「5.情報送信指令通信によって送信されている情報が、外部送信規制の適用除外となる対象情報に当たるか。」について検討する。
情報送信指令通信を行っていても、送信されている情報が次のいずれかである場合は外部送信規制は適用されない。
①サービス提供にあたって必要な情報
②サービス提供者が利用者に送信した識別符号
③利用者の同意を取得している情報
④一定事項を利用者の容易に知り得る状態に置いた上で、オプトアウト措置を講じていて、利用者がオプトアウト措置の適用を求めていない情報
1 サービス提供にあたって必要な情報
【具体例】
・OS情報、画面設定情報、言語設定情報、ブラウザ情報等、電気通信役務の提供のために真に必要な情報
・入力した情報の保持等に必要な情報(たとえば、利用者がオンラインショッピングモールにアクセスして特定の品物を買い物かごに入れた後、時間を置いて再度アクセスした際に、当該品物を買い物かごに入った状態で再表示するために必要な情報)
・ユーザー認証に必要な情報
・セキュリティ対策に必要な情報
・ネットワーク管理に必要な情報(たとえば、オンラインゲーム等、利用者が多く多数のアクセスが集中する電気通信役務を提供するときは、特定のサーバ等に過剰な負担がかかることを防ぐため、負荷分散(ロードバランシング)等の措置に必要な情報)
【実務】
◆電気通信役務を提供する事業者に送信される情報は、基本的には当該電気通信役務の提供に必要なものであると考えられるため、原則として「真に必要な情報」に当たると考えられる。ただし、利用者が当該電気通信役務を利用する際に必ずしも必要がなく、一般の利用者から見て送信されることが通常想定できない情報や、通常想定できない利用目的で利用される情報については、「真に必要な情報」には該当しないと考えられる。(総務省「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」2022年12月23日P15)
◆電気通信役務を提供する事業者以外に送信される情報については、必ずしも当該電気通信役務の提供のために必要とは考えられないため、原則として「真に必要な情報」には該当しないと考えられる。ただし、利用者が利用を希望している電気通信役務を提供するに当たり、送信することが必要不可欠な情報については、この限りではない。(総務省「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」2022年12月23日P15)
2 サービス提供者が利用者に送信した識別符号
電気通信事業者は、その利用者に対し電気通信役務を提供する際に、当該利用者を識別するために、文字列で構成された識別符号(First Party Cookie に保存されたID等)を当該利用者に送信して、これを当該利用者の電気通信設備(端末設備)に記録させることがある。
当該識別符号は当該電気通信事業者が生成するものであり、当該電気通信事業者が当該識別符号を当該利用者から当該電気通信事業者自身に送信させてこれを取得しても、当該利用者に自らが付した識別符号を回収しているに過ぎず、その使途も ID・パスワードの入力の省略等と限定的であることが想定される。
この点に鑑みると、当該識別符号の送信については、利用者の判断を経る必要性が低いため、送信される情報の内容等を当該利用者に通知等を行うことを要しないものである。
(総務省「外部送信規律に係る電気通信事業における個人情報保護に関するガイドラインの解説案」2022年12月23日P16-17)
【具体例】
・First Party Cookieに保存されたID
3 利用者の同意を取得している情報
情報送信指令通信により送信することについて利用者から適切な方法で同意を取得している情報である。
4 一定事項を利用者の容易に知り得る状態に置いた上で、オプトアウト措置を講じていて、利用者がオプトアウト措置の適用を求めていない情報
オプトアウト措置とは、利用者に対して情報の送信または利用を停止する措置を講ずることをいう。
「一定事項」の内容は次のとおりである。
(1) オプトアウト措置を講じているという事実
(2) オプトアウト措置が情報の送信と利用のどちらを停止するものか
(3) オプトアウト措置の申込みを受け付ける方法
(4) オプトアウト措置を適用した場合、サービス利用が制限がされる場合は、その内容
(5) 送信されることとなる利用者に関する情報の内容
(6) (5)の情報を取り扱うこととなる者の氏名又は名称
(7) (5)の情報の利用目的
