// シス担のミカタ
コンプライアンス・規格

改正電気通信事業法 かいせいでんきつうしんじぎょうほう

電気通信事業法外部送信規律クッキー規制プライバシー保護利用者情報総務省
改正電気通信事業法について教えて

簡単に言うとこんな感じ!

ウェブサイトやアプリが「こっそりユーザーの行動データを外部に送っていた」問題を規制する法律だよ!2023年6月施行で、Cookieや利用者情報を第三者に送るときは「ちゃんと通知・公表してね」って義務付けたんだ。対応しないと罰則もあるから、Webサービスを運営している会社には無視できないルールってこと!

改正電気通信事業法とは

改正電気通信事業法とは、2022年に改正され2023年6月16日に施行された「電気通信事業法」のことで、特にウェブサービス・アプリ事業者を対象とした**「外部送信規律」(がいぶそうしんきりつ)と呼ばれる新しい規制が盛り込まれています。この改正により、利用者の端末から取得した情報(閲覧履歴・行動ログ・Cookieなど)を第三者に送信する場合、その旨をユーザーに通知または公表する義務**が生じました。

改正前の電気通信事業法は、主に通信キャリア(NTTやKDDIなど)を対象にした法律でした。しかし、スマートフォンやウェブサービスの普及により、SNS・ニュースアプリ・ECサイトなどのプラットフォーム事業者が大量の利用者データを収集・活用するようになったため、規制の対象が大幅に拡大されました。

個人情報保護法(いわゆる「個人情報を扱うルール」)とは別に、通信の秘密やプライバシー保護の観点から総務省が所管する形で整備されたのが今回の改正のポイントです。似ているようで目的と対象が異なるため、両法を理解した上で対応する必要があります。

外部送信規律の仕組み

改正電気通信事業法の核心は「外部送信規律」です。これは「利用者の端末に保存された情報を、その利用者以外の第三者(外部)に送信する場合のルール」を定めたものです。

項目内容
対象事業者電気通信役務を提供する事業者(ウェブサービス・アプリ事業者など)
対象情報利用者の端末から送信される情報(Cookie・閲覧履歴・位置情報・端末IDなど)
義務内容送信される情報の内容・送信先・利用目的を通知または公表する
公表方法プライバシーポリシーへの記載、ポップアップ通知など
罰則義務違反には100万円以下の過料(過料=行政罰)
施行日2023年6月16日

対象になりやすいサービスの例

  • Googleアナリティクス・Adobe Analyticsなどのアクセス解析ツールを埋め込んでいるサイト
  • FacebookピクセルやLINEタグなどの広告トラッキングツールを使っているサービス
  • アプリ内でSDKを通じて第三者にデータを送信しているスマートフォンアプリ

「通知」と「公表」の違い

方法内容使われるシーン
通知個別ユーザーに直接知らせる(メール・ポップアップなど)会員サービス・ログインが必要なサービス
公表誰でも確認できる形で開示(プライバシーポリシーなど)不特定多数が使う一般公開サービス

歴史と背景

  • 2000年代〜2010年代:電気通信事業法はNTT・KDDI・ソフトバンクなど通信キャリアを主な規制対象として運用されていた
  • 2010年代後半:スマートフォンの普及により、アプリ・ウェブサービス経由での大規模な利用者データ収集が一般化
  • 2019年:総務省が「電気通信事業における個人情報等の保護に関するガイドライン」を改定し、プラットフォーム事業者への対応を強化
  • 2021年:EUの「GDPR」(General Data Protection Regulation)や「eプライバシー規則」など海外規制の強化を受け、日本でも議論が加速
  • 2022年6月:改正電気通信事業法が国会で可決・成立。外部送信規律が新設される
  • 2023年6月16日:改正法施行。ウェブサービス・アプリ事業者の対応義務がスタート
  • 2023年〜現在:各社がプライバシーポリシーの改定・Cookieバナーの設置などで対応を進めている

関連する法律・規制との比較

改正電気通信事業法は「個人情報保護法」や「GDPR」と混同されがちです。それぞれの違いを整理しておきましょう。

プライバシー関連規制の比較 改正電気通信事業法 (日本・総務省) 📋 対象:通信役務提供者 📌 焦点:外部送信の通知・公表 🔑 キー:Cookie・SDK送信 💴 罰則:100万円以下の過料 🗾 適用:日本国内サービス 個人情報保護法 (日本・個人情報保護委員会) 📋 対象:個人情報取扱事業者 📌 焦点:個人情報の取得・利用 🔑 キー:氏名・住所等の個人情報 💴 罰則:1億円以下の罰金など 🗾 適用:日本国内事業者 GDPR (EU・汎欧州規制) 📋 対象:EU居住者のデータを扱う者 📌 焦点:個人データ全般の保護 🔑 キー:同意・忘れられる権利 💴 罰則:最大売上高4%または2000万ユーロ 🗾 適用:EU居住者対象の事業者 ※ 3つの規制は目的・対象が異なるため、それぞれ個別に対応が必要

実務での対応チェックポイント

【自社サービスで確認すべき項目】

□ GoogleアナリティクスなどのタグをWebサイトに設置している
□ 広告用のトラッキングピクセル(FB・LINE・Twitter等)を使っている
□ アプリにSDKを組み込んでいる(Firebase、Adjustなど)
□ 上記で収集したデータを第三者(ツール提供社)に送信している
  ↓ 1つでもYESなら外部送信規律の対象になる可能性がある

【必要な対応】
1. プライバシーポリシーに送信先・情報の内容・目的を明記
2. 必要に応じてCookieバナーやオプトアウト手段を提供
3. 定期的な内容の見直し・更新

関連する規格・RFC

規格・法令内容
電気通信事業法(改正前)通信キャリアを対象とした基本法。改正により適用範囲が拡大
個人情報の保護に関する法律(個人情報保護法)個人情報の取得・利用・管理を規律する法律(個人情報保護委員会が所管)
電気通信事業における個人情報等の保護に関するガイドライン総務省が定める改正電気通信事業法の解釈・運用指針

関連用語

  • 個人情報保護法 — 個人情報の取得・管理・第三者提供を規律する日本の法律
  • GDPR — EU全域で適用される個人データ保護規則。世界で最も厳格な規制の一つ
  • Cookie(クッキー) — ウェブブラウザに保存される小さなデータ。外部送信規律の主な対象
  • プライバシーポリシー — 事業者が利用者に対して個人情報・データの取り扱いを説明する文書
  • トラッキング — ユーザーの行動・閲覧履歴などを追跡・記録する仕組み
  • オプトアウト — ユーザーが自らデータ収集・利用の停止を申請する仕組み
  • 外部送信規律 — 改正電気通信事業法の核心。利用者情報の第三者送信に関する通知・公表義務
  • 情報セキュリティポリシー — 組織が定める情報資産の保護に関する方針・規則