新たなデータ保護法制?新設された「特定利用者情報」の定義と、求められる実務対応 改正電気通信事業法の概要と実務への影響 規制対象や必要な対応を弁護士が解説 - 中編

IT・情報セキュリティ
山郷 琢也弁護士 TMI総合法律事務所 溝端 俊介弁護士 TMI総合法律事務所 石田 晃大弁護士 TMI総合法律事務所

目次

  1. 特定利用者情報の適正な取扱い
    1. 規制対象となる事業者
    2. 「特定利用者情報」とは
    3. 規制対象となる電気通信事業者において必要な実務対応

令和4年6月13日、電気通信事業法の一部を改正する法律が可決・成立し、同月17日に法律第70号として公布されました。本記事では、一部の規定を除き、令和5年6月17日までに予定されている本改正の施行を前に、改正のポイントや実務への影響・対応について3回にわたり解説します。中編にあたる本稿では、特定利用者情報の概要や、規制対象となる電気通信事業者において求められる実務対応等について説明します。

特定利用者情報の適正な取扱い

 本改正により、新たに「特定利用者情報」という概念が創設されました。これにより、一定の規模を超える電気通信事業者は、特定利用者情報を適正に取り扱うための各種の義務を負うことになります(改正法27条の5~27条の11)。

 かかる特定利用者情報は、個人情報保護法上の「個人情報」(個人情報保護法2条1項)とは異なり、法人情報や匿名のハンドルネームに関する情報であっても、保護対象に含まれる可能性がある点に留意が必要です。言い換えれば、本改正の対象となる事業者においては、個人情報保護法上の対応に加えて、電気通信事業法上の独自の対応が必要になることを意味します

規制対象となる事業者

 特定利用者情報に関する規律の適用を受けるのは、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者」として指定された事業者です。具体的な指定基準について、利用者数(契約締結者または利用登録によりアカウントを有する者の数)が1,000万人以上(無料の電気通信役務の場合)または500万人以上(有料の電気通信役務の場合)の電気通信役務が対象となる見込みです 1。この利用者数をどのように算定するのかについては今後の議論を注視する必要がありますが、「特定利用者情報の適正な取扱いに関するワーキンググループ」の資料 2 によれば、「月間アクティブ利用者数(一月当たりの当該電気通信役務の提供を受けた契約締結者又は利用登録によりアカウントを有する者の数)の年平均値」を用いることが提案されています。また、前編で解説した「検索情報電気通信役務」および「媒介相当電気通信役務」を提供する事業者についても、1,000万人以上の利用者がいる場合には、「電気通信事業者」として扱われることから、特定利用者情報の規律を受けることになると考えられます。
 なお、上記の基準に達しない事業者についても、ガイドライン等により特定利用者情報の適正な取扱いを推奨することが検討されている点に留意が必要です 3

「特定利用者情報」とは

 「特定利用者情報」とは、電気通信役務に関して取得する利用者に関する情報であって、①通信の秘密に該当する情報または②利用者を識別することができる情報であって総務省令で定めるもの(以下「利用者識別情報」といいます)と定義されています(改正法27条の5)。

  1. 通信の秘密
     通信の秘密の保護対象には、個別の通信にかかる通信内容のほか、個別の通信にかかる通信の日時、場所、通信当事者の氏名、住所・居所、電話番号などの当事者の識別符号、通信回数等これらの事項を知られることによって通信の意味内容を推知されるような事項すべてが含まれると解されています。通信の秘密に該当する情報については、仮に特定の利用者を識別することができなくても、特定利用者情報に該当します。そのため、個人情報保護法上の「個人情報」(個人情報保護法2条1項)にあたらないような情報も通信の秘密として保護される可能性があるため、留意が必要です

  2. 利用者識別情報
     利用者識別情報については、契約者やその他これに準ずる者として総務省令で定める者に関する一定の情報のみが規制対象とされています(改正法27条の5第2号)。具体的には、電気通信事業者と契約を締結した者やID等で利用者登録を行った者に関するデータベース化された情報のみが規制対象になると想定されます。言い換えれば、契約締結や利用者登録なしにサービスの提供を受ける利用者の識別情報については、それが通信の秘密に該当しない限りは、特定利用者情報の規制を受けないと考えられます。

 個人情報保護と、特定利用者情報を構成する通信の秘密および利用者識別情報の主な差異については、下図を参照ください。

規制対象となる電気通信事業者において必要な実務対応

 特定利用者情報を適正に取り扱うべき者として指定された電気通信事業者(以下「指定電気通信事業者」といいます)は、下図に示す対応が求められます。

(1)情報取扱規程の策定・届出

 指定電気通信事業者は、以下に掲げる事項を含む情報取扱規程を策定し、指定日から3か月以内に総務大臣に届け出る必要があります(改正法27条の6)。

 情報取扱規程の詳細については、今後の議論を注視する必要がありますが、記載すべき事項としては改正法27条の6第1項に規定されており、電気通信事業ガバナンス検討会での議論も踏まえると、下記に関する事項を規定することが想定されます 4

  1. 安全管理に関する事項
  2. 委託先の監督に関する事項
  3. 情報取扱方針の策定及び公表に係る体制に関する事項
  4. 特定利用者情報の取扱状況の評価に係る体制及び方法に関する事項(評価実施体制及び評価結果の反映体制、評価事項、評価頻度及び評価方法)
  5. 従業者の監督に係る体制及び方法に関する事項

 情報取扱規程は、個人情報保護法上の安全管理措置義務(個人情報保護法23条)と異なり、情報取扱規程を総務大臣に届け出る必要があり、場合によっては変更命令等(改正法27条の7)を受ける可能性がある点に留意が必要です。そのため、情報取扱規程の策定に際しては、法律上の記載事項を漏れなく含むべきことは当然として、現実の運用に則した適切な内容にする必要があります。

 また、民間事業者の多くは、すでに個人情報に関連する内部規程を策定していると思われますが、個人情報関係の内部規程と、電気通信事業法上策定が求められる情報取扱規程の関係性が問題になります。前者をアップデートする形で情報取扱規程を策定することも可能と思われますが、前述のとおり、特定利用者情報と個人情報の範囲は完全に一致するものではないこと、情報取扱規程は総務大臣に届け出る必要があることなどからすれば、両者を別々の規程として制定することも一案です。

(2)情報取扱方針の策定・公表

 指定電気通信事業者は、以下に掲げる事項を含む情報取扱方針を策定し、指定日から3か月以内に公表する必要があります(改正法27条の8)。なお、以下の記載事項のうち、「⑤その他総務省令で定める事項」は、特定利用者情報の漏えいに係る事案(指定を受けている期間に発生したものであって過去10年の間(指定を受けている期間が10年よりも短い場合は、当該指定を受けている期間)に発生したものに限ります)の内容および時期に関する事項が検討されています 5

 この点、本改正法案に対する附帯決議として、「特定利用者情報の取扱方針に係る総務省令を定めるに当たっては、利用者保護の重要性を十分に踏まえ、特定利用者情報を保管するサーバーの所在国や特定利用者情報を取り扱う業務を委託した第三者の所在国を公表することを定めること」とされている点に留意が必要です。そのため、今後の省令改正次第では、情報取扱方針に、特定利用者情報を保管するサーバー所在地や委託先事業者の所在地を明記する必要があります

 個人情報を対象としたプライバシーポリシーを公表している事業者は多いと思われますが、個人情報に該当しない特定利用者情報が存在することおよび個人情報保護法が要求する記載内容との差異を踏まえて対応する必要があります。具体的には、特定利用者情報特有の利用目的がある場合や、特定利用者情報についてのみサーバーの所在地等を記載することとする場合などには、すでに公表しているプライバシーポリシーに必要事項を追記して対応することで問題ないとされているものの 6、利用者が理解しやすいよう既存のプライバシーポリシーと別個のポリシーを用意することも検討に値します。さらにいえば、昨今、経済安全保障の要請が高まっていることに照らせば、情報取扱方針での情報開示にとどまらず、サーバー設置国や委託先の変更も含め、データガバナンスの在り方を根本から見直すことも検討する必要があります

(3)自己評価の実施および情報取扱規程等への反映

 指定電気通信事業者は、毎事業年度、特定利用者情報の取扱状況について自己評価を実施し、その結果に基づき、必要に応じて、情報取扱扱規程または情報取扱方針を変更する必要があります(改正法27条の9)。

 「特定利用者情報の適正な取扱いに関するワーキンググループ」の資料 7 によれば、自己評価の指標として、社会情勢、技術革新、外国の法的環境の変化やサイバー攻撃のリスク等の外部環境の変化、前事業年度における事故等の内部環境の変化が指摘されています。特に、前者の外的環境の変化については、データ保存先または委託先の国において、ガバメントアクセス等、本人の権利利益に影響を及ぼすような制度がないかを定期的にモニタリングする必要が生じるものと思われます。特に電気通信事業は国民生活を支える重要なインフラであることから、経済安全保障の視点も取り入れつつ、外国の法的環境等をモニタリングすることが望ましいと考えます。

(4)統括管理責任者の選任・届出

 指定電気通信事業者は、指定日から3か月以内に、特定利用者情報統括管理者を選任し、遅滞なく総務大臣に届け出る必要があります(改正法27条の10)。特定利用者情報統括管理者の選任要件としては、(i) 事業運営上の重要な決定に参画する管理的地位にあること、(ii) 利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者であることが要求されています。このうち総務省令で定める要件においては、「利用者に関する情報の取扱いに関する安全管理又は法令等に関する業務、若しくはこれらの業務を監督する業務に3年以上従事した経験(他業種を含む。)を有すること又は同等以上の能力を有すると認められること」を加えることが検討されています 8。したがって、特定利用者情報統括管理者は、実務担当者レベルというよりは、マネジメントレベルの者が選任されることになると思われますが、選任要件の詳細については今後の議論が待たれます。

 次回は、利用者に関する情報の外部送信規制の概要や、その他の改正事項についてについて説明します。


  1. 総務省「電気通信事業ガバナンス検討会 特定利用者情報の適正な取扱いに関するWG取りまとめ(案)」(2022年) ↩︎

  2. 前掲注1 ↩︎

  3. 前掲注1 ↩︎

  4. 前掲注1 ↩︎

  5. 前掲注1 ↩︎

  6. 前掲注1 ↩︎

  7. 前掲注1 ↩︎

  8. 前掲注1 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する