「うちのホームページ、アクセス解析と広告のタグは入れているんですが、最近『外部送信規律』というのを知って。プライバシーポリシーに何か書かないといけないんでしょうか。というか、うちは対象なんでしょうか」——先日、コーポレートサイトを運営する中小企業の担当者から受けた相談です。
Googleアナリティクスのタグ、広告の計測タグ、SNSのシェアボタン、埋め込み地図——コーポレートサイトに当たり前のように入っているこれらは、実は利用者の情報を外部の事業者のサーバーへ送信しています。2023年6月に施行された改正電気通信事業法の「外部送信規律」により、事業者はこの外部送信について利用者に知らせる義務を負いました。ところが、自社サイトが対応済みかどうかを把握している中小企業はごくわずかです。本記事では、何が求められ、コーポレートサイトで何をすればよいのかを、発注者にも分かる粒度で整理します。
「Cookieの同意」と「外部送信規律」は別物
まず、混同されがちな二つを切り分けます。ニュースでよく聞く「Cookie規制」には、性格の違う二つの話が混ざっています。
一つはEUのGDPRやePrivacyに代表される、事前同意型のCookie規制。欧州向けにサービスを提供する場合などに関わりますが、日本国内向けのコーポレートサイトに、EU型の事前同意バナーが一律に義務づけられているわけではありません。
もう一つが、日本の改正電気通信事業法の「外部送信規律」です。こちらは「同意を取れ」という規律ではなく、利用者の情報を外部に送信するとき、その事実を利用者に分かるようにしなさいという規律です。つまり日本のコーポレートサイトでまず向き合うべきは、EU型の同意バナーではなく、こちらの「外部送信の見える化」です。ここを取り違えて「とりあえず同意バナーを付ければいい」と考えると、肝心の開示が抜けます。
外部送信規律で、コーポレートサイトが求められること
外部送信規律が対象とするのは、利用者の端末に記録された情報(Cookieなど)を外部の事業者へ送信させる行為です。アクセス解析、広告配信、SNS連携、埋め込みコンテンツなど、多くのサイトが該当します。求められる対応は、大きく次のいずれかです。
通知または公表が基本です。どの情報が・どの事業者に・どんな目的で送信されるのかを、利用者が確認できる形で示します。実務上は、プライバシーポリシーや専用ページに「外部送信に関する公表事項」を整理して掲載し、フッターなどからたどれるようにするのが一般的です。GoogleアナリティクスやGTMを入れているなら、それが何を送っているかを棚卸しする必要があります(タグ管理の全体像はGTM入門の記事、解析の基礎はGA4入門の記事を参照)。
このほか、利用者が送信を拒めるオプトアウトの手段や、明示的な同意取得という選択肢もあり、扱う情報や事業の性質によって適切な組み合わせが変わります。中小企業のコーポレートサイトでは、まず「何を送っているかを洗い出し、公表事項を整える」ところから入るのが現実的です。
| 論点 | よくある誤解 | 実際に必要なこと |
|---|---|---|
| Cookie同意バナー | 付ければ法対応は完了 | 外部送信の「公表」が別途必要 |
| 対象サイト | 大企業やECだけ | 解析・広告タグがあれば中小でも対象 |
| 対応の中身 | プライバシーポリシー据え置き | 送信先・目的の棚卸しと明示 |
タグの棚卸しなしに、正しい開示はできない
対応で最もつまずくのが、「自社サイトが実際に何を外部送信しているか」を誰も把握していない点です。制作会社に任せて数年、担当者が代わり、いつの間にか複数の解析・広告・チャットツールのタグが積み重なっている——中小企業のコーポレートサイトでは珍しくありません。
正しい開示には、まずタグの棚卸しが要ります。GTM(タグマネージャー)にまとめられていれば管理は楽ですが、HTMLに直書きされたタグが残っていることも多く、ブラウザの開発者ツールで実際の送信先を確認する作業が欠かせません。棚卸しの結果を踏まえて公表事項を作り、不要なタグは外す。この地道な確認を飛ばして「ひな形のプライバシーポリシー」を貼るだけでは、書いてある内容と実際の送信がずれ、かえってリスクになります。
事例: 古いタグを棚卸しして「実態に合う公表」に直した会社
具体例を挙げます。数年前に制作したコーポレートサイトをそのまま運用していた会社(社名は伏せます)から、「外部送信規律への対応をしたいが、何から手を付ければいいか分からない」と相談を受けました。調べると、現在は使っていない旧解析ツールのタグ、担当者が個人的に入れたヒートマップツール、SNSの埋め込みなどが混在しており、プライバシーポリシーの記載とは食い違っていました。
そこでまず、実際に送信されているタグをすべて洗い出し、使っていないものを撤去。残したツールについて「どの情報を・どの事業者に・何の目的で送るか」を整理し、外部送信に関する公表ページを新設してフッターから常時たどれるようにしました。あわせて、今後タグを追加するときの申請ルールを一枚にまとめ、再び野放図に増えないようにしました。効いたのは、法律の条文を読み込むことよりも、「実際に何を送っているか」を先に可視化し、実態と表示を一致させたことでした。
いきなり同意バナーを付けず、「棚卸しと公表」から
順番の注意です。「Cookie対応」と聞くと、まず同意バナーを設置したくなりますが、日本のコーポレートサイトで先にやるべきは外部送信しているタグの棚卸しと、公表事項の整備です。ここが整わないまま同意バナーだけ足しても、開示すべき中身が空のままになります。まずタグを洗い出し、不要なものを外し、公表ページを用意する。EU向けの事業や、より厳格な運用が必要な場合に、同意取得の仕組みを検討する——この順番が、費用対効果でも実効性でも理にかなっています。なお、法的な最終判断は必要に応じて専門家(弁護士等)に確認することを前提に、制作・運用側は「実態の可視化と表示」を担うのが適切です。
自社サイトが外部送信規律の対象か分からない、古いタグが整理できていない、プライバシーポリシーが実態と合っているか不安——そうしたお悩みがあれば、グリームハブのWeb制作・保守の無料相談からお気軽にご相談ください。タグの棚卸しから、公表事項の整備、不要タグの撤去、追加時のルール化まで、実態に合った対応をご一緒します。