00:07
Location Weekly Japan 番外編ですかね。今週はですね、ちょっともう時間経ったんですけれども、6月16日に施行された外部送信規律という新しい法律ですね。
これについて皆さんにせっかくなんでわかりやすく語っていただきましょうということで、プライバシーテックの山下さんにまた来ていただきまして、2回目の登場になります。
山下さんよろしくお願いします。
よろしくお願いいたします。
山下さん先日外部送信規律に関する書籍を出版されて、わかりやすくその本については後々語っていただくとして、
そもそもなんで我々がLBMA Japan、位置情報データ活用のLBMA Japanとしてこの外部送信規律と向き合うのかというところも踏まえですね。
全く何も知らない人前提で外部送信規律とは何ぞやっていうのをちょっと語っていただけると助かります。
お願いします。
わかりました。
まずこの外部送信規律という法律なんですけども、総務省の電気通信事業法というものにぶら下がって新しくできた法律になっている。
総務省の電気通信事業法っていうものって普段意識されたことありますか。
川島さん前アプリの開発とかされてたと思うんですけども、電気通信事業法意識されたことありますか。
なかったですね。
前ですよね。
おそらくほとんどのウェブサービスとかアプリを使っている事業者さんはあまり意識することがない。
電気通信事業法っていうと、例えば携帯キャリアであったりとかインターネットサービスプロバイダーであったりとか、そういったいかにもこの大きなハードウェアとか通信端末を持っているような、
そんな事業者さんが気にしなければいけない法律だよねというようなものでありました。
今回のこの外部更新規律というのが新しくできたことによって、その対象となる事業者というのがものすごく大きく広がっているというのが大きなポイントになります。
本当にざっくり言うとですね、ウェブサイトとかアプリをビジネス上で運営している会社さんであれば、まず一旦必ずどの事業者さんも気にしましょうと。
おそらくその中で大体ざっくりそうですね、6割とか7割とかそれぐらいの会社さんは対応が迫られる事業者に該当するような、そんなものになってくるかなというふうに思っています。
6割7割の事業者が対象になるっていうのは、事業者って言ってるのは会社として存在する何千何万の企業の6割7割ってことですか?
ウェブサイトとかアプリを運営している事業者さんですね。
なるほど、対象はそんな感じでドカンと増えましたと。何をしなきゃいけないんでしょうか?
6割7割というふうに言ったんですけども、もう少し細かく言うとですね、ウェブサイトアプリ運営していると言っても、自分たちの情報を発信する目的、
例えば企業のウェブサイトだったりとか、自社の商品をただ宣伝するためにウェブサイトを運営しているようなケース、これは今回対象にはならないです。
03:08
一方で、誰か第三者の通信を媒介するだったりとか、この時点で言葉が難しくなってきてるんですけど、誰かの通信を途中で仲介するような、
例えばメッセージサービスであったりとか、マッチングサービスであったり、マッチングプラットフォーム的なサービスであったりといったような、
そんなサービスが今回対象になってくるようなものになっています。何をしなければいけないかというところで言うと、
かなりシンプルになっています。利用者に対してこのウェブサイトとかアプリがどこに通信をしているのかというところを分かりやすく明示してください、
それをウェブサイトに書きなさいという、その対応をしっかりとしておけば何ら問題がないことになっています。
皆さんよく見られるものとしてクッキーポリシーのページってあるじゃないですか。
下に何か出てくるやつ。
下に何か出てくるやつもありますし、プライバシーポリシーと並んでクッキーポリシーというページがあるじゃないですか。
またあそこのクッキーポリシーのようなもの、個人情報に関しては個人情報保護法のもとでプライバシーポリシーでしっかりと書きましょう。
個人情報の外にあるクッキーとか広告識別とか、それこそ個人情報には該当しない位置情報、またデバイスロケーションデータも入ってくるんですけれども、
こういったものに関して自社以外の第三者に送っている場合は、その目的であったりとか誰に送っているのかとか、どういう情報を送っているのかということをちゃんと書きなさいということがルールとして定められているようなものになっています。
ですのでこの事業者はどこに送っているかというと、極端な話をするとページをちゃんと作ってそのページに一覧を上げるという、ここの対応をしなさいというようなものになっています。
なるほど。クッキーだったり広告識別紙を送るっていうのは目的としては、その広告に使いたいからっていうことが目的の事業者さんになるんですかね。広告に使ってなければいいんですか?
はい、ここがですね、ありがとうございます。いいポイントだなと思っていて、どんなケースにおいて書かなければいけないかというところなんですけども、
基本的にはサードパーティーと呼ばれるサービスを提供している当事者ではない会社にデータを送っているケースに関しては、
広告であったりとかアクセス解析とか、またこうレコメンドツールとかAIのエンジンとかっていうのもあるから、そういうものに送っている場合はしっかりと書きなさいという形になっています。
ただ一方でサイトとかウェブサイトを運営する上で、どう考えても必要不可欠だよねと言われるような、
例えばIDを認証するために必要なものであったりとか、セキュリティ対策のために誰がログインをしているのかというところを管理するような、監視するようなサーバーに送っていたりとか、
そういうものに関してはわざわざ書く必要はないんですよというようなものになっています。
なるほど。その線引きってどこでしたらいいんですかね?これは対象、これは対象じゃないみたいなのって、何か特別なあれがあるんですか?
ここまでOK、ここ以上は外部送信機率に適用しますみたいな。
06:04
はい、これ大まかなラインが引かれているというような形になっています。
例えば外部送信機率の対象としては、DNPとかCDPとか、MA2だったりとか広告配信とかアクセス解析、こういったものに関しては書きましょう。
例えばAdServerとかサービスサーバーというように呼ばれるものですね。こういったものに送られているのは書きましょうというふうになっています。
一方で自社のサーバーにデータを送っているケースであったりとか、先ほどお伝えした必要不可欠な用途としてIDの認証であったりとか、
セキュリティ対策みたいなところに関しては不要ですよというような形の線引きが一応されているという話になっています。
ただこれ実際は外部送信機をどこに行っているかというところをリストアップしていくと、
実際に悩ましいケースが多々出てくるというのが実務上本当にあることかなということであります。
どこまでを明記すればいいのかという厳密なラインは、まだ総務省さん自体もすごく決めあぐねている部分はあるのかなというふうな印象を、
彼らとのコミュニケーションを通して感じているところではあります。
なるほど。この収録をしている時点ではまだできて間もない法律なので、そういう状況なのかなと思うんですけど、
実際、今これを対応しますといった場合は、話をもう一回振り下げましょう。
例えば、私がエンドユーザー向けのオンラインサービスを提供していますと。
わからないですけど、ECサイトで物販売してますという状態。自社でサービス運営してたとして、
アクセス解析のためにGoogleアナリティクス入れてますっていう状態だとしたら、まずそれはGoogleアナリティクスにデータを送ってます。
データを送らないと計測はできないので、データを送ってますというのは書かなきゃいけないこと。
レコメンドエンジン使いたいなと思うんで、レコメンドエンジンに対してお客さんの一部クリック履歴とかそういうものを送ってますっていうのも対象。
セキュリティ対策として、不正アクセスがないかっていうような解析ツールに対してアクセス履歴を送っているのは対象。
はい、これは対象外になります。
そうなんだ。
なるほど。じゃあ解析をせずにセキュリティ対策だけしてるサービスだったら、特に現状から何も変えなくていいっていう感じですかね。
おっしゃる通りです。これがまさにセキュリティ対策をメインとしながらも、アドオンで解析ができますよっていうサービスでも実際に存在するじゃないですか。
そのケースにおいては書きなさいという形になってます。
法律の背景というか目的が何なのかっていうところを考えると、言い分けが結構しやすくなってくるんですけども、
これはまさに利用者がこんなところに情報が送られてるなんて知らなかったとか、
09:01
こういうところに本当に送る必要あるの?送ってほしくないんだけどみたいな、そういった不安とか気持ち悪さっていうのがどうしてもあるというところが課題視をされていて、
そこに対してしっかりと透明性をまずは担保しようというところでできてきた法律になります。
なので一つ考え方としては、利用者が予見可能なのかどうかっていうところがこの切り分けのポイントになるだろうなというふうに考えてみるといいかなと思ってます。
なるほど。じゃあそれを表だってこういうところにデータを送っているサービスなんですけど、いいですよねっていう確認を取りなさいっていうことになるんですかね。
そうですね。
なるほど。これちなみに違反するとどうなるんですか。
これ違反をすると最悪罰金であったりとか行政指導の対象になるというようなものになっています。
なるほど。
はい。いくつかこれ段階があって、まずこれいきなり違反をしたからといって、
違反しているからダメな会社ですってさらされるというわけではないです。
まずは違反が発覚した場合は行政指導ということでちゃんと対応してくださいという改善が促進される形になります。
総務省から。
総務省から改善が行われます。
それでも改善が見られない場合は明確な業務改善命令という、よく報道とかで社名が報道されるようなそんな形になります。
この業務改善命令にも従わない場合は罰則として罰金が課せられるというような、そんなステップを踏んでいくというものになっています。
なるほど。
はい。
だからそうですね。業務改善命令というか、行政指導が入った時点で名前が表に出ちゃうということですね。
そうですね。
業務改善命令か。
うん。
だからそこをそうなる前にちゃんと皆さん対応しましょうねっていうのが現状っていう感じじゃないですかね。
でもこれ実質、それなりの6割7割のオンライン事業者っていうとそれなりの規模になると思うんですけど、
なんかこうなったんでみんなちゃんとやりましょうみたいなのって伝わってるんですかね。
どうですか。あんまり伝わってないんじゃないかなって私は思っています。
伝わっていったとしても正しく伝わってるかどうかっていうのはまた次の問題としてあってですね。
そうですね。
はい。いくつかこんなサイトさんあるんですけどということで私も教えてもらうんですけども、
実はどういうふうに記載をしなければいけないかというところの要件もかなり細かく決まっているんですよ。
そうなんだ。
で、例えば分かりやすい日本語で書きなさいとか、説明をちゃんとしてくださいと。
単純にリンクを載せるだけではダメですよみたいなことが言われているにも関わらず、
従来社名とリンクだけが打列されているのがそんなウェブサイトもあったりとかしてる。
大手の企業さんでもこういう態度をされてるんですけども、
おそらく悪気なくやってるというよりもちゃんと伝わってないというか、
理解するのが難しいというところからこういった対応が散見されてるんだろうなというふうにはすぐそこしていますね。
なるほどね。
罰則のところで言うと、先ほど罰金というところで言ったんですけども、
12:03
罰金も金額で言うと200万円以下の罰金とかという形ですごくハードルが低いというか、
罰としてそんなに重さはないんですよ。
気にするとしたらレピュレーションリスクとして、先ほど業務改善命令として会社名が足られることによるそのブランナー基礎みたいな、
そこをどこまで気にするかというところがあるかなというふうに思います。
ここが一つEUのGDPRの規制とか罰則というところで言うと、
EUの場合は罰則、同じような法律があるんですけども、
それに罰則した場合は全世界での売上の最大4%または2000万ユーロが罰金として課せられますよというかなり厳しいルールになってるんですよね。
だから2000万ユーロというと単純計算20億以上という感じですよね。
なるほどね。
すごいね、規模としては。
まさに先ほどお話に出てきたこのウェブサイトにアクセスしたら、
ポップアップとして聞いておりますけどどうしますかというブランナーが出てくるじゃないですか。
あれはまさにEUのGDPRに対応するために皆さん対応されているもので、
これだけ厳しい罰則があるので何としても対応しようという形で、
あそこは皆さんこぞって対応されているというのが現状になります。
なるほど。
だとすると、もしかしたら日本の法律もそれぐらい厳しくなっていくことはあるんでしょうか。
どうでしょう。
これはなかなか読みづらいところではありますけど、
あまりデータ取得するところでの制約というか、やらなければいけないこと、
手続きを多くしてしまうと、その後DXであったりかAIを活用しようというところ、
結構足踏みをかけることになりかねないかなと。
ここは結構政府の方であったりとかAI専業会議の方々も皆さんちゃんと理解をされていて、
慎重に考えられているところかなというふうには思っているので、
ヨーロッパほど厳しい法律が課せられるかというと、
この責めの戦略と逆行するので、そうはならないんじゃないかなというふうに私は思っています。
なるほどね。わかりました。
じゃあ、今まだ対応していない、またはとりあえず対応したみたいなオンライン事業者の方々に対して、
アドバイスというかあればお願いします。
対応自体はものすごくシンプルなんですけども、
どうしても面倒くさいとか煩わしいというところがついて回るような形になっております。
で、もう法律の骨格というか、どこまでやればいいかというところが結構明確になってきましたし、
どこにデータを送っているかというところさえしっかりと把握ができれば、
あとはページを作るツールも出てきていますというか、
私の提供を間もなくしますので、そういったものを使っていただければ本当に簡単に対応できるので、
何かしら怒られるぐらいであれば、
チャッチャッとやってますということを済ませておくというのがいいかなというふうに思っております。
なるほどね。ありがとうございます。
山下さん、これに関しての本出されたんですよね。
はい。
ちょっとじゃあせっかくなんでバッチリ宣伝してください。
ありがとうございます。なかなか拙い説明でやったんですけども、
この外部送信機率スピード対応マニュアルという本ですね、
15:00
7月27日に日経BP社から発売をしております。
かなり図表とかもてんこ盛りで、どういった事業者が対象になるのかだったりとか、
最後、どういった形でこの外部送信機率のページを書いていけばいいのかということだったりとか、
各送信先ごとにどんな情報を盛り込めばいいのかというところ、
本当に全ての情報を網羅しておりますので、
ぜひ参考にしていただければなというふうに思っております。
ありがとうございます。
あと、8月中を予定しているんですけども、
外部送信機率スピード対応ナビというウェブサイトですね、
公開する予定になっております。
これが何かというと、
外部送信機率のページを作る際に必要な情報が集約されているWikipediaの機能と、
あとはこの外部送信機率のページ自体を作ることで、
ページジェネレーターというこの2つの機能を兼ね揃えたものになっておりまして、
この2つの機能が完全に無料で使えるようなものになっております。
ここでどこにデータを送っているかというところを選択していただけたら、
必要な情報が全部出てきて、ページも作成して、
そのページのタグを下のウェブサイトに貼り付けてもらいます。
それでも対応がOKというものになりますので、
ぜひご覧いただければと思っております。
そんな簡単なものを無料で提供してもらって大丈夫ですか?
はい。こちらは本邦初だと思っておりますし、
誰もやれないかなと思ってますので。
おー面白い。
スタートアップならではのテーマとしてやっております。
わかりました。
ちょっとじゃあその本のURLとナビのURLは概要欄には貼っておきますので、
昨日皆さんもしご興味あればというか、
うちもやらなきゃなということであれば、
ぜひクリックして確認していただければと思います。
はい。じゃあそんな感じですかね。
はい。
今日は山下さんに外部送信規律について解説いただきました。
どうもありがとうございます。
ありがとうございます。