本記事では、AI・DX推進企業が知っておくべき外部送信規律について解説いたします。
「外部送信規律」という言葉を初めて耳にした方も多いと思いますが、分かりやすくいうと、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。
この外部送信規律は、対象事業者が対応すべきことも多く、知らないままでは法令違反やビジネス機会の損失にもつながる可能性があるため、外部送信規律の概要を知っておくことが重要です。
本記事では、アイデミーでDXリテラシーコースの講師をご担当いただいた山下大介様に、外部送信規律の概要と、AIやDXとの関係性について、分かりやすく解説して頂きました。
山下大介 様
- 株式会社プライバシーテック代表取締役
- 一般社団法人LBMA Japan監事・共通ガイドライン主任編集委員
- 一般社団法人日本インタラクティブ広告協会(JIAA)タスクフォースメンバー
IT系スタートアップ企業で事業開発としてキャリアをスタート。通信キャリアでのビジネスコンサルタント業務などを経て、株式会社リクルートに転職。位置情報データ事業部門における、グロース責任者、データプライバシーオフィサー(DPO)を経て、全社のデータガバナンス部門で「プライバシーセンター」のプロデュース、従業員向けの教育啓発制度の開発を歴任。2022年1月に株式会社プライバシーテックを創業。データビジネスを推進する大手企業や上場審査を控えたスタートアップを対象に、データガバナンス構築、人材開発、ビジネス開発を手掛けている。
アイデミーで担当しているコース
コース名:「DXリテラシー:How (データ・技術の活用) 留意点」
「得られる知識」
- コンプライアンス … DX推進に不可欠な、法令やプライバシー観点での基本的な知識を学ぶ
- セキュリティ … 従業員個人としてできる具体的なセキュリティ対応を学ぶ
- モラル … 日常生活や業務において、Webやデータを取り扱う際の心構えを学ぶ
「受講対象者」
あらゆる種類のビジネスパーソン(マーケティング、研究、設計・開発、品質保証・調達、生産・製造、稼働監視、サービスサポート、経理、人事、総務、法務、など)
外部送信規律とは何でしょうか?
出典:山下 大介, 「外部送信規律 スピード対応マニュアル」, 2023年, 日経BP
外部送信規律とは、2023年6月16日に「改正電気通信事業法(以下、改正電通法といいます)」の施行に伴い、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。
Webサイトやアプリを通じてビジネスを展開する事業者は、さまざまな目的でユーザー(利用者)のパソコンやスマートフォンなどの端末から、利用者個人に関する情報を送信するプログラム(タグやSDKなど)を実装しています。送信先は、利用しているサービスだけでなく、事業者が運営する他のサービスや、業務委託先、第三者の事業者へ送信されているケースがあります。
このようなケースにおいて外部送信規律は、利用者に対して確認の機会を付与する義務を課すルールです。
確認機会の方法には、①通知、②利用者が容易に知り得る状態に置く(いわゆる公表)、③同意取得またはオプトアウト措置の提供があり、これらのいずれかを行う必要があります。
外部送信規律が注目されている理由は何でしょうか?
外部送信規律の対象事業者であれば、対応を行わないと、法令違反やレピュテーションリスクに加え、ビジネス機会の毀損にもつながるためです。具体的には、以下の3つの理由があります。
① 規律違反は事業者名の公表や200万円以下の罰金
規律に違反した事業者は、行政処分の対象となります。報告および検査への対応が求められ、違反している事実が確認された事業者に対しては、行政指導により改善が促され、改善が見られない場合は業務改善命令が発せられます。
業務改善命令に従わない場合には200万円以下の罰金が科され、氏名等が公表されることがあります。また、虚偽報告や立入検査拒否等は30万円以下の罰金が課される場合があります。
② レピュテーションや顧客離反のリスク
外部送信規律への対応不備や違反が見つかった場合、即時罰則の対象となるのものではありませんが、社名が公表され、メディアで報道されたり、SNSで取り上げられたりすることで、レピュテーションリスクにつながる可能性も想定しておく必要があります。
③ 3rd Partyにも影響あり!売上既存や顧客離反のリスク
なお、外部送信規律の施行により影響を受けるのは、Webサイト・アプリの提供事業者(1st Party)だけではありません。
タグやSDK(ソフトウエア開発キット)などのツールを提供する企業や、広告配信や分析基盤を提供する企業など、3rd Partyの提供事業者にとっても大きな影響があります。
出典:山下 大介, 「外部送信規律 スピード対応マニュアル」, 2023年, 日経BP
外部送信規律は、DXやAIとどのように関係してくるのでしょうか?
一言でいうと、外部送信規律の対象事業者が、「攻め」のDXやAI活用を行うにあたって、対応必須・あたりまえ水準の「守り」対応となります。
顧客や従業員のパーソナルデータ(法令上の個人情報や、Cookieや広告識別子や位置情報など、個人情報には該当しないが個人に関する情報)を活用した、DX推進やAI活用を標榜する際、「法的な手続きがしっかりと踏まれているか」が、前提条件のひとつとなってきます。
たとえば、パーソナルデータとAIを活用するサービスとして、マッチングサービスやコンシェルジュサービスなどが考えられます。また、これまでは各部門別に管理していたデータを統合して、データを横断的に活用していくという取り組みが加速していくことが想定されます。
また、世界的なプライバシー保護の潮流を踏まえ、2023年中にはGoogleが、利用者がChromeで閲覧しているWebサイト(1st Party)が提携する企業(3rd Party)へのCookieの送信を停止する措置を講じることを発表しています(AppleのSafariではすでに停止済み)。
この措置に伴い、従来の3rd Partyのデータに依存した広告配信の手法が使えなくなるため、ターゲティングの精度が低下していきます。
ターゲティングに用いるデータが不足することにより、たとえば、1人のユーザーを従来は300円で獲得できていたものが、1000円の獲得コストがかかる、などの影響が企業に出てきます。
そのため、3rd Party Cookieの代替として、企業が保有している1st Partyデータの重要性が高まってきます。一方で、1st Partyのデータを、いざ、広告配信に積極的に活用しようとなると、そもそも、適切な同意取得や公表ができているのか?といった問題が出てくるケースがほとんどです。
これらの対応にあたって、法令遵守に加え、プライバシーや知的財産権に対して、しっかりと配慮できているか、という観点や現状のチェックが求められてきます。
「外部送信規律」への対応を通して、自社のWebサイトやアプリが、どのようなデータを取得し、どこになんの目的で送信しているのか、を明確にすることができます。また、既存のプライバシーポリシーなどを再点検した上で、適切に利用者へ提示する必要があるため、網羅性や導線を見直すきっかけにもなります。
7月末に出版される外部送信規律の書籍について
出典:山下 大介, 「外部送信規律 スピード対応マニュアル」, 2023年, 日経BP
本書では、「外部送信規律はどのようなWebサイト・アプリが対象なのか」「もし対象になれば、具体的に何をすればいいのか」をまとめています。
外部送信規律の対応自体はすごくシンプルで、一度やってしまえば、こんなものか!と思えるものではありますが、法務担当ではないWebサイトやアプリ運営者からすると、とてもわかりづらい部分があります。
このような点に対して、できる限りわかりやすく、具体的に、図表やイラストを多用して説明を行っています。記載例や送信先ごとの記載例も紙面の許す限り、掲載しています。
また、外部送信規律の背景にあるのは、「データプライバシー問題」です。あまり語られていませんが、企業のデータ利活用にまつわる“炎上”は、実は法律違反でないことが多いのです。言い換えれば、法令順守だけでは炎上を防げない。それを嫌がる企業は「データ利活用をしない」との議論もされているようですが、そのような姿勢では、世界から後れを取るのは明らかです。
そのため、企業としてデータプライバシー問題に向き合うために、どのようなガバナンスを構築していけばよいのか、後半で多くのページを割いて、解説を行っています。
さらに、アイデミーさんの講義を制作する過程で、皆さんのフィォードバックを得ながらアップデートを行った、個人情報保護法の基礎的な知識についても、網羅しています。(Amazonでのご購入はこちら)
まとめ
本記事では、2023年6月に施行された「改正電気通信事業法 」における外部送信規律の概要について山下様に解説して頂きました。
幅広い事業者が外部送信規律の対象者となるため、該当する場合は、この機会にしっかりと規制のポイントをおさえ、早めに対応を進めていきましょう。
山下様が執筆された「外部送信規律 スピード対応マニュアル」はこちらから(Amazon)