新たなデータ保護法制?新設された「特定利用者情報」の定義と、求められる実務対応 改正電気通信事業法の概要と実務への影響 規制対象や必要な対応を弁護士が解説 - 中編
IT・情報セキュリティ 公開 更新
令和4年6月13日、電気通信事業法の一部を改正する法律が可決・成立し、同月17日に法律第70号として公布されました(同法による改正を「本改正」といいます)。令和5年1月16日には、電気通信事業法施行規則等の一部を改正する省令(令和5年総務省令第2号)が公布されています。また、同年5月18日には、関係する規定の解釈等を示した「電気通信事業における個人情報等の保護に関するガイドライン」および「電気通信事業における個人情報等の保護に関するガイドラインの解説」の改訂版が確定・公表されました。
本記事では、本改正のポイントや実務への影響・対応について3回にわたり解説します。中編にあたる本稿では、特定利用者情報の概要や、規制対象となる電気通信事業者において求められる実務対応等について説明します。
「電気通信事業法の基礎と最新動向 - 令和4年改正電気通信事業法の実務対応の勘所」(68分)
講師:山郷 琢也 弁護士(TMI総合法律事務所)
BUSINESS LAWYERS LIBRARYスタンダードプランをご契約中のお客様は上記リンクからご視聴いただけます。
BUSINESS LAWYERS LIBRARYスタンダードプランをまだご契約いただいていないお客様はサービスご紹介ページをご覧ください。
特定利用者情報の適正な取扱い
本改正により、新たに「特定利用者情報」という概念が創設されました。これにより、一定の規模を超える電気通信事業者は、特定利用者情報を適正に取り扱うための各種の義務を負うことになります(改正法27条の5~27条の11)。
かかる特定利用者情報は、個人情報保護法上の「個人情報」(個人情報保護法2条1項)とは異なり、法人情報や匿名のハンドルネームに関する情報であっても、保護対象に含まれる可能性がある点に留意が必要です。言い換えれば、本改正の対象となる事業者においては、個人情報保護法上の対応に加えて、電気通信事業法上の独自の対応が必要になることを意味します。
規制対象となる事業者
特定利用者情報に関する規律の適用を受けるのは、「内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者」として指定された事業者です。
具体的な指定基準について、前年度における1月当たりの平均の利用者数(契約締結者または利用登録によりアカウントを有する者の数)が1,000万人以上(無料の電気通信役務の場合)または500万人以上(有料の電気通信役務の場合)の電気通信役務が対象となります(改正規則22条の2の20)1。
この利用者数をどのように算定するのかについては、「月間アクティブ利用者数(一月当たりの当該電気通信役務の提供を受けた契約締結者又は利用登録によりアカウントを有する者の数)の年平均値」を用いることとされています2。また、前編で解説した「検索情報電気通信役務」および「媒介相当電気通信役務」を提供する事業者についても、1,000万人以上の利用者がいる場合には、「電気通信事業者」として扱われることから、特定利用者情報の規律を受けることになると考えられます。
なお、上記の基準に達しない事業者についても、特定利用者情報の適正な取扱いに関する規制を遵守することが望ましいとされている点に留意が必要です 3。
「特定利用者情報」とは
「特定利用者情報」とは、規制対象である電気通信役務に関して取得する利用者に関する情報であって、①通信の秘密に該当する情報または②利用者を識別することができる情報であって総務省令で定めるもの(以下「利用者識別情報」といいます)と定義されています(改正法27条の5)。
- 通信の秘密
通信の秘密の保護対象には、個別の通信にかかる通信内容のほか、個別の通信にかかる通信の日時、場所、通信当事者の氏名、住所・居所、電話番号などの当事者の識別符号、通信回数等これらの事項を知られることによって通信の意味内容を推知されるような事項すべてが含まれると解されています。通信の秘密に該当する情報については、仮に特定の利用者を識別することができなくても、特定利用者情報に該当します。そのため、個人情報保護法上の「個人情報」(個人情報保護法2条1項)にあたらないような情報も通信の秘密として保護される可能性があるため、留意が必要です。 - 利用者識別情報
利用者識別情報については、契約者やその他これに準ずる者として総務省令で定める者に関する一定の情報のみが規制対象とされています(改正法27条の5第2号)。具体的には、電気通信事業者と契約を締結した者やID等で利用者登録を行った者(改正法2条7号イ)に関するデータベース化された情報のみが規制対象になると想定されます(改正規則22条の2の21)。言い換えれば、契約締結や利用者登録なしにサービスの提供を受ける利用者の識別情報については、それが通信の秘密に該当しない限りは、特定利用者情報の規制を受けないと考えられます。
個人情報保護と、特定利用者情報を構成する通信の秘密および利用者識別情報の主な差異については、下図を参照ください。
特定利用者情報の具体例としては、契約者やアカウント登録者のアクセスログや、契約者/アカウントIDに紐づくクッキーデータ等が挙げられます。繰り返しになりますが、ここでいう契約者やアカウント登録者には、法人その他の団体も含まれるとされており、その意味では「個人情報」にあたらないような情報も「特定利用者情報」に含まれ得る点に注意が必要です。
規制対象となる電気通信事業者において必要な実務対応
特定利用者情報を適正に取り扱うべき者として指定された電気通信事業者(以下「指定電気通信事業者」といいます)は、下図に示す対応が求められます。
(1)情報取扱規程の策定・届出
指定電気通信事業者は、以下に掲げる事項を含む情報取扱規程を策定し、指定日から3か月以内に総務大臣に届け出る必要があります(改正法27条の6)。
情報取扱規程に記載すべき事項については改正法27条の6第1項に規定されており、具体的には、下記に関する事項を規定する必要があります(改正規則22条の2の22)4。
- 安全管理に関する事項
組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置及び外的環境の把握(諸外国の法的環境の把握体制)が含まれます。 - 委託先の監督に関する事項
委託先の選定方法、委託契約において定める特定利用者情報の取扱いに関すること、委託先における特定利用者情報の取扱状況の把握の体制及び方法に関することが含まれます。 - 情報取扱方針の策定及び公表に係る体制に関する事項
情報取扱方針の策定組織に関する事項が含まれます。 - 特定利用者情報の取扱状況の評価に係る体制及び方法に関する事項
評価実施体制及び評価結果の反映体制、評価項目、評価頻度及び評価方法、評価頻度等が含まれます。 - 従業者の監督に係る体制及び方法に関する事項
アクセス管理の体制、教育研修の内容・頻度等が含まれます。
情報取扱規程は、個人情報保護法上の安全管理措置義務(個人情報保護法23条)と異なり、情報取扱規程を総務大臣に届け出る必要があり、場合によっては変更命令等(改正法27条の7)を受ける可能性がある点に留意が必要です。そのため、情報取扱規程の策定に際しては、法律上の記載事項を漏れなく含むべきことは当然として、現実の運用に則した適切な内容にする必要があります。
また、民間事業者の多くは、すでに個人情報に関連する内部規程を策定していると思われますが、個人情報関係の内部規程と、電気通信事業法上策定が求められる情報取扱規程の関係性が問題になります。前者をアップデートする形で情報取扱規程を策定することも可能と思われますが、前述のとおり、特定利用者情報と個人情報の範囲は完全に一致するものではないこと、情報取扱規程は総務大臣に届け出る必要があることなどからすれば、両者を別々の規程として制定することも一案です。
(2)情報取扱方針の策定・公表
指定電気通信事業者は、以下に掲げる事項を含む情報取扱方針を策定し、指定日から3か月以内に公表する必要があります(改正法27条の8)。なお、以下の記載事項のうち、「⑤その他総務省令で定める事項」は、特定利用者情報の漏えい等(指定を受けている期間に発生したものであって過去10年の間(指定を受けている期間が10年よりも短い場合は、当該指定を受けている期間)に発生したものに限ります)の時期および内容の公表に関する事項とされています(改正規則22条の2の23第5号)。
③特定利用者情報の安全管理の方法に関する事項として、特定利用者情報の海外での取扱いに関する事項を記載する必要があるとされており、実務的なインパクトが大きいといえます。具体的には、(a)特定利用者情報を海外のサーバーで保存する場合、(b)特定利用者情報の取扱いを海外の第三者に委託する場合、(c)海外の第三者が提供するクラウドサービスを利用して特定利用者情報を保存する場合のいずれかに該当する場合には、その国の名称に加え、当該外国の法制度に関する情報を記載し、公表する必要があります(改正規則22条の2の23第3号ロからニ)。
個人情報を対象としたプライバシーポリシーを公表している事業者は多いと思われますが、個人情報に該当しない特定利用者情報が存在することおよび個人情報保護法が要求する記載内容との差異を踏まえて対応する必要があります。具体的には、個人情報に該当しない特定利用者情報の取扱いがある場合や、特定利用者情報を海外で取り扱っているような場合には、特に注意が必要です。情報取扱方針の策定手法としては、既存のプライバシーポリシーに追記するという対応も認められていますが、そのような場合には、特定利用者情報に関する独立の項目を立てるなどして、わかりやすい構成とするよう努める必要があるでしょう。また、既存のプライバシーポリシーとは別個のポリシーとして準備するという方針も十分に考えられます。さらにいえば、昨今、経済安全保障の要請が高まっていることに照らせば、情報取扱方針での情報開示にとどまらず、サーバー設置国や委託先の変更も含め、データガバナンスの在り方を根本から見直すことも検討する必要があります。
(3)自己評価の実施および情報取扱規程等への反映
指定電気通信事業者は、毎事業年度、特定利用者情報の取扱状況について自己評価を実施し、その結果に基づき、必要に応じて、情報取扱規程または情報取扱方針を変更する必要があります(改正法27条の9)。
令和5年3月23日に公表された改正ガイドライン案によれば、自己評価の実施に際しては、社会情勢、技術の動向、外国の制度、サイバーセキュリティに対する脅威その他の状況の変化を的確に把握する必要がある旨が示唆されています。特に、海外において特定利用者情報を取り扱う場合には、当該外国においてガバメントアクセス等本人の権利利益に影響を及ぼすような制度を伴う法改正等がないかを定期的にモニタリングする必要があります。電気通信事業は国民生活を支える重要なインフラであることから、経済安全保障の視点も取り入れつつ、外国の法的環境等を継続的にモニタリングすることが望ましいと考えます。具体的な手法については、筆者の拙稿をご参照ください 5。
(4)統括管理責任者の選任・届出
指定電気通信事業者は、指定日から3か月以内に、特定利用者情報統括管理者を選任し、遅滞なく総務大臣に届け出る必要があります(改正法27条の10)。特定利用者情報統括管理者の選任要件としては、(i)事業運営上の重要な決定に参画する管理的地位にあること、(ii)利用者に関する情報の取扱いに関する一定の実務の経験その他の総務省令で定める要件を備える者であることが要求されています。このうち総務省令で定める要件においては、顧客に関する情報の取扱いに関する安全管理または法令等に関する業務、もしくはこれらの業務を監督する業務に3年以上従事した経験(他業種を含む。)を有することまたは同等以上の能力を有すると認められることが要求されています(改正規則22条の2の25)。特定利用者情報統括管理者は、実務担当者レベルというよりは、マネジメントレベルの者が選任されることが予定されており、CIO、CISO、個人情報保護管理者といった役職の者が特定利用者情報統括管理者を兼ねることが認められます 6。
次回は、利用者に関する情報の外部送信規制の概要や、その他の改正事項について説明します。
TMI総合法律事務所
TMI総合法律事務所
TMI総合法律事務所