トップ > 改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ

改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ

2023年6月16日 から改正電気通信事業法が施行なんですけど知ってました?

これ、収益目的なら企業運営でも個人運営でもほとんどのWebサービス・スマホアプリが対象という、めちゃめちゃ広範囲にみんなが対応が必要なやつなんですけど、ヤバくない? 何もしてなくない? やっべえなというWEBサイト担当者/アプリ開発者が結構いそうな雰囲気がいんたーねっつから漂ってまいりました。

企業のオウンドメディアや、個人運営のアフィリエイト目的サイトなんかも対象になる場合があって、メディア系サイトはもちろんアプリ開発者にも影響ある感じですので、やるべき内容をブログにしたためておきます。

※ぼくは法律の専門家ではないので、ちゃんと総務省の公式ドキュメントなどにも当たってくださいね。

ググると「外部送信規律」とか「電気通信事業者又は第三号事業を営む者」とか専門用語の記事ばっかり出てきて自分が何をしたらいいのかの情報を探してる素人にはツラいじゃないですか。

この記事では、そういう人のために分かりやすいよう正確性をあえて犠牲にし、平易で専門用語を減らした総務省や法律の専門家にはできない伝え方を選んでいます。そのため説明の曖昧なところはスルーいただけるとありがたいです。
(もちろん、間違いがあればご指摘はありがたく受け取りますので優しくご連絡ください)

 

 

これだけ読んでおけば大丈夫

まあ、実際やることはちょっとしかないんですよ。

  1.  Google Analyticsとか広告タグなど、外部にユーザーデータを送信するやつありますよね。その送信先がどこか、あと何に使うかを分かりやすく見つけやすいところに書けというのが今回の法改正でっす。

  2. コーポレートサイト、自社ECとか個人ブログなんかは一部対象外になるんだけど、対象外になる要件を考えるよりも上記(1)を記載しちゃった方がラクだし世の中のためにも良いよね。みんな書けば適法になるんだから書こうぜ。

  3. この改正はCookie規制じゃないよ。Cookie使ってようが使ってなかろうが外部送信するなら全部が対象だから書こうぜ。

これだけ分かれば、この記事の目的は果たされましたので先は読まなくてもいいですけどお時間あればどうぞ。

 

利益目的ならWebサイトもアプリもだいたい対象と思っていいよ。

自前でWebサイトやアプリを運営してるがYESかつ、利益を目的として運営しているのがYESなら対象の可能性が高いから次のスライドを見てね

はい、上記の画像は読みましたか?
文字だらけですまんな。小さい字は読まなくてもいい。

まあ、自前運営で利益目的なら対象か確認する必要があるってことです。

このブログみたいに利益目的ではなく、好きなことを書き散らすためにやってるなら対象外(利益を目的にしていない、サーバー代の足しにするくらいのつもりで広告やアフィリエイト貼っていても対象外)なのですけど、ユーザーデータを外部送信してるならそのことを明記するくらいは対象じゃないサイトもやっておいた方がいいと思うな、ぼくは。

 

ブログや企業サイトや自社ECは対象外だけど、外部にデータ送信してるなら対象かどうか考える必要なく書いておけば良いんじゃない?

だいたいのWebサイトやアプリは対象なるよ。ただし企業サイトや個人ブログ・企業ブログは「自己の発信のためで他者のためではない」ってことでこの法律の対象外なんだよね。自社ECも対象外だよ。

見出しに書いた通りで、とりあえず外部にユーザーデータを送信してるなら書いておけばオールオッケーなんだから、対象かどうかとかどうでもいいんだよ!!!!!書こうぜ!!!
(この記事のここまで書いた内容を台無しにする発言)

ちなみに総務省さんによれば、オンラインバンキングとか自社ECが対象外になるのは「本来はオンラインじゃなくても行われるような取引(本来業務)が、通信上で行われてるだけだと電気通信事業者にできないから対象外」というロジックらしいです。

逆にオンライン前提のSaaSやオンラインツールやらアプリ系は、おそらくほとんどが表示義務があるという前提で外部送信先を表示した方が安全ではないでしょうか。

同様に企業ブログやコーポレートサイトは対象外とされているんだけど、それは「自社のためにやっている」から他者向けのサービスとはならず、この業法の対象にしづらいって都合らしいのね。

とはいえ「自社の紹介」を超えて「業界情報や技術情報などの自社の紹介を超えた発信」をしているオウンドメディアだと自社のためではなくメディア扱いとして対象になる"場合もある"みたいな考え方なんで、めちゃめちゃ分かりにくいんすよ。

そういう記事の比率がどのくらいあったら……みたいな話ではなく、個別具体的な判断になるので、そもそも対象になるかを考えずに外部にユーザーデータを送信してるなら書いておくと考えた方が良いとぼくは思います。ユーザーのためにも。

なんでこんなに面倒な対象・対象外の線引があるかというと、さっきも書いた通りこれは総務省管轄の「業法」だからで法の対象になる業の範囲を定めないといけないからなんでしょうね。

対象かどうかが複雑なのは行政・立法の都合でそうなってるだけだから一般人としては外部にユーザーデータを送信してるなら書いておけばオールオッケーだと思ってればいいんですよ(しつこい)。
それでいいんす。

 

 

目的別・送信先別に「何を送信して何に使うのか」を書く。それだけ。

どんな情報を送信するか、誰に(どの第三者に)送信するか、何の目的でどのように使われるかの3つを目的別・送信先別にぜんぶ書く必要があるんじゃよ

各ページ内の分かりやすいところにリンクを置いて、外部送信先の一覧を送信目的別に書いたページを置いておけば良いんじゃないですかね。

こんな感じ

送信先 利用目的 送信される情報の例
Google LLC アクセス解析ツールGoogleAnalyticsでの
分析・表示・利用		 - サイト内の閲覧情報
- 閲覧時の位置情報(IPアドレスなど)
- ブラウザ・アプリ・端末情報
Meta Platforms, Inc.(Facebook) Facebookボタンのサービス提供
広告表示		 - 利用者がFacebookアカウントを保有しているかどうか
- サイト内の閲覧情報
- 閲覧時の位置情報(IPアドレスなど)
- ブラウザ・アプリ・端末情報
X Corp(Twitter) Twitterボタンの機能提供
ツイートの埋め込み表示
広告表示		 - サイト内の閲覧情報
- 閲覧時の位置情報(IPアドレスなど)
- ブラウザ・アプリ・端末情報
株式会社はてな はてなブックマーク機能の提供 - サイト内の閲覧情報
- 閲覧時の位置情報(IPアドレスなど)
- ブラウザ・アプリ・端末情報

 

本当に詳しい人が見たら足りてない情報があるかもしれないけど、まずはサイト管理者が把握できてる情報をユーザーがわかりやすいように書くのでいいです
不足があれば後から書き足していきましょう。
(※利用目的が「設置してるサイト側の目的」と「外部送信先の目的」があるんで、実はそこだけ面倒なんだよねえ。まあユーザーにわかりやすく、でいいんじゃないですかね最初は)

 

(ここから暫く余談なんで、少し先まで読み飛ばしていいです ↓)
ちゃんと運営されているWebサイトならすでに何年前からプライバシーポリシーに書いてあるが…?という内容でしかないのですが、フッターのラベルが「プライバシーポリシー」のままで良いのかは悩ましいですね。

「プライバシーポリシー」のままのがユーザーにとっては既に慣れ親しんだ表記でもあるので、分かりやすい気もしつつ、「第三者に送信される情報」みたいなラベルにして分離した一覧にした方が今後は良いような気がします。

立法趣旨的にも総務省の説明的にも「日本語で書け、専門用語できるだけ使うな、わかりやすくユーザーに伝えろ」という以上のことは言ってないので、恣意的に隠したり(フォントサイズを小さくするとか)しない限り、表示していれば怒られることはないと思うのですが、どうせやるなら法的な要件をクリアするためにではなくユーザーに優しく情報を届けたいですよね。


「フッターにクッキーポリシーと書く」といった説明をしているサイトもあるのですけど、外部送信しているかどうかとCookie使ってるかどうかは別の話だし、ユーザーにとって分かりにくいんじゃないかなと思うんですよ。総務省も専門用語できるだけ使うなって言ってるし。

それならまだ「プライバシーポリシー」に書くほうが分かりやすいと思うなあ。

 

個人的には

1. 「情報の外部送信について」や「第三者に送信される情報」といったラベルで独立したページを作る

2. 「プライバシーポリシー」にまとめつつ、プライバシーポリシーのページ内で分かりやすいページ内リンクや見出しをつける

といったあたりが解決策として良さそうです。

総務省的には2よりは1を推奨なんでしょうけど、まあ実務的な話としてユーザーにわかりやすい場所にわかりやすく書く以上の話ではないと捉えていいんじゃないかなとフジイは思います。

(ここまで余談でした↑)

 

サービス提供に真に必要な最低限の情報は対象外だよ。

総務省の資料だと「サービス提供にあたって真に必要な情報」の外部送信は表示・通知の義務がないとしているよ。 ブラウザ情報とかログインセッション情報とかがそれに当たるっぽいね。サービス提供するのにシステムで必要な最低限の情報ならお知らせしなくていいってことだね。

あ、そうそう。
たとえばログイン情報、ブラウザ情報とかサーバーのログみたいなアプリ/サービス自体を提供するための最低限の情報をAWSに送信してるみたいなことは対象外みたい。

これを見て「Google Analyticsとか解析情報もサービス提供に真に必要な最低限の情報だよ」って言い出す不思議ちゃんがいるみたいだけど、そういうことじゃあねえから。

そのサービス提供しているサーバーやアプリケーションの最低限の機能提供以外で外部にユーザーデータを送信してるなら外部送信先を書いておけってことでいいんじゃないかな。

 

あ。公式の資料もちゃんと読んでね。

 

 

近所の野良猫が「できれば法律の要件を満たすだけの実装はやめたいにゃんね」と鳴いていた。

これ「ユーザーが自分の情報がどこに送信されているかユーザー自身が知れるようにしておこうぜ」ってことでしかないよね。

この記事の中盤にも書いたけど、サービス開発者・サイト運営者なら、ユーザーがわかりやすく知るべきことを知ることができるって観点が大事じゃん。

だから、「自分の管理してるサイトはコーポレートサイトだから表示の対象外だーよかったー」みたいな話ではなくて、法律の対象外でなくてもわかりやすく表示するのは大事なんじゃないですかね。

って近所の野良猫が鳴いてたにゃんよ。

 

おまけ:

はずかしーーーー。

 

ところで、なんとこのブログ、今年になってから初エントリした。
毎週1本くらい書きたいにゃんねえ……。