icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

電気通信事業における個人情報保護ガイドラインの改正

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

NO&T Technology Law Update テクノロジー法ニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

1. はじめに

 令和4年3月31日、電気通信事業における個人情報保護に関するガイドライン(以下「本GL」といいます。)及び同ガイドラインの解説(以下「本GL解説」といいます。)の改正版が施行されました※1。本改正は、主として、同年4月1日に施行された個人情報保護法の令和2年改正及び令和3年改正に対応したものですが、通信の秘密等の電気通信事業法に基づく規律等、電気通信分野に特有の規律も追加されています。本ニュースレターでは、これらの電気通信分野に特有の改正事項を中心に解説いたします※2

 なお、本GLは、電気通信事業法の適用対象事業者に限らず、電気通信事業を営む者に広く適用される点に注意が必要です。すなわち、電気通信事業の登録又は届出を行っている事業者(電気通信事業者)のほか、登録又は届出を行っていないが電気通信事業を行っている事業者(いわゆる第三号事業者)にも適用されるほか、特定の1社(典型的には特定のグループ会社)のみに電気通信役務を提供する者、同一構内で提供される小規模の電気通信役務を提供する者や非営利で電気通信事業を行う者にも適用されます。

2. 電気通信事業GL改正の内容

 改正後の本GL及び本GL解説は、総務省が設置した有識者会議である「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」の検討結果※3に基づくものであり、電気通信事業に特有の事項としては、主に以下の内容が盛り込まれています。

① 利用目的の特定とプロファイリング

 個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「個人情報保護GL」といいます。)でも一部触れられていますが、本GL解説※4では、本人から得た情報から本人に関する行動・関心等の情報を分析する、いわゆるプロファイリングが行われる場合、電気通信事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないことが明記されました。

 加えて、プロファイリングにより、要配慮個人情報の項目に相当する情報が生成される場合には、あらかじめ本人の同意を得ること、及びこれらの情報について、本人の同意を取得することなく不必要に広告のセグメント情報として広告配信その他の行為に用いないようにすることが望ましい旨が明記されており、プロファイリングを行う場合は留意が必要です。

② 個人データの漏えい等の報告

 令和2年改正個人情報保護法において、一定の要件を満たす個人データの漏えい等(漏えい、滅失又は毀損)が生じた場合の個人情報保護委員会への報告義務が定められました。

 これに関連して、電気通信事業者が取り扱う個人データについて漏えい等が生じた場合には、基本的には、個人情報保護委員会から権限委任を受けた事業所管大臣である総務大臣に対して報告を行うことになります。なお、別途、電気通信事業法28条において通信の秘密の漏えいが生じた場合の総務大臣に対する報告義務が定められています。このため、通信の秘密に該当する個人情報の漏えいが生じた場合には、個人情報保護法及び電気通信事業法の両方に基づき、総務大臣への報告義務が生じる可能性があります。

 また、改正後の本GL解説※5では、個人データの漏えいに該当する事例として、「システムの設定ミス等により、回線解約対象者の個人データを含む登録情報が、同じ回線を引き継いだ利用者に閲覧可能な状態になっていた場合」※6という事例が新たに記載されました。

③ 個人データの管理について

 本GL※7では、改正前より、個人情報保護管理者の設置を努力義務としています。個人情報保護管理者とは、個人データ等の適正な取扱いについて責任体制を確保するため、電気通信事業者の個人データ等の適正な取扱いの確保について必要な権限を有する役員等、組織横断的に監督することのできる者を指します。

 本改正によって、以下のとおり努力義務の内容が追加されました。

  • ア 個人情報保護管理者の設置を通じて、あらかじめ個人データ等の漏えい等を防止するための体制を整備し、また、漏えい等事案の発生時に、被害拡大防止措置の実施及び監督官庁等への報告等の対応を行うための体制を整備すること
  • イ 監査体制の整備の一環として、委託先の監査を含む監査体制を整備し監査結果を踏まえた個人データ等の取扱方法に関する見直し・改善を行うこと

④ 個人関連情報

 令和2年改正個人情報保護法においては、「個人関連情報」、すなわち生存する個人に関する情報であるが、提供元では特定の個人を識別できないため個人情報に該当しないものに関する規律が定められました。個人関連情報の典型例としては、Cookieに格納された端末識別子や位置情報が挙げられますが、本GLでは、「ある個人の契約者固有IDやある個人の利用する情報端末に係る端末識別子」や「情報収集モジュール等を通じて収集された、ある個人のアプリケーションの利用履歴や利用者端末情報」も個人関連情報に該当することが追記されています。

 個人関連情報を第三者に提供する場合、第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、本人同意が得られていること等について事前に確認する義務を負います。個人情報保護GLにおいて、「個人データとして取得することが想定される」とは、①提供先の事業者が個人データとして取得していることを現に認識している場合のほか、②客観的状況に照らし一般人の認識を基準に通常想定される場合も含まれるとされています※8。本GL解説※9では、さらに、②の例として、「提供元の個人関連情報取扱事業者である電気通信事業者が、高精度又は連続した位置情報等を提供する際、提供先の第三者において当該個人関連情報を個人データと紐付けて利用することを念頭に、そのために用いるID等も併せて提供する場合」という具体例が追記されています。

⑤ 保有個人データの開示方法

 令和2年改正個人情報保護法を受けた個人情報保護GLでは、保有個人データの開示方法については、電磁的記録の提供、書面の交付その他の方法による開示方法を本人が指定できるとされています。

 本GL解説※10では、さらに進んで、オンラインによる開示請求を認め、これをプライバシーポリシーに定めることが望ましい取り組みとして明記されています。具体例として、「プライバシーポリシー等におけるリンク先からオンラインにより保有個人データの開示請求を受け付けるとともに、提供準備ができた段階で、本人に通知した上でオンラインにより提供する方法(電磁的記録を電子メールに添付して送信する方法や、専用サイトを通知して本人に当該サイト上で電磁的記録をダウンロードしてもらう方法等)」を掲げています。

⑥ 仮名加工情報と通信の秘密の関係

 令和2年改正個人情報保護法により、企業内部におけるビッグデータ等の利活用を促進するため、仮名加工情報の概念が設けられました。

 但し、電気通信事業者が取り扱う個人情報には通信の秘密に該当するものが含まれ得ることから、本GL解説では、仮名加工情報と通信の秘密の関係について注意喚起がなされています。電気通信事業法上、通信の秘密に関する情報は、通信当事者の同意又は正当業務行為等の違法性阻却事由がある場合を除き、知得・窃用・漏洩(取得・利用・提供等の行為も当然これらに含まれると考えられます。)を行うことができないとされていますが、本GL解説※11では、通信の秘密に関する個人情報を仮名加工情報に加工しても、引き続き通信の秘密に該当するとされています。これにより、通信当事者の同意又は正当業務行為等の違法性阻却事由がない限り、通信の秘密に係る個人情報を仮名加工情報に加工し利用することはできないことになると思われます。

⑦ プライバシーポリシー

 改正前より、本GLにおいて、電気通信事業者はプライバシーポリシーを公表することが適切である旨が規定されていましたが、改正後の本GLでは、プライバシーポリシーに盛り込むべき項目が拡充されています※12

  • ① 個人情報保護法及び通信の秘密に係る電気通信事業法の規定その他の関係法令の遵守
  • ② 本GLの遵守
  • ③ 本GL第15条に定める事項

    1. 電気通信事業者の氏名又は名称
    2. 取得される情報の項目
    3. 取得方法
    4. 利用目的の特定・明示
    5. 通知・公表又は同意取得の方法及び利用者関与の方法(利用目的の通知又は開示若しくは訂正等の本人からの請求に応じる手続)
    6. 第三者提供の有無
    7. 問合せ窓口・苦情の申出先(認定個人情報保護団体の名称及び苦情の解決の申出先を含む。)
    8. プライバシーポリシーの変更を行う場合の手続き
    9. 利用者の選択の機会の内容、データポータビリティに係る事項
    10. 委託に係る事項(委託の有無、委託する事務の内容を明らかにするなど、委託処理の透明化を進めること)
  • ④ 安全管理措置に関する方針
  • ⑤ その他利用者の権利利益の保護に関する事項

 また、本GL解説※13では、プライバシーポリシーについて、利用者が個人データ等の取扱いを理解した上で自らの判断により選択の機会を行使することができるよう、以下のような方法で、利用者にとって分かりやすく示すことが適切である旨が明記されました。一部の大手事業者の実務で見られるとおり、必要に応じて、ユーザーテストを実施し、その結果を分析・参照したり、外部有識者からなるプライバシー保護に関するアドバイザリーボードや諮問委員会等を設置したりすること等も推奨されています。

  • • 分かりやすい表示の工夫の例

    • 階層構造(要点を複数の短い項目にまとめ、各項目を選択すると詳細な内容が見られる構造)
    • アイコン・イラスト・動画等の視覚的ツールの利用
    • 利用者が認識しやすいようにジャストインタイムの通知を行うこと
    • 要点を分かりやすく解説した簡略版やユーザーガイドを併せて作成すること
  • • 利用者が内容を理解し選択するための有用な工夫

    • ポップアップによる同意取得
    • ダッシュボードや個人データ等の取得・利用の停止の機会の提供
    • Consent Record や CMP 等、利用者の同意が後日一覧性をもって把握できる仕組み

3. 今後の展望

 本GL及び本GL解説の改正により、電気通信事業者が留意すべき個人情報保護に関する規律は相当程度整理されました。また、電気通信事業者特有の事情について本GL解説に様々な具体例が盛り込まれ、事業者にとって有益なものとなっています。

 もっとも、本GLの対象は、技術動向はもちろん、国民の意識や社会情勢も変化が早い領域であり、本GLの実務的な運用について継続的に検討を続けていく必要があります。

 なお、電気通信役務における利用者情報の取扱いをめぐる規律については、令和4年3月4日に電気通信事業法改正案が国会に提出されました※14。この改正が成立した場合には、その後、さらに本GL及び本GL解説についても、当該改正を踏まえた更なる改正が行われると予想されるため、引き続き動向を注視する必要があります。

脚注一覧

※2
本ニュースレターにおいて、旧法について述べている箇所を除き、個人情報保護法の条文は令和4年4月1日の改正法施行後のものを参照しています。

※3
総務省 プラットフォームサービスに関する研究会 プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第9回)」(令和4年1月24日)(
https://www.soumu.go.jp/menu_news/s-news/02kiban18_02000183.html

※4
本GL解説3-1-1

※5
本GL解説3-6-1-1

※6
「回線解約」は、「回線契約」の誤記であると思われます。

※7
本GL第14条及び本GL解説3-4-7

※8
個人情報保護GL 3-7-1-2

※9
本GL解説3-8-1-2

※10
本GL解説3-9-2

※11
本GL解説3-11

※12
本GL第15条及び本GL解説3-5-1等、総務省「電気通信事業における個人情報保護に関するガイドライン 改正案の概要」(2022年1月24日)(https://www.soumu.go.jp/main_content/000789404.pdf

※13
本GL解説3-5-1

※14
この電気通信事業法改正案については、個人情報保護・データプライバシーニュースレターNo.13において解説していますので、ご参照ください。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

テクノロジーに関連する著書/論文

テレコムに関連する著書/論文

インターネット/ITサービス/クラウドに関連する著書/論文

データ・IoTに関連する著書/論文

デジタルプラットフォームに関連する著書/論文

決定 業務分野を選択
決定