1.電気通信事業法の改正
2022年2月に総務省の「電気通信事業ガバナンス検討会報告書」(以下「本報告書」という)が公表されたことを受けて、第208回国会の衆議院に「電気通信事業法の一部を改正する法律案」が上程されました(以下「改正法案」という)。改正法案は5月13日に衆議院で可決され、現在、参議院で審議が行われています。本改正法案は、①電気通信事業者などに対して利用者情報の外部への送信に関する規律を新設したこと、②新たにSNSや検索サービスの事業者を届出の対象としたこと、③大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規律を新設したことなどが注目されています。このブログ記事では、とくに利用者情報に関する部分について見てみたいと思います。
・「電気通信事業ガバナンス検討会報告書」及び意見募集の結果の公表|総務省
・電気通信事業ガバナンス検討会報告書(PDF)|総務省
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
・新旧対照表(PDF)|総務省
(電気通信事業法の具体的な規律。総務省「電気通信事業ガバナンス検討会報告書」70頁より)
2.電気通信事業法の適用対象-「電気通信事業を営む者」・「第3号事業」
本報告書は、電気通信事業法の対象になるかどうかについて、まず「電気通信事業を営む者」に該当するか否かで判断するとしています。この「電気通信事業を営む者」とは、電気通信役務(電気通信設備(光ファイバーなど)を用いて「他人の」通信を媒介し、その他電気通信設備を「他人の」通信の用に供することを反復継続して(「業」として)行い、利益を得ようとしている(「営む」)者のことです。(そのため、例えば企業が自社商品等を掲載するウェブサイトなどは「自分のため」(自己の需要のため)であるので対象外となります。)
(「『電気通信事業を営む者』とは」。総務省「電気通信事業ガバナンス検討会報告書」70頁より)
つぎに、「電気通信事業を営む者」のうち、電気通信回線設備を設置する、または、他人の通信を媒介する者は登録・届出が必要な「電気通信事業者」であるとします(法9条の登録、16条1項の届出)。この電気通信事業者の具体例は、固定電話・携帯電話の事業者、インターネット接続サービス(ISP)、利用者間のメッセージ媒介サービス、ウェブ会議システムなどです。この登録・届出が必要な「電気通信事業者」には、①検閲の禁止(法3条)・通信の秘密の保護(法4条)、②利用の公平(法6条)、③登録・届出、④提供条件の説明などの消費者保護、⑤事故が発生したときの報告、などの義務が課されています。
さらに、「電気通信事業を営む者」のうち、登録・届出が不要な「電気通信事業者」(「電気通信事業を営む者」のうち、電気通信回線設備を設置せず、かつ、他人の通信を媒介しない者)の具体例は、SNS、検索サービス、オンラインでの情報提供サービス、オンラインストレージ、電子掲示板、オンラインのショッピングモールなどですが、これを本報告書と本改正法案は「第3号事業」と呼んでいます(法164条1項3号)。この「第3号事業」については、これまでは、検閲の禁止(法3条)、通信の秘密の保護(法4条)などの義務が課されているだけでした。
しかし本改正法案は、この「第3号事業」のうち、①検索サービスと②SNS、については次の3.のように、規模の大きな事業者を届出の対象とするとしています(改正法案164条2項4号(検索情報電気通信役務)、5号(媒介相当電気通信役務))。
(「電気通信事業法の規律対象の整理」。総務省「電気通信事業ガバナンス検討会報告書」71頁より)
3.「利用者に関する情報についての規制」の新設
本改正法案は、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「利用者に関する情報」(「特定利用者情報」)を適正に取扱う義務を新設することとなっています(改正法案27条の5)。(本報告書はこの大規模な電気通信事業者の目安を、「例えば、国内…1000万人以上」の利用者がある事業者としています(本報告書48頁注65)。)
この「特定利用者情報」とは、①「通信の秘密に該当する情報」、②「利用者を識別することができる情報であって総務省令で定めるもの」、の2つとされています(改正法案27条の5第1号、2号)。また、この「利用者」とは、①「電気通信事業者又は第3号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準じる者として総務省令で定める者」と②「電気通信事業者又は第3号事業を営む者から電気通信役務の提供を受ける者」の2つの者を指すとされています(改正法案2条7号イ、ロ)。そのためこの「利用者」には自然人だけでなく法人も含まれます。
そして、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「特定利用者情報」を適正に取扱う義務とは、具体的にはつぎの4つとなっています。
「特定利用者情報」を適正に取扱う義務
①特定利用者情報の適正な取扱いに関する規定(「情報取扱規程」)の策定・届出(改正法案27条の6)
②特定利用者情報の適正な取扱いに係る方針(「情報取扱方針」)の策定および公表(27条の8)
③特定利用者情報の適正な取扱い状況に関する評価と対策への反映(27条の9)
④特定利用者情報統括管理者の選任(27条の10)
4.「利用者情報の外部送信」に関する規律の新設
(1)「利用者情報の外部送信」に関する規律
また、改正法案は、電気通信事業者または第三号事業を営む者、つまり「電気通信事業を営む者」のうち総務省令で定める者に対して、新たに利用者情報の送信に関する規律が新設されています(改正法案27条の11(情報送信指令通信に係る通知等))。すなわち、利用者がウェブサイトやアプリを利用する際に、利用者の意思によらず、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)がウェブサイト運営者またはアプリ提供事業者またはそれ以外の第三者に外部送信される際に、利用者に確認の機会を与えるための規律です。
この規律は具体的には、電気通信事業を営む者が、利用者のPCやスマートフォン等に記録された利用者に関する端末情報を外部に送信させようとする際には、その情報の内容、送信先等を利用者に通知または利用者が容易に知りうる状態に置かなければならない(自社サイトへの表示など)とするものです。ただし、利用者への通知等はつぎの4つの場合には例外的に不要とされています(田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号52頁)。
利用者への通知等が例外的に不要とされる4つの場合
①適正表示のために必要な情報
(例)文字や画像を適正に表示するためのOS情報、画像設定、言語設定情報など
②利用者の識別符号
(例)ウェブサイトの管理者・運営者が発行している1st Party Cookieなど
③利用者が外部送信に同意している情報
④外部送信についてオプトアウト措置がなされている情報
(田中・蔦・北山・前掲53頁より)
(2)「利用者情報の外部送信」に関する規律と個人情報保護法の個人関連情報との異同
なお、この改正法案の利用者に関する情報の規制と個人情報保護法31条の個人関連情報との異同が問題となりますが、まず個人関連情報は自然人(個人)が対象ですが、改正法案は自然人と法人の両方が対象となります。つぎに個人関連情報は、第三者提供を行い、かつ提供先が当該情報を個人データとして取得する場合に適用されますが、改正法案は利用者に関する情報が外部送信される時点で適用となります。さらに個人関連情報は本人の同意のみしか正当化の根拠がありませんが、改正法案は、本人の同意、通知・公表、オプトアウトと正当化の根拠が複数存在します(田中・蔦・北山・前掲53頁)。
5.その他
その他、改正法案は、①サイバー攻撃への対応の強化、②光ファイバー回線のユニバーサルサービス化のための対応、などの改正が盛り込まれています。
このブログ記事が面白かったらブックマークやシェアをお願いします!
■参考文献
・田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号50頁
・総務省「電気通信事業ガバナンス検討会報告書」
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
