鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
NO&T Technology Law Update テクノロジー法ニュースレター
令和4年3月31日、電気通信事業における個人情報保護に関するガイドライン(以下「本GL」といいます。)及び同ガイドラインの解説(以下「本GL解説」といいます。)の改正版が施行されました※1。本改正は、主として、同年4月1日に施行された個人情報保護法の令和2年改正及び令和3年改正に対応したものですが、通信の秘密等の電気通信事業法に基づく規律等、電気通信分野に特有の規律も追加されています。本ニュースレターでは、これらの電気通信分野に特有の改正事項を中心に解説いたします※2。
なお、本GLは、電気通信事業法の適用対象事業者に限らず、電気通信事業を営む者に広く適用される点に注意が必要です。すなわち、電気通信事業の登録又は届出を行っている事業者(電気通信事業者)のほか、登録又は届出を行っていないが電気通信事業を行っている事業者(いわゆる第三号事業者)にも適用されるほか、特定の1社(典型的には特定のグループ会社)のみに電気通信役務を提供する者、同一構内で提供される小規模の電気通信役務を提供する者や非営利で電気通信事業を行う者にも適用されます。
改正後の本GL及び本GL解説は、総務省が設置した有識者会議である「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」の検討結果※3に基づくものであり、電気通信事業に特有の事項としては、主に以下の内容が盛り込まれています。
個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「個人情報保護GL」といいます。)でも一部触れられていますが、本GL解説※4では、本人から得た情報から本人に関する行動・関心等の情報を分析する、いわゆるプロファイリングが行われる場合、電気通信事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないことが明記されました。
加えて、プロファイリングにより、要配慮個人情報の項目に相当する情報が生成される場合には、あらかじめ本人の同意を得ること、及びこれらの情報について、本人の同意を取得することなく不必要に広告のセグメント情報として広告配信その他の行為に用いないようにすることが望ましい旨が明記されており、プロファイリングを行う場合は留意が必要です。
令和2年改正個人情報保護法において、一定の要件を満たす個人データの漏えい等(漏えい、滅失又は毀損)が生じた場合の個人情報保護委員会への報告義務が定められました。
これに関連して、電気通信事業者が取り扱う個人データについて漏えい等が生じた場合には、基本的には、個人情報保護委員会から権限委任を受けた事業所管大臣である総務大臣に対して報告を行うことになります。なお、別途、電気通信事業法28条において通信の秘密の漏えいが生じた場合の総務大臣に対する報告義務が定められています。このため、通信の秘密に該当する個人情報の漏えいが生じた場合には、個人情報保護法及び電気通信事業法の両方に基づき、総務大臣への報告義務が生じる可能性があります。
また、改正後の本GL解説※5では、個人データの漏えいに該当する事例として、「システムの設定ミス等により、回線解約対象者の個人データを含む登録情報が、同じ回線を引き継いだ利用者に閲覧可能な状態になっていた場合」※6という事例が新たに記載されました。
本GL※7では、改正前より、個人情報保護管理者の設置を努力義務としています。個人情報保護管理者とは、個人データ等の適正な取扱いについて責任体制を確保するため、電気通信事業者の個人データ等の適正な取扱いの確保について必要な権限を有する役員等、組織横断的に監督することのできる者を指します。
本改正によって、以下のとおり努力義務の内容が追加されました。
令和2年改正個人情報保護法においては、「個人関連情報」、すなわち生存する個人に関する情報であるが、提供元では特定の個人を識別できないため個人情報に該当しないものに関する規律が定められました。個人関連情報の典型例としては、Cookieに格納された端末識別子や位置情報が挙げられますが、本GLでは、「ある個人の契約者固有IDやある個人の利用する情報端末に係る端末識別子」や「情報収集モジュール等を通じて収集された、ある個人のアプリケーションの利用履歴や利用者端末情報」も個人関連情報に該当することが追記されています。
個人関連情報を第三者に提供する場合、第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、本人同意が得られていること等について事前に確認する義務を負います。個人情報保護GLにおいて、「個人データとして取得することが想定される」とは、①提供先の事業者が個人データとして取得していることを現に認識している場合のほか、②客観的状況に照らし一般人の認識を基準に通常想定される場合も含まれるとされています※8。本GL解説※9では、さらに、②の例として、「提供元の個人関連情報取扱事業者である電気通信事業者が、高精度又は連続した位置情報等を提供する際、提供先の第三者において当該個人関連情報を個人データと紐付けて利用することを念頭に、そのために用いるID等も併せて提供する場合」という具体例が追記されています。
令和2年改正個人情報保護法を受けた個人情報保護GLでは、保有個人データの開示方法については、電磁的記録の提供、書面の交付その他の方法による開示方法を本人が指定できるとされています。
本GL解説※10では、さらに進んで、オンラインによる開示請求を認め、これをプライバシーポリシーに定めることが望ましい取り組みとして明記されています。具体例として、「プライバシーポリシー等におけるリンク先からオンラインにより保有個人データの開示請求を受け付けるとともに、提供準備ができた段階で、本人に通知した上でオンラインにより提供する方法(電磁的記録を電子メールに添付して送信する方法や、専用サイトを通知して本人に当該サイト上で電磁的記録をダウンロードしてもらう方法等)」を掲げています。
令和2年改正個人情報保護法により、企業内部におけるビッグデータ等の利活用を促進するため、仮名加工情報の概念が設けられました。
但し、電気通信事業者が取り扱う個人情報には通信の秘密に該当するものが含まれ得ることから、本GL解説では、仮名加工情報と通信の秘密の関係について注意喚起がなされています。電気通信事業法上、通信の秘密に関する情報は、通信当事者の同意又は正当業務行為等の違法性阻却事由がある場合を除き、知得・窃用・漏洩(取得・利用・提供等の行為も当然これらに含まれると考えられます。)を行うことができないとされていますが、本GL解説※11では、通信の秘密に関する個人情報を仮名加工情報に加工しても、引き続き通信の秘密に該当するとされています。これにより、通信当事者の同意又は正当業務行為等の違法性阻却事由がない限り、通信の秘密に係る個人情報を仮名加工情報に加工し利用することはできないことになると思われます。
改正前より、本GLにおいて、電気通信事業者はプライバシーポリシーを公表することが適切である旨が規定されていましたが、改正後の本GLでは、プライバシーポリシーに盛り込むべき項目が拡充されています※12。
また、本GL解説※13では、プライバシーポリシーについて、利用者が個人データ等の取扱いを理解した上で自らの判断により選択の機会を行使することができるよう、以下のような方法で、利用者にとって分かりやすく示すことが適切である旨が明記されました。一部の大手事業者の実務で見られるとおり、必要に応じて、ユーザーテストを実施し、その結果を分析・参照したり、外部有識者からなるプライバシー保護に関するアドバイザリーボードや諮問委員会等を設置したりすること等も推奨されています。
本GL及び本GL解説の改正により、電気通信事業者が留意すべき個人情報保護に関する規律は相当程度整理されました。また、電気通信事業者特有の事情について本GL解説に様々な具体例が盛り込まれ、事業者にとって有益なものとなっています。
もっとも、本GLの対象は、技術動向はもちろん、国民の意識や社会情勢も変化が早い領域であり、本GLの実務的な運用について継続的に検討を続けていく必要があります。
なお、電気通信役務における利用者情報の取扱いをめぐる規律については、令和4年3月4日に電気通信事業法改正案が国会に提出されました※14。この改正が成立した場合には、その後、さらに本GL及び本GL解説についても、当該改正を踏まえた更なる改正が行われると予想されるため、引き続き動向を注視する必要があります。
※2
本ニュースレターにおいて、旧法について述べている箇所を除き、個人情報保護法の条文は令和4年4月1日の改正法施行後のものを参照しています。
※3
総務省 プラットフォームサービスに関する研究会 プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第9回)」(令和4年1月24日)(
https://www.soumu.go.jp/menu_news/s-news/02kiban18_02000183.html)
※4
本GL解説3-1-1
※5
本GL解説3-6-1-1
※6
「回線解約」は、「回線契約」の誤記であると思われます。
※7
本GL第14条及び本GL解説3-4-7
※8
個人情報保護GL 3-7-1-2
※9
本GL解説3-8-1-2
※10
本GL解説3-9-2
※11
本GL解説3-11
※12
本GL第15条及び本GL解説3-5-1等、総務省「電気通信事業における個人情報保護に関するガイドライン 改正案の概要」(2022年1月24日)(https://www.soumu.go.jp/main_content/000789404.pdf)
※13
本GL解説3-5-1
※14
この電気通信事業法改正案については、個人情報保護・データプライバシーニュースレターNo.13において解説していますので、ご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
(2025年1月)
東崎賢治
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)
(2025年1月)
殿村桂司、壱岐祐哉(共著)
(2025年1月)
東崎賢治
(2025年1月)
内海健司、齋藤理、鈴木謙輔、洞口信一郎、鳥巣正憲、滝沢由佳(インタビュー)
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
(2024年10月)
殿村桂司、カオ小池ミンティ(共著)
(2024年10月)
犬飼貴之(共著)
(2024年9月)
中所昌司
(2024年12月)
清水音輝
殿村桂司、小松諒、渡辺雄太(共著)
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年12月)
清水音輝
殿村桂司、小松諒、渡辺雄太(共著)
(2024年11月)
殿村桂司(座談会)
(2024年9月)
中所昌司
(2025年1月)
殿村桂司、壱岐祐哉(共著)
(2024年12月)
清水音輝
殿村桂司、小松諒、渡辺雄太(共著)
(2024年10月)
殿村桂司、カオ小池ミンティ(共著)