【I&S インサイト】クッキー規制の導入!?(2)
〜改正電気通信事業法(案)の概要及び求められる今後の対応〜

執筆者:今村 敏

1 はじめに

2 電気通信事業法

3 改正案

4 若干の考察

5 今後の対応

 

1 はじめに

令和4(2022)年4月1日個人情報保護法の改正が施行されました。当該施行の対応として、大多数の事業者が、プライバシーポリシーや安全管理措置等の見直し等の検討・対応に追われたのではないかと思われます(実際、当職もかなり多くのご相談をいただき、その対応のアドバイスをさせていただきました。また、4月1日以降においても引き続きご依頼をいただいており、まだ未対応である場合には可及的速やかな対応が求められていると考えます。)。そのような中、令和4(2022)年3月4日、電気通信事業法の一部を改正する法律案(以下「改正案」といいます。)が閣議決定され、国会に提出されました1

改正案は各社のプライバシーポリシーの規定や安全管理措置の体制に影響を及ぼすのみならず、企業としてのプライバシーガバナンスのあり方2にも踏み込むものであり、プライバシー保護強化の世界的な潮流を受けたものであると考えられます。

 

そこで、本稿では、前提として、現行の電気通信事業法における利用者情報保護に関する枠組みを簡単に確認3し、その上で、改正案における利用者情報保護に係る部分を解説します。

 

2 電気通信事業法

.1 概要

電気通信事業法(昭和59年法律第86号。以下「法」といいます。)は、「電気通信事業の公共性にかんがみ、その運営を適正かつ合理的なものとするとともに、その公正な競争を促進することにより、電気通信役務の円滑な提供を確保するとともにその利用者の利益を保護し、もつて電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進することを目的」(法第1条)としています。すなわち、①公正競争の促進、②電気通信役務の円滑な提供確保、③利用者利益の保護を主な内容としています。そして、誰もが安心して利用できる環境実現のために、検閲の禁止・通信の秘密の確保が規律(法第3条、第4条)されています。当該規定は憲法21条第2項の規定を受けたものです4

現行法では、通信の秘密総則的な上記規定に加えて、重大事故・漏えい時の報告(法28条)、業務改善命令(法29条第1項第1号)、罰則(法179条)などよる規定によって保護が図られています。

 

.2 電気通信事業者

法の対象は「電気通信事業者」(法第2条第5号)になります。そして、電気通信事業者は、「電気通信事業を営む者」であって、「登録」または「届出」という形式的な行為を実施した事業者が対象となっています。これらの行為の要否については、「電気通信事業を営む」(「電気通信事業を営もう」)に該当するか否かが一つのメルクマールとなっています。

 

※ 「「電気通信事業」参入マニュアル(追補版)ガイドブック」より抜粋

 

電気通信事業を営むものとして、代表的なものは「他人の通信を媒介」する事業が該当します。例えば、固定電話・携帯電話、メール・DMなどのメッセージ(付随的なサービスとして提供されているものも含まれます。)などです。

ただし、164条第1項規定の電気通信事業については、この法律の規定は適用されないとして適用除外の規定が定められているところです5

よく問題となるのは第3号の規定に該当する事業者です。例えば、SNS(メッセージ機能除く。)、オンライン検索サービス、オンラインショッピングモール、各種情報のオンライン提供などがこれらに該当します6

 

※ 「「電気通信事業」参入マニュアル(追補版)ガイドブック」より抜粋

 

 

.3 通信の秘密の保護

法は、憲法第21条第2項の規定を受けて、電気通信事業者の取扱中にかかる通信の秘密の保護を規定しています。そして、「同規定は、我が国憲法の特長を踏まえて、同第21条第2項後段の要請を担保するために法律レベルで具体化したものであると考えることができる。つまり、同法の通信の秘密の保護規定は、これによって電気通信事業者を含めて何人からも通信がみだりに侵害されないよう利用者の通信を保護し、もって利用者が安心して通信を利用できるようにすることで、表現の自由や知る権利を保障するとともに、電気通信ネットワークや通信制度そのものへの利用者の信頼を確保し、多様なサービスやビジネスの実現による電気通信の健全な発展と国民の利便の確保を図ることが、その意義であると考えられる。」7とされています。そして、「こうした趣旨に鑑み、「通信の秘密」の範囲には、個別の通信に係る通信内容のほか、個別の通信に係る通信の日時、場所、通信当事者の氏名、住所・居所、電話番号などの当事者の識別符号、通信回数等これらの事項を知られることによって通信の意味内容を推知されるような事項全てが含まれると従来から整理がなされている。」8とされています。

なお、通信の秘密は、個人情報のように情報そのものの保護の側面と、通信制度という仕組みに対する保護の側面の両面から把握する必要がある点が、その特徴といえます。

 

※ 改正案の解説の前に

後述の改正案は、ざっくりと理解すると、上記現行法の規律に対して、「電気通信事業者」との関連で、①現行の電気通信事業者の一部(影響力の大きな大規模事業者)に対する規制強化(明確化)、②現行の電気通信事業者の対象範囲の変更(大規模SNS事業者、検索事業者の追加)、また「通信の秘密」の保護との関連で、③新たに情報規制(「特定利用者情報」の保護)を追加、④外部送信指令通信に係る規制を追加、するものと捉えることができると思われます。その視点で、総務省の各種公表資料を見直すとよりよりスムーズに理解できるかもしれません。

 

3 改正案

.1 改正案の概要

改正案は、「電気通信事業を取り巻く環境変化を踏まえ、電気通信サービスの円滑な提供及びその利用者の利益の保護を図る」ことを目的とするもので、以下の3つの柱で構成されています。

 

 ① 情報通信インフラの提供確保

 ② 安心・安全で信頼できる通信サービス・ネットワークの確保

 ③ 電気通信市場をめぐる動向に応じた公正な競走環境の整備

 

利用者情報の保護の文脈は、主に②に関するものです。その立法事実としては、「情報通信技術を活用したサービスの多様化やグローバル化に伴い、情報の漏洩・不適正な取扱い等のリスクが高まる中、事業者が保有するデータの適正な取扱いが一層必要不可欠となっている」とされ、その注釈として「国外の委託先から日本の利用者に係るデータにアクセス可能であった事案などが挙げられる」とされています。

これは皆様の記憶にもある事案かと思いますが、メッセージアプリ等を提供する電気通信事業者の利用者情報の取扱いに関して、社内システムに関する安全管理措置等や利用者に対する説明に関して一部不十分なところがあったとして、総務省が令和3(2021)年4月26日に指導した事案9が念頭に置かれているものと思われます10

 

そして、改正案は、上記の問題に対する対応として、

  • 大規模な事業者が取得する利用者情報について適正な取扱いを義務付ける(利用者情報の適正な取扱い:後述3.3
  • 事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与する(利用者情報の外部送信:後述3.4)

ことを主な内容として規律の概要の方向性が示されています11

 

なお、「通信の秘密」は、対象となる「通信」において流れている「情報」を区別することなく、すべからく「秘密」として保護対象とするものです。そのため、サイバー攻撃に係る通信、他人を誹謗中傷するコメントの通信及び海賊版サイトにアクセスする通信ですら基本的には保護対象となり得るためこれまで議論になってきたところです。このように法は、「通信の秘密」の規律の中で、すなわち「通信」を「秘密」として保護する中で、これまでも、事実上利用者情報の保護を実現していました(安全管理措置や利用者に対する説明に関する明確な規定は法に存在しませんが、安全管理措置が不十分であるとしてこれまでも指導等は実務的に運用されていて、改正の契機となった前述の事案でも「社内システムに関する安全管理措置」や「利用者に対する説明」が問題とされています。)。

 

改正案は、「特定利用者情報」として明確に保護する対象情報の定義を新たに設けています。すなわち「特定利用者情報」(改正案第27条の5)とは、電気通信事業者が取得する利用者に関する情報であって、①通信の秘密に該当する情報、②利用者(ただし、改正案第2条7号イに掲げる者に限る。)を識別することができる情報であって総務省令で定めるものをいうとされています12

当該概念は、当初「通信関連プライバシー」や「電気通信役務利用者情報」として議論がなされていたものが、現在の形になったものです。なお、特定利用者情報は、利用者の定義において、改正案第2条第7号イに限定することで契約者情報(または登録者情報)に限定がかかっています。改正法は、利用者情報の中でも「特定利用者情報」に限定して後述のとおり追加の規律を検討し、また、従前より存在した漏洩報告の対象として「特定利用者情報」を追加しています(改正案28条)。

 

.2 利用者に関する情報の適正な取扱いに係る制度整備

改正案は、利用者情報保護に関して、「大量の情報を取得・管理等する電気通信事業者を中心に、諸外国における規制等との整合を図りつつ、利用者に関する情報の適正な取扱いを促進するための新たな規律を整備」13することとしています。

 

具体的には、

  • 利用者情報の適正な取扱いに関しては、①利用者の利益に及ぼす影響が大きい電気通信事業者に対して新たな規律を加えること、②これまで電気通信事業法の適用対象外であった、検索サービスまたはSNSを提供する事業についても大規模なものを規律の対象とすること、を主な内容とする。①②の対象事業者は、利用者の利益に及ぼす影響が大きい大規模な電気通信事業者(議論の過程では、例えば国内総人口の約1割程度の1000万人以上という目安が示唆)である。
  • 利用者情報の外部送信に関しては、電気通信事業者に対する義務として利用者の確認の機会を付与すること、を内容とするものです。対象事業者は、前述のような大規模電気通信事業者に限られず、電気通信事業を営む者として特定されており、登録・届出を実施した電気通信事業者には限られない(もっとも「内容、利用者の範囲および利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る」とされている。)。

 

 ※ 電気通信事業法の一部を改正する法律案の概要(電気通信事業ガバナンス検討会資料18-2抜粋)

 

 

.3 利用者情報の適正な取扱い等

..1 利用者情報の適正な取扱い

利用者情報の適正な取扱いとして、①取扱規定の作成・届出(改正案27条の6)、②取扱方針の策定・公表(改正案27条の8)、③自己評価・反映(改正案27条の9)、④統括責任者の選任・届出(改正案27条の1011などを内容としています。

これまでもプライバシーポリシーを策定・公表している事業者は数多く存在するところ、②は取得する利用者情報、利用の目的、安全管理の方法、営業所の連絡先等の記載を内容として求めるものであって、基本的にはプライバシーポリシーでの対応の延長になるのではないかと思われます。もっとも、今回の改正案では新たに①取扱規定の策定・届出も内容とするものです。①では、安全管理、委託先の監督、取扱方針、自己評価に関する事項等を記載とされており、①と②の関係にも関わるものですが、どこまで具体的な内容を届け出る必要があるのか、これまでは内部的な規程として存在したようなものまで届出の対象となるのか等は引き続き継続的に議論される点かと思います。そして、①については、内容が不十分であれば「変更命令」(改正案27条の7第1項)が出せることになっており、また、届出内容が遵守されていないとすると、当該届出内容のとおりに遵守せよとのことで「遵守命令」(改正案27条の7第2項)も出せる内容となっており、これまで以上に総務省の監督が及び得る内容と思われます。

③は、事業者に対してはPDCAサイクルを回して、継続的な改善を求めるものです。技術の発展が著しい電気通信分野においては、法改正のみでは利用者情報保護に関して迅速な対応を実現することが困難であるため、一時的には、事業者側での自己評価・改善に期待しているものと思われます。加えて、④は利用者情報の取扱いに関して、統括責任者の選任・届出を内容とするものです。これは、GDPRにおけるデータ保護責任者(DPOData Protection Officer)も念頭に置いた規律であると思われます。また、法は現行法でも「電気通信設備統括管理者」(第44条の3)として、設備についての管理者の選任・届出が求められていました。改正案の利用者情報についての統括責任者も枠組みとしては類似の規律を想定しているものではないかと思われます。

上記規定は、利用者情報に関する安全管理措置や利用者に対する説明に係るものと思われます。今後の執行がどの程度積極的になされることになるのかにもよりますが、情報の安全管理措置や利用者に対する説明の点に関して、総務省が執行(業務改善命令等)できる根拠がこれまで以上に明確化されたと評価できると思います。

 

..2 大規模な検索サービスまたはSNSを提供する事業者

前述のとおり、法は、「電気通信設備を用いて他人の通信を媒介する電気通信役務以外の電気通信役務を電気通信回線設備を設置することなく提供する電気通信事業」(164条第1項第3号)を適用除外としていました。立法当時当該規定で想定されていたのは、具体的には、計算センター等がデータ通信サービス(いわゆるオンラインデータ処理サービス)を提供する事業があげられるところ、適用除外とされる理由については、基本的に事業者と利用者との1対1の関係でサービスが行われるため、利用者は、そのサービスに不満があれば容易に他のサービスに移れるし、自分のコンピュータで処理することも可能であるという特徴を有することから、他の一般の通信を媒介するサービスのようなネットワーク拘束性がないとされていました(逐条解説電気通信事業法(昭和62年))。もっとも、当時の規制趣旨が現在もそのまま妥当するのかという点は疑問があるところ、今回の改正により、大規模なオンライン検索サイトおよびSNS事業者というのは当時の想定よりもはるかに利用者への影響力が大きく、ネットワーク拘束性がないという当時考えられていた理由も妥当しないと思われるため今回の改正事項として含まれるに至ったものと思われます。

 

具体的な対象事業者については、「検索情報電気通信役務」(改正案第164条第1項第3号ロ)または「媒介相当電気通信役務」(改正案第164条第1項第3号ハ)を提供する事業者として規定されますが、これらは、検索サービスおよびSNSサービスが念頭に置かれています。そして、法の対象はこれらの電気通信役務を提供するものであって、「その内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務」(改正案第164条第2項第4号、第5号)とされています。当該総務省令の定めが今後どのように規定されるのかについては引き続きウォッチする必要があります。

 

.4 利用者情報の外部送信

※「利用者に関する情報の外部送信の際の措置について」(2022316日)(抜粋)

 

 

ガバナンス検討会の報告書では「電気通信事業を営む者についても、利用者に対し電気通信役務を提供する際に、利用者の電気通信設備に記録された当該利用者に関する情報を利用者以外の者に外部送信を指令するための通信を行おうとするときは、原則として通知・公表を行い、もしくは利用者の同意を取得あるいはオプトアウト措置を提供することにより、利用者に対して確認の機会を与えることが確保できるようにすること等も考えられる。なお、この際、個人情報保護法における規律との整合性を考慮するとともに、関係業界団体における自主的取組についても尊重し、変革期にある業界の実態を踏まえた柔軟な措置を可能とすることが重要である。」として記載があるところ、当該記載を具体化する規律として「情報送信指令通信に係る通知等」(改正案第27条の12)が定められています。なお、ここで保護対象となり得る情報は前述の「特定利用者情報」に必ずしも限定されていない点に注意が必要です。

事前に通知等すべき事項としては、「当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項」とされています。

 

当該規定は、クッキー規制とも言われる個人情報保護法における「個人関連情報」に係る規律とも類似しているようにも思われますが、その対象が情報ではなく、「指令通信」そのものを対象とし、法人情報も含まれ得る点などが総務省ならではの特徴かと思います。

当該規定は主に3rdパーティクッキーなどが想定されていると思われます。具体的には、電気通信事業を営む者(webサイト運営者、アプリケーション提供者等)が利用者に対して電気通信役務を提供する際に、webサイトに設置されたタグ等を送信する、アプリケーションを起動する等の電気通信を行うことにより、利用者の意思によらずに、その利用者の端末設備に記録された利用者に関する情報(webページの閲覧履歴、入力履歴、システム仕様、システムログ等)を外部の第三者等に送信する状況が生じている。そして、利用者が安心して利用できる電気通信役務の提供を通じ、電気通信役務の信頼性を確保する観点から、電気通信事業を営む者がこのような電気通信を行おうとする際に、利用者に確認の機会を適切な方法で与える規律が必要であるとして設けられた規定になります。

 

もっとも、当該規定については、①利用者が当該電気通信役務を利用する際に送信することが必要な情報(例:OS情報、画面設定、言語設定に関する情報など)や、②電気通信事業者又は第3号事業を営む者が当該利用者に対して送信した識別符号(例:1stパーティクッキーなど)は当該措置が不要であるとして例外規定により除外されている点に留意が必要です。

 

4 若干の考察

「通信関連プライバシー」として、端末情報の保護を議論する際に当初、意識していたことは総務省が「通信の秘密」の保護を長年やっていることとも密接に絡みますが、安心・安全な通信インフラに対する利用者の信頼保護の観点の部分が色濃くありました。すなわち、「通信の秘密の保護規定は、これによって電気通信事業者を含めて何人からも通信がみだりに侵害されないよう利用者の通信を保護し、もって利用者が安心して通信を利用できるようにすることで、表現の自由や知る権利を保障するとともに、電気通信ネットワークや通信制度そのものへの利用者の信頼を確保し、多様なサービスやビジネスの実現による電気通信の健全な発展と国民の利便の確保を図ること14をその意義としていました。

電気通信事業法は通信の秘密の保護に関して法律上「電気通信事業者の取扱中」に係るものに限定されています。これは、発信者や受信者は、電気通信事業者の管理支配下に情報を預けることで自らのコントロールが及ばないことも一つ考慮されており、だからこそ法で保護すべきであると考えられていることにあります。電気通信事業法が当初対象としていた電話等のシンプルな通信回線サービスの場合は、まさに回線部分を基本的に「電気通信事業者の取扱中」として保護すれば問題がなかったといえますが、現在の通信インフラ、スマートフォン等においては「電気通信事業者の管理支配下」の境界が非常に曖昧になっているところです。すなわち、現在のクッキー等の情報の一部は我々が端末上でコントロールできるということにはなっていますが、WEB上でさまざまなサービスを提供する事業者は我々が必ずしも認識していないレベルで端末識別情報を取得・活用しています。

これらの情報は従来想定していた「通信の秘密」そのものではないがやはり通信インフラに対する利用者の信頼保護の観点からは何らか保護が必要ではないか。そのような問題意識から「通信関連プライバシー」としての端末上の利用者情報の保護の議論はあったと考えることもできます。

そうすると、情報そのものの保護というよりは、通信インフラとしての信頼から由来する保護であるため、個人情報保護法で議論された「個人関連情報」の議論とは法で保護しようとしている趣旨及び議論の出発点が根本的に異なるとも思われます。

なお、よく比較で出される欧州のGDPReプライバシー規則(案)についていうと、GDPRでは、端末情報そのもののも個人データとして保護されていますが、加えて「GDPRは全ての個人データ(all personal data)を保護対象とし、個人データの権利(the right to personal data)を規定するのに対して、 e プライバシー規則()の保護対象は個人データか否かを問わず、通信と端末機器の情報(electronic communications and the integrity of the information on one’s device)であり、通信の秘密とプライバシーの権利(right to the privacy and confidentiality of communication)を規定しようとするもの15であって、欧州ではすでに「通信」のみならず「端末機器の情報」の保護に関しても規制方向での議論がなされているところです。

 

5 今後の対応

日本法における「個人情報」に該当する・しないに限らず、端末情報を含む利用者情報の保護に関する議論については、世界的には特に広告マーケット等を中心に利用者保護を強化する方向で動いており、日本も世界的な潮流に乗って強化方向で何らか規制が今後も導入されることは必須といえます。今回の電気通信事業法の改正もその一つとして位置づけられるものといえます。

利用者情報の保護について、本人との関係では、透明性を高め、①本人に適切な情報を開示すること、また②本人が適切に自己の情報をコントロールできるよう機能等を提供することを大きな方向性として強化されることは予想されるところです(この他に業法的な規定も考えられるところです。)。このため、令和2年改正個人情報保護法の内容や、今後電気通信事業法の改正内容を留意しつつも、法律の要求事項となるか否か関わらず利用者目線で①②の実装を検討し、ユーザフレンドリーな形で利用者情報の活用を考えることが結局リッチな情報を集めることにつながるとも思われます。

 

以上


  1. 内閣法制局「法律ができるまで
  2. 経産省・総務省「DX時代における企業のプライバシーガバナンスモデルガイドブックver1.
  3. 当職は、総務省在任中に電気通信事業法の利用者保護の解釈・執行等を担当しており内部解釈に精通しておりますが、本稿における解釈等は個人的見解も含むものである点ご留意ください。
  4. 通信事業者は古くは国営事業であったため憲法上の規定が直接及んでいた時代もありましたが、現在は、電気通信事業者は民間事業者によって営まれています。そのため、憲法の規定を受け、国が電気通信事業法を定めることで検閲の禁止・通信の秘密の保護は図られていると考えられています。
  5. 大規模なSNSやオンライン検索サービスについては、改正案によって「電気通信事業を営む者」としての届出が必要な類型として規律(改正案第164条第1項第3号)されます。また、これまで適用除外とされてきた第3号事業者に対しても、報告徴収及び検査が可能となります(改正案第166条)。
  6. 総務省「電気通信事業参入マニュアル(追補版)
  7. 総務省「プラットフォームサービスに関する研究会 中間報告書」(2019年4月)
  8. 同上
  9. 総務省「社内システムに関する安全管理措置等及び利用者への適切な説明について(指導)
  10. 拙稿「越境する個人データの保護と説明責任―LINEの個人情報保護問題―」(現代消費者法No.52)
  11. 電気通信事業法の一部を改正する法律案(概要)
  12. なお、法は「利用者(電気通信役務お提供を受けようとする者を含み、電気通信事業者である者を除く」(法第26条)として部分的に規定を置いていましたが、「利用者」についても、今回定義規定に新たに定義を置く形(第条第7号)になります。
  13. 総務省電気通信事業ガバナンス検討会資料18-2「電気通信事業の一部を改正する法律案の概要」
  14. プラットフォームサービスに関する研究会 中間報告書(2019年4月)
  15. 同上

詳細情報

執筆者
  • 今村 敏
取り扱い分野

Back to Insight Archive