外部送信規律/Ghosteryで外部送信先を調査してみる
はじめに
周知のとおり、今年(2023年)6月16日に改正電気通信事業法が施行され、外部送信規律という制度が設けられました。
Cookieなどタグや情報収集モジュールを使って、利用者に関する情報を外部に送信する場合に、利用者が確認できるようにする規律です。
改正法は既に施行されていますが、外部送信規律が適用されそうなサービスを提供している企業のホームページを見るとまだ対応していない企業があったり、企業の方から「なんやそれ」と言われることがあったりします。
外部送信規律(前提)
外部送信規律について規定した電気通信事業法27条の12本文を抜粋します。
(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(……略……)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。
規制の対象となる行為は、「当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。……)を起動する指令を与える電気通信の送信」であり、
ビジュアルを整えると、
①利用者の電気通信設備に記録された当該利用者に関する情報を、
②利用者の端末から外部に送信する機能を起動させるコードやプログラム等の送信
となります。
①の典型例はCookieに保存されたIDや広告ID等の識別符号であり、②は通信の相手方となっている第三者のサーバだけでなく、その電気通信役務を提供するウェブサイトの運営者やアプリケーションの提供者のサーバも含まれます(電気通信事業における個人情報等の保護に関するガイドライン 解説(令和5年5月18日版)250頁参照。ただ、法27条の12第1号・電気通信事業法施行規則22条の2の30、法27条の12第2号で、一定の1st Party Cookie等が除外)。
「外部送信規律について ウェブサイトやアプリケーションを運営している皆様、御確認ください!」
外部送信先の調べ方
普通、法務部は、どのような外部送信がなされているのかを事業部や情報システム部に確認することになると思うのですが、Ghosteryというブラウザの拡張機能を使って調べる方法を紹介します。
Ghosteryとは
Ghostery は、2009年にプライバシー広告ブロッカーツールとして開発されたアプリケーションです。Google Analytics などのサイト分析、DoubleClick などの広告、などのトラッカーを検出してブロックすることが本来的用途のようです。トラッカーを自動的にブロックすることでサイトの読み込みの高速化にもつながります。
公式サイトでは、次のように説明されています。
Ghostery Tracker & Ad Blocker Extensionは、あらゆるブラウザとデバイスに対応しており、ウェブ閲覧中に広告をブロックし、トラッカーを停止し、広告を非表示にし、ポップアップを防止します。
Ghosteryはトラッカーを無力化し、トラッカーによる個人データの収集を防止します。Ghosteryのブラウザ拡張機能は、個人識別子を削除してランダムな値に置き換えるため、データ収集者はあなたの身元を知ることができません。
Chrome等の拡張機能としてインストールすれば、サイトの右上にGhosteryが表示され、使いやすいです。
見方
試しに、たまに私が服を買うときに利用するCAMBIOのホームページにアクセスしてみました。
右上のGhosteryのアイコンに、「17」と記載されています。
Ghosteryのアイコンをクリックし、「シンプル・ビュー」タブを選択して「信頼できるサイト」をクリックしてリロードすると、先ほどまでブロックされていたトラッカーも表示され、47個のトラッカーが設置されていることが確認できます(キャプチャ参照)。
タブを「詳細ビュー」にすると、トラッカーを確認することができます。今回検出されたトラッカーは以下のとおりです。
広 告:①AdGear
②AppNexus
③Bidswitch
④Bing Ads
⑤BlueKai
⑥Criteo
⑦DoubleClick
⑧Facebook Custom Audience
⑨Fluct
⑩Google
⑪~㉜ 長くなるので省略サイト分析:㉝Facebook Connect
㉞GA Audiences
㉟Google Analytics
㊱Line
㊲Pinterest Conversion Tracking
㊳Twitter Analytics
㊴Yahoo! Analytics必 需:㊵Google Tag Manager
C D N:㊶Bootstrap CDN
㊷CloudFrare
㊸Fastly
㊹Google APIs
㊺Google Staticソーシャルメディア:㊻Pinterest
㊼Twitter
上記のとおり、「広告」、「サイト分析」、「必需」、「CDN」、「ソーシャルメディア」と、タグの種類を属性別に表示します。
他社がサイトにどのようなタグを埋め込んでいるのかを調査するのにも便利だと思います。
対応が必要な点
1 公表等の必要のない通信を除く
ただ、電気通信事業法27条の12第1号及び2号に、適用対象外となる情報通信について規定されており(1号については、電気通信事業法施行規則22条の2の30に規定あり)、これらに該当する情報については公表等を行う義務がないので、公表する必要がない外部送信先の情報を除いて公表等を行うことが考えられます。
2 検知しきれない通信がある
次に、ピギーバックによる通信など、Ghosteryで調べるだけでは検知しきれない通信も存在します。
「ピギーバック」とは、サイトに埋め込まれたタグが呼び出されて発火した際に、他のタグを呼び出すことをいいます(輸送業界では、乗り物が別の乗り物を運ぶなどの意味で用いられますが、イメージは同じです。)。
ネット通販など国内で消費者向けサイトを運営する主要100社の5割が、具体的な提供先を明示せずに外部とユーザーの利用データを共有していたことがわかった。
……
調査では、より把握が難しい二次や三次の流通先へのデータの広がりもみられた。
「情報共有先、5割が明示せず 閲覧履歴など主要100社 本人知らぬ間に拡散」
ピギーバックによる通信は、Ghostery等のツールでは検知しきれず、公表等すべき外部通信先の情報が漏れてしまうことが難点といえます(なお、Priv Techが提供している「Trust360(電気通信事業法対応)」は、ピギーバックによる通信も検知できることが「ウリ」になっていますw)。
また、Ghosteryにそもそも登録されていない通信もあると思われ、全ての通信を網羅的に把握することには限界があるように感じています。
3 利用目的等の公表
外部送信先が分かったとしても、法律上は、(「当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他総務省令(*)で定める事項」)を公表等する必要があり(電気通信事業法27条の12)、利用目的に関しては、送信元・送信先それぞれの記載が求められるので、それぞれの利用目的を整理して、記載する必要があります。
* 電気通信事業法施行規則22条の2の29
ここも、自社でどこまで対応できるのかについて疑義があり、2の課題も併せて考えれば、自社にリソースがないor確実に法令対応したいのであれば外部に委託したほうが結局ラクチンかつ確実だと考えています。
この記事が気に入ったらサポートをしてみませんか?