今回は、電気通信事業法ということで、特定利用者情報の適正な取扱いに係る規律(特定利用者情報規律)について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
特定利用者情報規律とは
特定利用者情報規律とは、簡単にいうと、膨大な利用者を抱える巨大サービス事業者に対して、利用者のデータ(特定利用者情報)の適正な管理と透明性の確保(ガバナンス体制の構築)を義務付ける制度です。
令和4年(2022年)の改正電気通信事業法で新設されました(施行は令和5年6月16日)(法27条の5〜11)。
特定利用者情報の適正な取扱いに係る規律|総務省HP
SNSや検索エンジン、メッセージアプリなど、私たちが毎日使う巨大サービスには、膨大なパーソナルデータが蓄積されています。この規律は、そうした巨大IT企業や通信キャリアに対して、データの適正な取扱いとガバナンス(社内管理体制)を義務付けるという、現代のデジタル社会において重要な制度になっています。
すべての事業者ではなく、利用者の利益に及ぼす影響が大きい(利用者数が数千万人規模の)指定電気通信事業者にターゲットを絞り、社内ルールの届出や外国サーバーの利用状況の公表などを課すことで、巨大プラットフォーム等のデータ管理を監視・透明化するための措置を講じています。
どのような企業が対象で、具体的に何をしなければならないのかを、詳しく見ていきましょう。
対象は巨大サービス限定:「指定電気通信事業者」
この規律は、すべてのアプリやウェブサイトに適用されるわけではありません。
内容・利用者の範囲・利用状況を勘案して利用者の利益に及ぼす影響が大きいサービスを提供する事業者を、総務大臣が、特定利用者情報を適正に取り扱うべき電気通信事業者(指定電気通信事業者)として指定します。
▽電通法27条の5
(特定利用者情報を適正に取り扱うべき電気通信事業者の指定)
第二十七条の五 総務大臣は、総務省令で定めるところにより、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者を、特定利用者情報(当該電気通信役務に関して取得する利用者に関する情報であつて次に掲げるものをいう。以下同じ。)を適正に取り扱うべき電気通信事業者として指定することができる。
一 通信の秘密に該当する情報
二 利用者(第二条第七号イに掲げる者に限る。)を識別することができる情報であつて総務省令で定めるもの(前号に掲げるものを除く。)
具体的には、以下の利用者数(前年度の月間アクティブユーザーの平均)の基準を超えたサービスが対象です(規則22条の2の20)。
- 無料のサービス:利用者数 1,000万人以上
- 有料のサービス:利用者数 500万人以上
検索サービス、SNS、動画共有サービス、各種オンライン情報の提供、メッセージアプリなどが幅広く該当します。現在、国内の通信キャリア大手(NTTドコモ、KDDI、ソフトバンク等)に加え、Google、Meta、X(旧Twitter)、LINEヤフー、TikTokなどの名だたる巨大プラットフォーマーが指定を受けています。
▽施行規則22条の2の20
(利用者の利益に及ぼす影響が大きい電気通信役務)
第二十二条の二の二十 法第二十七条の五の総務省令で定める電気通信役務は、電気通信事業報告規則第二条第三項の表の報告対象役務の欄に掲げる電気通信役務ごとに次の各号に掲げる電気通信役務の区分に応じ、当該各号に定めるものとする。
一 その提供の開始時において対価としての料金の支払を要しない電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者(法第二条第七号イに掲げる者に限り、他の電気通信事業者に卸電気通信役務を提供する場合にあつては、当該他の電気通信事業者が当該卸電気通信役務を利用して提供する電気通信役務の利用者(同号イに掲げる者に限る。)を含む。次号において同じ。)の数の平均が一千万以上であるもの
二 その提供の開始時において対価としての料金の支払を要する電気通信役務 前年度における一月当たりの当該電気通信役務の提供を受けた利用者の数の平均が五百万以上であるもの
守るべきデータ:「特定利用者情報」
指定された事業者が厳格に管理しなければならないデータを「特定利用者情報」と呼びます。
これには大きく分けて、
- 通信の秘密に該当する情報:誰といつ通信したか、通信の内容など
- 利用者を識別できる情報:アカウントIDなど、データベース等で体系的に構成され、容易に検索できるもの
の2種類があります。
法律上の定義
特定利用者情報とは、指定電気通信事業者が当該電気通信役務に関して取得する利用者に関する情報であって、以下の2つのいずれかに該当するものを指します(法27条の5)。
- 通信の秘密に該当する情報(1号)
- 利用者(契約・登録利用者)を識別することができる情報であって、特定の条件(データベース等を構成していること)を満たすもの(2号)
ここでの「利用者」とは、電気通信役務の提供を受ける契約を締結する者、およびアカウントID等の付与を受けた者(契約・登録利用者)に限られます(法27条の5②括弧書き→法2条7号イ)。
1号の「通信の秘密に該当する情報」には、誰といつ通信したかといった通信の履歴や、通信の内容そのものが該当します(電気通信役務の利用者である個人や法人の通信の内容、通信履歴など)。
2号の「利用者を識別できる情報」は、施行規則(規則22条の2の21)により、「情報の集合物を構成する情報」であることが要件とされています。具体的には以下のいずれかに該当する情報の集合物です。
- 特定の契約・登録利用者を識別することができる情報を、電子計算機(コンピュータ)を用いて検索することができるように体系的に構成したもの
- コンピュータを用いていなくても、情報を一定の規則に従って整理し、目次や索引等によって特定の契約・登録利用者を容易に検索できるように体系的に構成したもの
▽施行規則22条の2の21(※【 】は管理人注)
(特定利用者情報)
第二十二条の二の二十一 法第二十七条の五第二号の総務省令で定める情報は、次に掲げる情報の集合物を構成する情報とする。
一 特定の利用者(法第二条第七号イに掲げる者に限る。次号において同じ。)を識別することができる情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか【=つまりコンピュータを用いていなくても】、利用者を識別することができる情報を一定の規則に従つて整理することにより特定の利用者を識別することができる情報を容易に検索することができるように体系的に構成した情報の集合物であつて、目次、索引その他検索を容易にするためのものを有するもの
特定利用者情報(上記のデータベース等)に該当する例・該当しない例として、電気通信GL解説(個情委・総務省「電気通信事業における個人情報等の保護に関するガイドラインの解説」)では、以下のようなものが挙げられています。
該当する例
- 特定の契約・登録利用者の情報を容易に検索できるように構成されたウェブサーバに保存されているアクセスログ(アカウントID等によって整理・保管されている場合など)
- 契約・登録利用者が利用したサービスに係るログ情報が、IDによって整理され保管されている電子ファイル
該当しない例
- 他人には容易に検索できない独自の分類方法により分類された名刺入れに含まれる名刺(体系的に構成されていないため)
- 氏名・住所等により分類整理されていない状態の、契約・登録利用者に対するアンケートの戻りはがき
定義に関する重要な解釈ポイント(ガイドライン解説より)
重要なのは、個人情報保護法における「個人情報」(氏名や生年月日など)に該当しない単なるアカウントIDやCookieに保存されたIDであっても、他の情報と照合して特定の利用者を識別できれば、「特定利用者情報」として保護の対象になるという点です。
つまり、「個人情報」と違って、法人に関するデータも含まれますし、特定の個人を識別できないデータ(IDなど)も含まれる、ということです。
電気通信GL解説では、特定利用者情報の該当性について、以下のような重要な解釈が示されています。
- 法人に関する情報も含まれる
個人情報保護法における「個人情報」とは異なり、個人に関する情報に限られず、法人その他の団体に関する情報も特定利用者情報に含まれます - 「他の情報と容易に照合できる」場合も該当する
アカウントID、Cookieに保存されたID、IPアドレス等、それ単体では特定の利用者を識別できなくても、他の情報と容易に照合することができ、その結果として契約・登録利用者を識別できる状態になるのであれば、特定利用者情報に該当します - 情報を一部削除した場合の扱い
特定利用者情報の一部に含まれる情報(アカウントID等)を削除するなどした場合であっても、残された情報だけで契約・登録利用者を識別することができるのであれば、引き続き「特定利用者情報」に該当します
巨大サービスに課せられる「ガバナンスの4本柱」
指定電気通信事業者は、特定利用者情報を守るために、以下の4つの義務(ガバナンス体制の構築)を果たさなければなりません。
① 情報取扱規程の策定・届出(法27条の6)
事業者は、指定から3ヶ月以内に、データの取り扱いに関する社内ルール(情報取扱規程)を作成し、総務大臣に届け出なければなりません。この規程には、以下の事項を詳細に定める必要があります。
- 安全管理措置:組織的、人的、物理的、技術的な観点からのセキュリティ対策
- 委託先の監督:データを外部の業者に委託する場合の、選定基準や監督体制
- 外国の制度の把握体制(外国サーバーを利用する場合など)
▽電通法27条の6
(情報取扱規程)
第二十七条の六 前条の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の適正な取扱いを確保するため、次に掲げる事項に関する規程(以下「情報取扱規程」という。)を定め、当該指定の日から三月以内に、総務大臣に届け出なければならない。
一 特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する事項
二 特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する事項
三 第二十七条の八第一項に規定する情報取扱方針の策定及び公表に関する事項
四 第二十七条の九の規定による評価に関する事項
五 その他総務省令で定める事項
2 前条の規定により指定された電気通信事業者は、情報取扱規程を変更したときは、遅滞なく、変更した事項を総務大臣に届け出なければならない。
② 情報取扱方針の策定・公表(法27条の8)
事業者は、利用者に向けて「私たちはデータをこう扱います」という方針(プライバシーポリシー等)を定め、インターネット上で公表しなければなりません。特に注目すべき記載事項は、「外国のサーバーへの保存」や「外国の業者への委託」に関する透明化です。
- 特定利用者情報を保存する外国の名称
- その外国に、データの適正な取扱いに影響を及ぼすおそれのある制度(政府の情報収集活動への協力義務など)があるかどうか
- 過去10年間に生じた、一定の規模以上の情報漏えい事故の時期と内容
これらを開示させることで、利用者が「このサービスはどこの国に自分のデータを置いているのか」を理解してサービスを選べるようになります。
▽電通法27条の8
(情報取扱方針)
第二十七条の八 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、特定利用者情報の取扱いの透明性を確保するため、次に掲げる事項に関する方針(次項及び次条第二項において「情報取扱方針」という。)を定め、当該指定の日から三月以内に、公表しなければならない。
一 取得する特定利用者情報の内容に関する事項
二 特定利用者情報の利用の目的及び方法に関する事項
三 特定利用者情報の安全管理の方法に関する事項
四 利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項
五 その他総務省令で定める事項
2 第二十七条の五の規定により指定された電気通信事業者は、情報取扱方針を変更したときは、遅滞なく、これを公表しなければならない。
③ 特定利用者情報の取扱状況の評価(法27条の9)
ルールを作って終わりではなく、毎事業年度の自己評価(PDCAの実施)が必要です。
毎事業年度、社会情勢、技術の動向、サイバーセキュリティの脅威、そして自社の漏えい事故などの状況変化を踏まえて、規程や方針が守られているか、「自己評価」を実施しなければなりません。
必要があれば、規程や方針をアップデートしてPDCAサイクルを回すことが法律で義務付けられています。
▽電通法27条の9
(特定利用者情報の取扱状況の評価等)
第二十七条の九 第二十七条の五の規定により指定された電気通信事業者は、総務省令で定めるところにより、毎事業年度、特定利用者情報の取扱いの状況について評価を実施しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、前項の規定による評価の結果に基づき、必要があると認めるときは、情報取扱規程又は情報取扱方針を変更しなければならない。
④ 特定利用者情報統括管理者の選任(法27条の10)
この巨大なデータ管理体制のトップとして、事業運営の重要な決定に参画する管理的地位(役員や執行役員など)にある幹部クラスの中から、3年以上の実務・監督経験を持つ「特定利用者情報統括管理者」を選任し、総務省へ届け出る必要があります。
この統括管理者は誠実に職務を行う義務を負い、事業者側もこの管理者の意見を尊重しなければならないと定められています。
▽電通法27条の10
(特定利用者情報統括管理者)
第二十七条の十 第二十七条の五の規定により指定された電気通信事業者は、第二十七条の六第一項各号に掲げる事項に関する業務を統括管理させるため、当該指定の日から三月以内に、事業運営上の重要な決定に参画する管理的地位にあり、かつ、利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者のうちから、総務省令で定めるところにより、特定利用者情報統括管理者を選任しなければならない。
2 第二十七条の五の規定により指定された電気通信事業者は、特定利用者情報統括管理者を選任し、又は解任したときは、総務省令で定めるところにより、遅滞なく、その旨を総務大臣に届け出なければならない。
特定利用者情報の漏えい時の報告義務(法28条・規則50条)
どんなにガバナンスを効かせても事故が起きる可能性はゼロではありません。指定電気通信事業者は、特定利用者情報に関して以下のいずれかに該当する事態が生じた場合、遅滞なく総務大臣へ報告する義務があります。
- 漏えいした情報に含まれる利用者数が1,000人を超える場合
- 適正な取扱いに影響を及ぼすおそれのある外国の制度に基づいて、外国政府にデータを提供した場合(この場合は人数の規模に関わらず報告必須です)
事案が発覚した際は、速やかに「第一報」を管轄の総合通信局等に入れ、その後30日以内に詳細な報告書を提出する厳格なプロセスが組まれています。
▽電通法28条
(業務の停止等の報告)
第二十八条 電気通信事業者は、次に掲げる場合には、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告しなければならない。
一 第八条第二項の規定により電気通信業務の一部を停止したとき。
二 電気通信業務に関し次に掲げる事故が生じたとき。
イ 通信の秘密の漏えい
ロ 第二十七条の五の規定により指定された電気通信事業者にあつては、特定利用者情報(同条第二号に掲げる情報であつて総務省令で定めるものに限る。)の漏えい
ハ その他総務省令で定める重大な事故
2 電気通信事業者は、前項第二号イからハまでに掲げる事故が生ずるおそれがあると認められる事態として総務省令で定めるものが生じたと認めたときは、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告しなければならない。
結び
特定利用者情報規律は、巨大IT企業や通信キャリアに対して、「責任者の設置」「社内ルールの策定と届出」「外国サーバー等の公表」「毎年の自己評価」というガバナンス体制を法律で義務付けるものです。
日常のコミュニケーションや検索履歴といったプライバシーの塊が巨大なプラットフォーム企業に集中する現代で、この規律がしっかり機能することで、利用者が「自分のデータがどこでどう扱われているのか」を透明性をもって確認でき、より安心してデジタルサービスを利用できる社会へと繋がっていきます。
今回は、電気通信事業法ということで、特定利用者情報規律について見てみました。
電気通信事業法の関連記事一覧はこちら
-
-
電気通信事業法 - 法律ファンライフ
houritsushoku.com
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
電気通信事業法に関するその他の記事(≫Read More)
主要法令等・参考文献
主要法令等
関連団体
- 電気通信サービス向上推進協議会
- 一般社団法人ICT-ISAC(認定送信型対電気通信設備サイバー攻撃対処協会)
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
参考文献image
