する際に通信の相手方となっている者の電気通信設備であり、利用者がウェブサイトの閲覧やアプリケーションの利用を行う際に(利用者が認識しているかを問わず)通信の相手方となっている第三者のサーバだけでなく、当該電気通信役務 を提供する電気通信事業者(ウェブサイトの運営者やアプリケーションの提供者)のサーバ も含まれます。
要するに、Cookieを利用する際には、これらに該当する可能性があるのです。
ただし、適用除外のケースもあります。
同法27条の12第1号「当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報」
同法施行規則22条の2の30
「(利用者が電気通信役務を利用する際に送信をすることが必要な情報)
第二十二条の二の三十 法第二十七条の十二第一号の総務省令で定める情報は、次に掲げるものとする。ただし、当該情報をその必要の範囲内において送信する場合に限るものとする。
一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他当該電気通信役務の提供のために真に必要な情報」
→電気通信事業者が電気通信役務を提供するに当たっては、利用者の電気通信設備(端末設備)に対して送信する符号(文字や記号等)、音響(音楽、音声や効果音等)、影像(画像や 動画等)を、利用者の電気通信設備(端末設備)の映像面(ディスプレイ等)に適正に表示する必要があります。そのためには、利用者の電気通信設備(端末設備)のOS情報、画面設定情報、言語設定情報、ブラウザ情報といった利用者の電気通信設備(端末設備)に関する一定の情報が必要となります。したがって、これらの情報の送信については確認の機会の付与を義務付けないこととしています。
そのほかにも、電気通信役務の提供に当たって必要不可欠な情報(「真に必要な情報」)の送信があり得ると考えられるため、同様に確認の機会の付与を義務付けないこととされています。具体的には、利用者が利用を希望している電気通信役務を提供するに当たり、当該電気通信役務を提供する電気通信事業者に送信される情報は、基本的には当該電気通信役務の 提供に必要なものであると考えられるため、原則として「真に必要な情報」に該当すると考えられます。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しないと考えられます。 一方、当該電気通信事業者以外に送信される情報については、必ずしも当該電気通信役務の提供のために必要とは考えられないため、原則として「真に必要な情報」には該当しないと考えられます。ただし、利用者が利用を希望している電気通信役務を提供するに当たり、送 信することが必要不可欠な情報については、この限りではありません。
「二 当該利用者が当該電気通信役務を利用する際に入力した情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報」
→利用者が電気通信役務を利用する際に入力した情報を、再度当該電気通信役務を利用する際に利用者の電気通信設備(端末設備)に再表示することが利用者の便宜に資する場合があるため、このような再表示を行うために必要な情報の送信については、確認の機会の付与を義務付けないこととしています。 例えば、利用者がオンラインショッピングモールにアクセスして特定の品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、当該品物を買い物かごに入った状態で再表示するために必要な情報などが考えられます。
「三 当該利用者が当該電気通信役務を利用する際に入力した認証に関する情報を当該利用者の電気通信設備の映像面に再表示するために必要な情報」
→利用者が電気通信役務を利用する際に入力した、当該利用者の認証に関する情報を、再度 当該電気通信役務を利用する際に利用者の映像面に再表示することが利用者の便宜に資する場合があるため、このような再表示を行うために必要な情報の送信については、確認の機 会の付与を義務付けないこととしているます。
「四 当該電気通信役務に対する不正な行為の検知等を行い、又は当該不正な行為による被害の軽減等を図るために必要な情報」
→電気通信事業者が電気通信役務を提供する際には、セキュリティ対策を講じ、不正アクセ スやサイバー攻撃等によって、当該電気通信事業者や、当該電気通信役務の利用者に被害が 生じることを防ぎ、また、被害を軽減する必要がある。したがって、このようなセキュリティ対策(当該電気通信役務のセキュリティ対策に限られます。)に必要な情報の送信については、確認の機会の付与を義務付けないこととしています。
「五 当該電気通信役務の提供に係る電気通信設備の負荷を軽減させるために必要な情報その他の当該電気通信設備の適切な運用のために必要な情報」
→電気通信事業者が電気通信役務を提供するに当たっては、当該電気通信役務を提供する 電気通信設備を適切に運用する必要があります。例えば、オンラインゲーム等、利用者が多く多数のアクセスが集中する電気通信役務を提供する際には、特定のサーバ等に過剰な負担がかかることを防ぐため、負荷分散(ロードバランシング)等の措置が必要な場合があります。したがって、このような負荷分散など、電気通信設備の適切な運用のための措置に当たり必要な情報の送信については、確認の機会の付与を義務付けないこととしています。
同条27条の12第2号「当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの」
→電気通信事業者は、その利用者に対し電気通信役務を提供する際に、当該利用者を識別するために、文字列で構成された識別符号(First Party Cookie に保存された ID(※1)等)を当該利用者に送信して、これを当該利用者の電気通信設備(端末設備)に記録させることがあります。当該識別符号は、当該電気通信事業者が生成するものであり、当該電気通信事業者が 当該識別符号を当該利用者から当該電気通信事業者自身に送信させてこれを取得しても、 当該利用者に自らが付した識別符号を回収しているに過ぎず、その使途も ID・パスワード の入力の省略等と限定的であることが想定されます。この点に鑑みると、当該識別符号の送信については、利用者の判断を経る必要性が低いため、送信される情報の内容等を当該利用者に通知等を行うことを要しないものとされています(※2)。
※1:First Party Cookie に保存された ID 以外の、当該電気通信事業者への利用者に関する情報の送信に関しては、本規律の原則どおり、利用者に通知等を行うことを要するが、原則として 「真に必要な情報」に該当すると考えられます。
※2:First Party Cookie に保存された ID を利用して当該電気通信役務を提供する電気通信事業者以外の第三者に利用者に関する情報を送信することもあり得えますが、このような利用者に関する情報の第三者への送信に関しては、利用者が利用を希望している電気通信役務の提供に当たり、送信することが必要不可欠な情報でない限り、利用者に通知等を行うことを要します。
同法27条の12第3号
「当該情報送信指令通信が起動させる情報送信機能により送信先の電気通信設備に送信されることについて当該利用者が同意している情報」
→情報送信指令通信が起動させる情報送信機能により、送信先の電気通信設備に情報が送信されることについて、利用者が同意をしている場合、電気通信事業者は当該利用者に対し、 同意の取得を通じて、当該情報の送信を認識し、及び選択する機会を付与しており、これにより確認の機会を付与していることとなるため、当該利用者に対し別途通知等を行う必要はありません。 ただし、このような規律の趣旨からして、当該同意の取得は、適切な確認の機会の付与といえるものでなければなりません。そのため、同意取得に当たっては、利用者に適切な通知等を行い、かつ適切な方法により同意を取得することが必要です。
また、同意の取得により適切な確認の機会を付与したというためには、同意の対象となる情報の内容及び情報の送信先等について、当該利用者が容易かつ適時に確認できることが必要です。
さらに、同意の取得により適切な確認の機会を付与したというためには、利用者の具体的かつ能動的な同意を取得することが必要です。したがって、利用者の利便性を損なわないようにしつつ、利用者の過度な負担とならない範囲で、情報送信指令通信ごと(ウェブページやア プリケーションに埋め込まれたタグや情報収集モジュールごとに)に同意を取得することが望ましといえます。また、同意するためのチェックボックス等にあらかじめチェックを付しておく方法(デフォルト・オン)等、利用者が能動的に同意を行ったとはいえないような方法は避けるべきである。
関連