※「ざっくり」とタイトルを決めて書き始めたが思いのほか細かくなってしまっています。

あいかわらず新しいウェブサービスやウェブサイトを考えるときは個人情報保護法と外部送信規律の両方の検討に苦労しているのであるが、毎回担当者に「両者の違いは？」という質問を受ける。

正直厳密に区別する意味はあまりないので担当者に説明するときは「どういった情報を取得して、どういった流れで、どう使うのか教えてもらえればあとはこっちでやります」というように大雑把にしか説明しないが、外部送信規律があとから出てきたために、個人情報保護法は意識されていても外部送信規律については知らない担当者がほとんどなので追加的に説明をせざるをえないことが多いし、真面目な担当者（特にエンジニア）は「？？？」となることが多い。

なので今回は両者の違いについて説明したい。

そもそものウェブサイト（ログイン型）の仕組み

まずはログイン型のウェブサイトについてさらっと。
ウェブサイトはまずユーザー登録をして、ユーザーのデータベースを作成する。
ユーザー認証にはBASIC認証のような毎回認証が必要なステートレス型がある。
これでは面倒であるので、一回認証したらある程度保持するステートフル型が登場した。これはCookieやトークンを使用する。

このようなユーザーを識別するCookieは１つとは限らず、１回のアクセスで複数発行されることはある。

外部送信規律がターゲットにしたCookieの使い方

そのようなCookieのうち、広告配信用のCookieを用いた広告配信サービスが登場した。代表的なものはGoogle Analyticsなどである。

Google Analytics用のタグ（Javascript）を仕込んだウェブサイトは、閲覧者に広告配信用のCookieを送信させる。この送信先が、ウェブサイト自身ではなく、Googleのサーバである。
Googleは複数のサイトを閲覧したユーザーを、Cookieで識別して訪問履歴から興味関心のカテゴリを識別し、広告枠を設置したサイトの広告バナーに、カテゴリに応じた広告バナーを配信する。

これを抽象化したのが、外部送信規律の条文である。

利用者の電気通信設備＝パソコンやスマホなどの端末に対し、
情報送信指令通信＝端末から情報を送信させるJavascriptなどを起動させること
という関係になる。

勘違い例①（あくまで対象は「情報送信指令通信」であること）

ここでよく勘違いされるが、条文から否定される代表例が以下である。

• 利用者自身による入力データのサーバへの送信は「指令」ではない。

• サーバでデータが生成される場合（ログなど）やサーバ間の通信（サーバ監視サービスなど）は「利用者の電気通信設備を送信先とする情報送信指令通信」ではない。

• いったん利用者の端末から送信された情報が、さらに転送される場合も、その転送自体は「利用者の電気通信設備を送信先とする情報送信指令通信」ではない。

またクラウド型のセキュリティサービスやロードバランサーは外部送信に該当しそうだが、施行規則で除外されている。

勘違い例②（対象になる送信情報はCookieに限らないこと）

対象になる送信情報は「利用者の電気通信設備に記録された当該利用者に関する情報」であるので、Cookieに限らず、広告IDのような同等の広告配信用の識別子だけでなく、閲覧履歴、電話番号帳内の電話番号などデータ全般が含まれる。
※ただし、これらの情報の送信が「電気通信役務の提供に真に必要＝それがないとサービスが成り立たない」ならば、通知・公表の対象ではない。

勘違い例③（「送信先」はサードパーティーに限らないこと）

また、GoogleAnalyticsなどを念頭にしていると説明すると、「ではサードパーティーへ送信させることはないので大丈夫ですね」と言われるが、「利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能」であるので、利用者以外＝ウェブサイト運営者自身のサーバも含まれる。

そのため、対象の情報を自身のサーバに送信させる場合も該当しそうだが、施行規則でセッション保持目的の情報は対象外にしている。

個人情報保護法と比較すると

当初個人情報保護法との二重規制であるという捉え方がされていたが、個人情報保護法と比較すると、以下のようにコンセプト的には異なるものと整理できる。

しかし、そうはいっても両者は非常に近接する領域であるし、求められていることも似ているため、その差異がややこしい。

両者の違いをややこしくしているもの

「個人関連情報」の存在

個人情報保護法には「個人関連情報」が存在する。
個人関連情報は、リクナビ内定辞退率事件を契機に導入された概念で、まさにCookie（やハッシュ化された個人データ）などを対象にしている。
そのため、「Cookie＝個人情報保護法で何かあったはず」というイメージを持っていると、両者の違いが混同されがちになる。

通知・公表事項の違い概略

個人情報保護法にしろ、外部送信規律にしろ、該当する場面で一定の事項を通知・公表する必要がある。しかし、内容と場面が異なる。
※両法ともオプトアウトによる方法があるが、ややこしくなるため割愛する。

個人情報保護法が対象にしている場面が広すぎるため単純な比較は困難だが、だいたいで比較すると以下のようになる。
外部送信規律では、「送信先の名称」が必要であるのが、個人情報保護法に基づく公表事項からは漏れがちな点になる。

通知公表内容の違い

外部送信規律は、「日本語を用い、専門用語を避け、及び平易な表現を用いること」を義務付けており、パブリックコメントにおいても、「送信先の利用目的等を示すリンク先が英語等日本語以外の場合については、リンクの表示のみで対応することは認められません」と、サードパーティが英文でしか情報を用意していない場面でも日本語での説明が必要であると回答している。
個人情報保護法はこの点、言語や明瞭性についての言及はない。

通知公表タイミングの違い

個人情報保護法は、利用目的の通知・公表は「個人情報を取得する場合」に必要であるので、いわば（最低限）「取得時ごと」に必要である。（あらかじめ公表する場合もあるが）

一方で、外部送信規律では、「情報送信指令通信ごとに」通知・公表が求められている。これについてガイドラインでは、「ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに記載する必要がある（情報送信指令通信が行われるたびに通知等する必要はなく、ウェブサイト単位で（ウェブページごとではない）まとめて表示すること等も考えられる。）。」となっている。

つまり、個人情報保護法は場面単位であるのに対し、外部送信規律はツール単位である。

両者の違いによって対応で困りそうなこと

公表事項をプライバシーポリシーで一体にするか、分けるか

公表対応を取る場合、外部送信規律は必要な情報を網羅していれば個人情報保護法対応のためのプライバシーポリシーと一体化することが認められている。

両者を一体にする場合、両者の違いを考えて書きすぎ、書き足りないの調整が必要になる可能性がある。

そのため記載事項の粒度、担当部署の違いなどの都合で、別にすること（１つのポリシー内で別セクションにする場合を含む）も考えられる。

「漏えい」の概念の違い

最後に、微妙な点とは思うが、外部送信規律の対象になる場合、通信の秘密も適用されるが、「個人データの漏えい」と「通信の秘密の漏えい」についても、実際にインシデントが起こった際の対応が混乱する可能性があるため触れておく。

個人情報保護法のガイドラインでは、以下のように説明している。

一方、外部送信規律自体ではなく、電気通信事業法全体論として、電気通信事業分野における個人情報保護ガイドラインでは、個人データの漏えいとの対比で、「電気通信事業法で規定する通信の秘密の「漏えい」は、他人の知り得る状態に置くことを意味し、考え方が異なることに注意が必要である。」

両者の違いとして、
・対象が「個人データ」であるか「通信の秘密」であるか。個人データはあくまでも個人情報であることが前提のため「特定の個人」に関するものであるが、通信の秘密は法人に関する情報も含まれるし、個人や法人の特定とは無関係の情報も対象になる。
・「第三者に閲覧されないうちに全てを回収した場合」は個人情報保護法では漏えいではないが、電気通信事業法では漏えいに該当する。
・外国政府の制度による取得は、個人情報保護法では「法令に基づく場合」や「国の機関等への協力」に該当して第三者提供になる可能性はあるが、電気通信事業法では漏えいに該当する。

なお「通信の秘密」とは、「通信内容にとどまらず、通信当事者の住所・氏名、発受信場所、 通信年月日等通信の構成要素及び通信回数等通信の存在の事実の有無を含む。※」としており、通信当事者の死亡後であっても保護の対象となる。
※ほかにも、電話番号等の当事者の識別符号、通信量やヘッダ情報等の構成要素も含まれる。
電気通信分野の個人情報保護ガイドラインでも以下のような図で説明している。

しかし、外部送信規律において、通信の秘密に該当しうるものが、果たしてどれだけあるか、起こりうるか、漏えいを引き起こした事業者は誰か、このあたりは、実際にインシデントが起こった際に悩ましいと思われる。