はじめに(電気通信事業法の改正)
大変遅ればせながら(「筋が悪そうだな」と思い避けてきたことによります。)、いわゆる外部送信規律を新規に導入する改正電気通信事業法が2022年6月に成立したことを受けて、勉強を開始したのでその備忘録としてすこしハイコンテクストな記事を執筆します。作っただけで放置を続けたブログの初めての記事が個人情報保護法に関するものではなくなったのはびっくりです。
総論として、わたしはこの改正に賛成するものです。条文の複雑さには困っていますが、賛成しています。解釈という名のわたしの邪推が多少なり的を射るものであるならば。
どうにも世間的に飛び交っている問題意識や所管省のコミュニケーションには思うところがあり、もっと詳しい方に教えを請おうという意図も、本記事の執筆の密やかな動機となっています。
より率直には、そんなに簡単に第3号事業であると認めてはいけないだろうと言いたいのです。専門家ではないながら、多少のにわか勉強した法知識と多少のインターネットサービスの実運用に関わった経験をもとにいざ対応するとなればどうするかも検討したのでついでながら何か有用なものをお送りできていれば幸いです。
対象となるのは電気通信事業(≠電気通信役務)
スコープに対する疑問
まず触れなければならないのは、電気通信事業になりそうだなと思ったらまず引くべき「電気通信事業参入マニュアル[追補版]」(親ページはこちら。)でしょうか。多くのウェブサイトでもこれをベースに改正電気通信事業法への対応を論じていました。
たしかにニュースサイト等も対応に迫られるかのように見えます。
しかし、これって本当は、電気通信事業であるニュースサイトの場合であることが背後にあるはずではないでしょうか?
この法律の規定は、次に掲げる電気通信事業については、適用しない。
一 専ら一の者に電気通信役務(当該一の者が電気通信事業者であるときは、当該一の者の電気通信事業の用に供する電気通信役務を除く。)を提供する電気通信事業
二 その一の部分の設置の場所が他の部分の設置の場所と同一の構内(これに準ずる区域内を含む。)又は同一の建物内である電気通信設備その他総務省令で定める基準に満たない規模の電気通信設備により電気通信役務を提供する電気通信事業
三 電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務(次に掲げる電気通信役務(ロ及びハに掲げる電気通信役務にあつては、当該電気通信役務を提供する者として総務大臣が総務省令で定めるところにより指定する者により提供されるものに限る。)を除く。)を電気通信回線設備を設置することなく提供する電気通信事業
イ ドメイン名電気通信役務
ロ 検索情報電気通信役務
ハ 媒介相当電気通信役務
第百六十四条(適用除外等)
確かに「電気通信役務」(電気通信事業法第2条第3号)自体の定義はべらぼうに広いです。わたしも、このウェブサイトを運営することにより電気通信役務を行っているわけです。
もちろん、「電気通信事業参入マニュアル[追補版]」の事例 [個人や企業によるWebサイトの開設(専ら自らの情報の提供を目的とするもの)] にも案内されているように、自己の需要に応ずるものですから、電気通信事業ではなく、したがって今般改正による外部送信規律の影響を受けることは無いとの整理になるものです。
と、思っていました。ニュースサイトが電気通信事業になるケースってなんだろう、と。
他人の需要?
それでは電気通信事業とは何か。ここで重要になってくる概念が「他人の需要に応ずる」(電気通信事業法第2条第4号)です。
他人の需要のために電気通信役務をするから、検閲の禁止や通信の秘密が必要ということが根底にあるはずです。
「電気通信事業参入マニュアル[追補版]」の事例から、「需要」を語ったものを引いてみます。
関連企業間のネットワークの運営 | 企業が、自らデータ通信専用線を設置するなどにより、複数の子会社、グループ企業等の関連企業との間を結ぶネットワークを構築して、業務に係る連絡等のための通信を行うものをいう。 このサービスは、子会社等の関連企業であっても他人であることから、関連企業間の通信については、関連企業(他人)の需要に応じており、原価を超えた料金を徴収している場合には、登録又は届出が必要な電気通信事業と判断される。 | 登録又は届出が必要な電気通信事業 |
オフィスやマンションの管理会社等が入居者に提供するインターネット | 他方、マンションの入居者で構成される自治会や管理組合等が入居者のみが利用するインターネットサービスを提供する場合は、自己の需要に応ずるものであり、他人の需要に応ずるものではないことから、電気通信事業に該当しないと判断される。 | 非電気通信事業(事業法規律対象外) |
各種情報のオンライン提供 | 電気通信設備(サーバ等)を用いて、天気予報やニュース等の情報を、インターネットを経由して利用者に提供するものをいう。 このサービスは、利用者(他人)の需要に応ずるために電気通信役務の提供(情報の送信)自体を目的として行っていることから、電気通信事業に該当するが、自己と他人(利用者)との間の通信であり、他人の通信を媒介していないことから、電気通信回線設備を設置していない場合には、登録及び届出が不要な電気通信事業と判断される。 | 登録及び届出が不要な電気通信事業(第3号事業) |
自社商品等のオンライン販売等 | 小売業者等が電気通信設備(サーバ等)を用いてECサイトを開設し、インターネット経由で自社商品等のオンライン販売や問合せ等に対応するものをいう。銀行や証券会社によるネットバンキングやネット証券(ネット専業も含む)で対応するものも含む。 このサービスは、電気通信設備を他人の通信の用に供しており、電気通信役務に該当するが、電気通信役務の提供(情報の送信)を必ずしも前提としない別の自らの本来業務の遂行の手段として電気通信役務を提供することは、自己の需要に応ずるものであり、他人の需要に応ずるものではないことから、電気通信事業に該当しない。 小売業者等がECモールに出店又は出品して自社商品等のオンライン販売や問合せ等に対応するものも同様に、電気通信事業に該当しないと判断される。 | 非電気通信事業(事業法規律対象外) |
個人や企業によるWebサイトの開設(専ら自らの情報の提供を目的とするもの) | 個人や企業等が、電気通信設備(サーバ等)を用いてWebサイトを開設し、インターネット経由で自らの情報のみを発信し、専ら自らの情報の提供を目的とするものをいう。 「他人の通信」の概念には、自己と他人との間の通信を含むことから、自己の電気通信設備をWebサイト閲覧者(他人)との通信に使用することは、当該設備を通信相手たる他人の通信の用に供していることとなり、電気通信役務に該当するものの、専ら自らの情報を発信する手段として電気通信役務を提供することは、自己の需要に応ずるものであり、他人の需要に応ずるものではないことから、電気通信事業に該当しないと判断される。 | 非電気通信事業(事業法規律対象外) |
メールフォーム・チャットボット | 企業や地方公共団体等が、電話等により受け付ける顧客や住民等からの問合せ等に加え、又はこれに代えて、電気通信設備(サーバ等)を用いてメールフォームやチャットボット用のWebサイトを開設し、インターネット経由で顧客や 住民等からの問合せ等を受け付けるものをいう。 顧客や住民等からの問合せ等を受け付けるに当たって電気通信役務を提供することは、自己の需要に応ずるものであって、他人の需要に応ずるものではないことから、このサービスは、電気通信事業に該当しないと判断される。 | 非電気通信事業(事業法規律対象外) |
電子メールマガジンの配信 | 電子メールマガジンの送信のために、企業等から提供された製品PRやイベント開催案内等に関する情報を元に電子メールマガジンを作成し、予め登録した購読者等に対して送信するものをいう。 このサービスは、購読者(他人)の需要に応ずるためにインターネット経由での情報送信(電気通信役務の提供)自体を目的として行っていることから電気通信事業に該当するが、企業等から提供された情報を元に電子メールマガジンを作成して購読者に送信していることから、他人の通信を媒介していないと判断され、サービス提供者が電気通信回線設備を設置していない場合には、登録及び届出が不要な電気通信事業と判断される。 | 登録及び届出が不要な電気通信事業(第3号事業) |
電子メールマガジンの発行 | 企業等が郵送や広告紙面により行う顧客に対する広報(自社製品の宣伝やイベント開催案内等)に加え、又はこれに代えて、予め登録した顧客等に対して電子メールによる広報等を行うものをいう。 このサービスは、本来業務に関する情報を顧客に対して広報するに当たっての電気通信役務を提供することは、自己の需要に応ずるものであり、他人の需要に応ずるものではないことから、電気通信事業に該当しないと判断される。 | 非電気通信事業(事業法規律対象外) |
呑み込めない違和感があります。
ただ確かに現行法についても手元の逐条解説を引くと、法第164条の解説において以下のような記述に出会いますし、上の表の第3号事業者の該否とも整合しそうな気はします(よりどころにしたい、というよりは、従来どのように解釈されてきたのかを参照したい趣旨で引用しています。)。
他人の通信を媒介する電気通信役務以外の、自己と他人の通信を行う電気通信役務を、電気通信回線を設置することなく提供する電気通信事業である。このような事業(第3号事業)を営む者としては、例えば、電気通信回線設備を設置せずに、配信サーバのみを設置して、動画、音楽、ゲーム等の多彩なコンテンツを提供する、いわゆるコンテンツ配信事業者が該当する。
多賀谷一照監修電気通信事業法研究会編『電気通信事業法逐条解説改訂版』(2019年、一般財団法人情報通信振興会)
(参考)第3号事業を営む者が提供するサービス例
・各種情報のオンライン提供
・ウェブサイトのオンライン検索
・ソフトウェアのオンライン提供
・電子掲示板
・電子ショッピングモール
・ネットオークション
・ウェブサイト開設のためのホスティング
そういえば、UGCの天国、かつてのYahoo! JAPANのサービスラインナップにみえてこないでしょうか。その思い出にもぐりこんでこれらを見ると、確かに「他人の需要に応じた」サービスであるような気がしてきました。
しかし今や、あまたのオウンドメディアがそれぞれのコンテンツを発信する時代です。
よく読むと、上の表、第3号事業であることをいうために「他人の需要」を語っていますが、なんで利用者がその情報を欲しいと思っているという日常用語に近い需要をもって法律にいう「他人の需要」を認めているのでしょうか。
果たしてどこに、「各種情報のオンライン提供」と「個人や企業によるWebサイトの開設(専ら自らの情報の提供を目的とするもの)」との差分を見出すことができるのか、わかりません。一方は情報の受信者たる利用者によるアクセス要望をもって他人の需要をいうのに対し、他方は「自らの情報を発信する手段であるから」といって自己需要にしています。
(わたしだっていろんな人にこの記事読んでもらいたいですよ。心意気においては他人の需要に応じるものです。)
これは本来、電気通信役務の需要であって、届けるべき何かを持つ利用者が他者(電気通信事業者)の乗り物を通じてこれを届けるときに「他人の需要」があるというものでしょう(例えば前掲多賀谷一照監修 p.29)。
よくよく立ち止まりたいのです。第3号事業者(というよりはすべての電気通信事業を営む者)って、その規模によらず外部送信規律どころか、検閲の禁止も通信の秘密侵害の禁止もかかる(電気通信事業法第164条第3項)のですよ。
本当にそうであるならば、cookieどころで騒いでいる場合ではありません(そもそも通信の秘密がかかっているのだからcookieであろうとなんであろうと違法性阻却事由が要るではないですか。いやそういう意味では、外部送信規律ってなぜ殊更に規定する必要があったんだろうねという話にもなりますが。)。
総務省が悪いのか間違っているのかというと、嘘はついてないようであることも確かなのです。でもちょっと言ったり言わなかったりしてないかしらと穿ちたくはなっています。上の表には引きませんでしたが、同じく第3号事業の例として紹介されているソフトウェアのオンライン提供(SaaS、ASP)、なぜこの項では「需要」を語らずに済ませているのでしょう。
邪推の極みをしますが、総務省さん、本当は全部わかってたりしませんよね?
SNSは最初から届出電気通信事業者であるべきだったはずで、良く考えれば確かに広告屋さんは電気通信事業みたいな側面がありそう。
ともあれ、冒頭のとおり、オウンドメディアで自己の情報を発信するだけならば、電気通信事業じゃないよねとなりそうな気がしてきました。しかし、どうもそういうことではなさそうです。
これが電気通信事業のスコープに関する実質の改正点なのかもしれないし、本当は前からそうだったよということかもしれません。
個人の事業として運営するウェブサイトで「広告やアフィリエイトプログラムなどを利用」(「電気通信事業参入マニュアル(追補版)ガイドブック」p. 18)するのであれば電気通信事業だと言うのです。たまげました。
言われてみれば確かに、例えばgoogleのアドネットワークから広告をウェブサイト上に掲載するためには、オウンドメディアのウェブサーバにgoogleのタグを設置して(電気通信設備を利用して)、閲覧者とgoogleとの通信を可能にする(他人の通信を媒介し、その他他人の通信の用に供する)かのような実装が必要です。
と、いう規律適用の機序でよいでしょうか?あるいは本当にわたし「他人の需要」に応じているということですか?
検閲の禁止や通信の秘密がかかるのだとしても、この場合、基本的にはそもそもわたしのようなウェブサイト運営者には閲覧者とgoogleとの通信内容を具体的にみる術すらありませんので、実質怖くもないでしょう(本当かかなり疑わしいのですが。)。では、タグ等の通信装置を破壊してしまったらどうでしょうか?電気通信事業者なのだとすると許されない振る舞いに思えます。
情報発信者と情報受信者の接続を容易にする検索サイトとおなじロジックで電気通信事業者でしょ、と言われればそうなのかもしれません(だから「媒介相当電気通信事業」と呼んだんですかね。)が、その趣旨なのかもちょっと自信がありません。
振り返るに、検索サイトって本当に通信の秘密の番人であるところの電気通信事業であると言ってよかったのでしょうか。道案内人である検索サイトやキュレーションサイトは、しばしばわたしの選好でもって又はかつてのわたしに対する記憶でもって案内先を変えてくれてたりしますが、電気通信事業ということにしますか。
リンク集とは性質上なにが違うのでしょうか。例えば以下のような例だとどうでしょうか。1番上の例は、ああそういえば昔こういう形態あったな(今もあるかもしれませんが)というなつかしさあり、これは第3号事業かもなと思う気持ちですが、他も電気通信事業でしょうか?
- ニュースサイトが報道各社の意向にしたがってニュース記事をロードしニュースサイト上に表示する。
- ニュースサイトが報道各社から記事配信のライセンスを受けて自ら(の会計で)配信する。
- ニュースサイトが報道各社から記事のライセンスを受けて適宜レイアウト等に編集を加えて自ら(の会計で)配信する。
- ニュースサイトが報道各社の報道を参照して、ライセンスを受けない範囲で自ら選択してニュースサイト上にリンク等を設置して紹介する。
ここから先は、わたしの能力をはるかに超えるので、もっと理論的に整理できる方々に届けと思いつつこの記事の収拾がつけることにしたいところです。ただ、どことなく、「電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供する」電気通信役務やこれを「他人の需要に応ずるために提供する」電気通信事業の定義が揺らいでいるような気はします。あるいは、今までわたしが狭く解していたのか。
もう一度しつこく申し上げると、cookieポリシーくらい作りますが、わたしは通信の秘密を託されたくはないのです。法律だというのであれば甘んじて受け入れますが、いや、しかしちょっと荷が勝ちすぎています。
いまこの瞬間からの対応方針の立て方
腹をくくるか諦めるか
正直なところ、すでに書きたいことは書き終わっているので、簡単に流してしまおうと思っています(「電気通信事業者」って電気通信事業を営む者ではなくって登録か届出をした者だけを指すの、わかりづらい気がします。)。
今から法改正対応頑張ろうという電気通信事業を営む方々(わたしを含む可能性を一応捨てません。)におかれては、まず最初に、通知と同意とオプトアウトは、選択肢から抜いたほうが良いと思います。
不可能とは言いませんが、いずれもサーバーサイドでそれなりの工数のかかる開発をしないといけませんし、ユーザーコミュニケーションを改めて変えさせるという事業インパクトのある話をわずか半年にも満たない準備期間でやれと言っているのだという自覚は持っておくことをおすすめします。
急所はどこか
つまり、電気通信事業法第27条の12第3号と第4号は無視しましょう。ただもしかすると、モバイルアプリとかだったら同意(同条第3号)は考えうるかもしれません。
いやいやオプトアウトもありでしょ、と思われた方、そのとおりですが、それは必要な場面において既に対応できているはずなのです。JIAAへの加入団体はじめオンライン広告の提供会社から指定されたタグを張っているなら、改正個人情報保護法などの影響も含め、言ってしまえばそれ以前からJIAAガイドラインでオプトアウトの手段はただしく提供されるように規定されていますし、オプトアウトの手段すらない広告cookieを利用しているならば、さすがにそれは本件に関係なくダメなので、さっさと落としてしまいましょう。
初手の検討として、条文はこのように書かれているものと読み替えるのがよいでしょう。
電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を
当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。一 当該電気通信役務において送信する符号、音響又は影像を当該利用者の電気通信設備の映像面に適正に表示するために必要な情報その他の利用者が電気通信役務を利用する際に送信をすることが必要なものとして総務省令で定める情報
第二十七条の十二(情報送信指令通信に係る通知等)
二 当該電気通信事業者又は第三号事業を営む者が当該利用者に対し当該電気通信役務を提供した際に当該利用者の電気通信設備に送信した識別符号(電気通信事業者又は第三号事業を営む者が、電気通信役務の提供に際し、利用者を他の者と区別して識別するために用いる文字、番号、記号その他の符号をいう。)であつて、当該情報送信指令通信が起動させる情報送信機能により当該電気通信事業者又は第三号事業を営む者の電気通信設備を送信先として送信されることとなるもの
主戦場は、necessary cookieとfunctionality cookie、そしてperformance cookieです。粗雑なイメージは以下の通りです。
- necessary: セッション管理とか認証とか不正検知とかユーザー入力内容保持とか
- functionality: 言語設定とか文字サイズとか
- performance: いわゆる計測系(A/Bテストとかは微妙だけどここか1個上か実装によりそう。)
functionality cookieが1号に該当するかは微妙な感じがします。にわかに読んだ限りは、performanceについては2号で読めということかなに思い至りましたが、正直よくわからず、詳細には立ち入りません(どんなものであれだいたいcookie IDという名の識別符号は持っているのだから、識別符号だけを保存するものでないとこれは援用できないという理解でよいのでしょうか。あるいは、送信先が自社ならなんでもよいと言いたいのかちょっと読めませんでした。)。
また、社内の詳しい人から1st party cookieは考えなくていいのか、と聞かれるかと思います。「1st party/3rd partyという技術用語としての区別は今回意味がなく、送信先が自社サーバーなのか他社のサーバーなのかが問題です。つまり1st party cookieでもGAは外部送信だし、3rd party cookieでもドメイン違いの[電気通信設備である]自社サーバーに送信するなら外部の扱いにはならない(1号か2号に該当しないものは要対応の留保をつけて。)。」と答えましょう。きっと溜め息をつかれます。
認証系で他社のcookieを保持させないといけないとかも1号であるために対象外かなという気はします(好きではないですが。)。
最後の葛藤
だんだんと容易アクセス性を検討し担保すべき対象がしぼられてきました。
ざっくりといえば、自社サーバーに送信するマーケや広告のためのそれと、自社他社問わずfunctionality、最後に他社サーバーに送信するperformance系のそれです。
なぜ、通知と同意とオプトアウトは避けろと言ったかといえば、あらかじめ通知するのはウェブサイトに訪れたユーザーを検知したらcookieを発火させる前にバナー等だすことになりこれはちゃんと開発しないと難しいということもありますが、これらって同意させるべきことなのか疑問がつきませんか?
(現実にはperformance cookieはこの機能持っていることも多いですが)オプトアウトさせたら統計の母集団かわるから少なくともこれまでのデータとこれからのデータの読み方を変えることになります。計測した先には分析がまっているし、しかるべく事業責任者に推移をレポートする未来が待っています。そういうことを無視して同意させたりオプトアウトさせたりするのは、ちょっと躊躇います。
また、何度も言いますが、マーケ・広告系は、すでにできていないといけないのです(とはいえ自社仕様のものは、意外とオプトアウトとか対応できていないところもあるとおもいます。)。それでもなお、まずいなと思ったならば、いったん容易に知りうる状態を作ったうえで、別のプロジェクトを立てるのが急がば回れの近道です。そもそも社内のステークホルダーがだいぶ違います。
忘れてはならないこととして、われわれは、法律のためのユーザーコミュニケーションがしたいわけではなく、法律にも整合する信頼の基礎となるユーザーコミュニケーションを作りたいのでした。きっと携わる方みんなそうだと思っていますが、法律上必要とされている情報だけ記載されているcookieポリシー、読みにくそうじゃないですか?
端折ってしまいますが、本当にnecessary cookieなのか判断したうえで半年後を迎えたいと思う気持ちもあるでしょう。いやむしろ、電気通信事業者であるならばこそ、necessaryっぽいものがnecessaryであるとの確信が欲しいはずです。だって通信の秘密の門番の誇りがあるのだから。
そうすると、一周回って全部把握して機序も理解しよう、ということになるのですが、本稿は今から間に合わすことを念頭に置いたのでご容赦ください。
おまけ
もう雑文中の雑文です。こんなに長い記事を書く気はなかったのです。
通知の実現可能性
無いと筆を滑らせたものの、そこまで言い切るのも不誠実だろうと条文を読んでいると思いましたので触れておきます。
先に引いた法第27条の12にある「情報送信指令通信」ですが、よく読むと、利用者のブラウザ等にcookieを保存することではなく、cookieに保持された情報を送信させようとする(「利用者の電気通信設備に記録された…情報を当該利用者以外の者の電気通信設備に送信する機能」を「起動する指令を与える」)とき、あらかじめ…、と言っています。
…当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ…
第二十七条の十二(情報送信指令通信に係る通知等)より抜粋
わたしのにわか勉強が正しく理解できていると仮定したうえでですが、これはよく見るcookieの教科書的な説明に依拠すると、2回目の訪問時の挙動です。初回に通知するチャンスが残っていそうに見えますね。
ただしかし、容易に知りうる状態にすべき対象cookieすべて(=通知すべき対象cookieすべて)について、この挙動であることを確認し、初回訪問時のユーザー(≒cookieを保持していないユーザー)に対して通知をする機構を作りこめるかと考えると、残された時間とのバランスでチャレンジングだなという印象があります。
情報送信機能を有するのは、ご承知のとおり、cookieだけに限られないということも忘れることはできません。
複数目的になってしまっているcookie
これは結構いろいろあるんじゃないでしょうか。
法第27条の12第1号を受けた規則第22条の2の30但書きによると、「当該情報をその必要の範囲内において送信する場合に限る」情報送信について適用除外と言っています。正しい規律だと思います。
しかし、necessary cookieをそのnecessityの範囲でだけ使うガバナンスができているならば、今頃困っていないであろうこともまた確かなのです。オプトアウトをおすすめしないもう一つの理由となります。これはもしかすると、今後のcookieガバナンスどうしていきますか、ということが投げかけられているのかもしれません。
cookieポリシーの独立性と掲載場所
昨今、プライバシーポリシーに日付を入れる事業者が増えました。同意管理かもしれませんし、改定コミュニケーションの適切性を透明にしておくのに有用であるとの判断かもしれません。
ともあれ否定されるべきプラクティスでは全くありません。むしろ良いことです。
ただ、そこにcookieの記述を置くかどうかという意味では、ちょっと話が違ってきます。ライフサイクルがずいぶん違いますし、仮にプライバシーポリシーに「変更の際は通知します」という記述があると、cookieの入れ替えがあるたびに都度その記述に引っ張られてプロアクティブなコミュニケーションを迫られます。
まるで悪いことかのように書いてしまいましたが、ライフサイクルの異なるポリシーを1個の文書で表現すると寧ろ双方にとって煩雑な面が出てくる可能性があると言いたいだけです。
いろいろと工夫のしがいのあるところですが、結論としては、URLごと分けたうえで、cookieバナーを作るのがいまのところベストプラクティスではないかと思っています。ある程度スクロールした先にあるフッターにcookieポリシーへのリンクがある場合に許容されるかは要検討でしょうか。規則を字面どおりに読むとフッターでもいけそうですが、この文章のテンション、心意気はスクロールなしの1st viewと言っているように見えます。
本当は対象となった電気通信事業用のドメインを指定してしまったほうが維持と説明は楽
再三再四引きますが、法第27条の12は、「電気通信事業者又は第三号事業を営む者…は、その利用者に対し電気通信役務を提供する際に、…なければならない。」と言っています。
本来、1個のcookieポリシーで1社の取り組みをすべて説明しきろうというのが土台無理なのです。cookieの調査範囲もめまいがするほどになってしまったりするかもしれません。
しかし、プロダクト提供用のドメインが決まっているとしたらどうでしょうか。関連するけど電気通信事業に該当しないキャンペーンをうつとき、これを別ドメインで展開すべきこととしていたら、電気通信事業法からの影響を遮断することができます。
ドメインレベルでなくてもよいと思います。ただ、cookieってドメイン共通のコンポーネントであるヘッダーとかに仕込まれることが多いですよね。いろいろな目的でもっていろいろなcookieが電気通信事業の事業部の意思によらず、結果として電気通信事業の役務提供ウェブサイトにも流れ込んでくると、もはや収拾がつかなくなります。
合理的に区切り、当該ウェブサイトに影響のあるcookieの設置が可能な人が限定されれば、調査範囲も限定できますし、将来のポリシーメンテナンスも地に足がついた感じがでてくるというものです。このようなプラクティスを徹底する世界的大企業を知っています。
電気通信事業法への対応というためではありません。むしろ、世界中にあるプライバシー法制やデータ保護法制を守りながらも、機動的に別のドメインでキャンペーンや実験的な施策をできるようにするためです。
施行日以後に消耗戦がひたすら継続されてしまうという事態にならないといいな、そして、改正電気通信事業法の先をいくプラクティスがたくさん見られるといいな、と願っておしまいです。
コメント