なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:電気通信事業法

display_monitor_computer
1.電気通信事業法の改正
2022年2月に総務省の「電気通信事業ガバナンス検討会報告書」(以下「本報告書」という)が公表されたことを受けて、第208回国会の衆議院に「電気通信事業法の一部を改正する法律案」が上程されました(以下「改正法案」という)。改正法案は5月13日に衆議院で可決され、現在、参議院で審議が行われています。本改正法案は、①電気通信事業者などに対して利用者情報の外部への送信に関する規律を新設したこと、②新たにSNSや検索サービスの事業者を届出の対象としたこと、③大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規律を新設したことなどが注目されています。このブログ記事では、とくに利用者情報に関する部分について見てみたいと思います。

・「電気通信事業ガバナンス検討会報告書」及び意見募集の結果の公表|総務省
・電気通信事業ガバナンス検討会報告書(PDF)|総務省
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
・新旧対照表(PDF)|総務省

図1
(電気通信事業法の具体的な規律。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

2.電気通信事業法の適用対象-「電気通信事業を営む者」・「第3号事業」
本報告書は、電気通信事業法の対象になるかどうかについて、まず「電気通信事業を営む者」に該当するか否かで判断するとしています。この「電気通信事業を営む者」とは、電気通信役務(電気通信設備(光ファイバーなど)を用いて「他人の」通信を媒介し、その他電気通信設備を「他人の」通信の用に供することを反復継続して(「業」として)行い、利益を得ようとしている(「営む」)者のことです。(そのため、例えば企業が自社商品等を掲載するウェブサイトなどは「自分のため」(自己の需要のため)であるので対象外となります。)

図2
(「『電気通信事業を営む者』とは」。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

つぎに、「電気通信事業を営む者」のうち、電気通信回線設備を設置する、または、他人の通信を媒介する者は登録・届出が必要な「電気通信事業者」であるとします(法9条の登録、16条1項の届出)。この電気通信事業者の具体例は、固定電話・携帯電話の事業者、インターネット接続サービス(ISP)、利用者間のメッセージ媒介サービス、ウェブ会議システムなどです。この登録・届出が必要な「電気通信事業者」には、①検閲の禁止(法3条)・通信の秘密の保護(法4条)、②利用の公平(法6条)、③登録・届出、④提供条件の説明などの消費者保護、⑤事故が発生したときの報告、などの義務が課されています。

さらに、「電気通信事業を営む者」のうち、登録・届出が不要な「電気通信事業者」(「電気通信事業を営む者」のうち、電気通信回線設備を設置せず、かつ、他人の通信を媒介しない者)の具体例は、SNS、検索サービス、オンラインでの情報提供サービス、オンラインストレージ、電子掲示板、オンラインのショッピングモールなどですが、これを本報告書と本改正法案は「第3号事業」と呼んでいます(法164条1項3号)。この「第3号事業」については、これまでは、検閲の禁止(法3条)、通信の秘密の保護(法4条)などの義務が課されているだけでした。

しかし本改正法案は、この「第3号事業」のうち、①検索サービスと②SNS、については次の3.のように、規模の大きな事業者を届出の対象とするとしています(改正法案164条2項4号(検索情報電気通信役務)、5号(媒介相当電気通信役務))。

図3
(「電気通信事業法の規律対象の整理」。総務省「電気通信事業ガバナンス検討会報告書」71頁より)

3.「利用者に関する情報についての規制」の新設
本改正法案は、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「利用者に関する情報」(「特定利用者情報」)を適正に取扱う義務を新設することとなっています(改正法案27条の5)。(本報告書はこの大規模な電気通信事業者の目安を、「例えば、国内…1000万人以上」の利用者がある事業者としています(本報告書48頁注65)。)

この「特定利用者情報」とは、①「通信の秘密に該当する情報」、②「利用者を識別することができる情報であって総務省令で定めるもの」、の2つとされています(改正法案27条の5第1号、2号)。また、この「利用者」とは、①「電気通信事業者又は第3号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準じる者として総務省令で定める者」と②「電気通信事業者又は第3号事業を営む者から電気通信役務の提供を受ける者」の2つの者を指すとされています(改正法案2条7号イ、ロ)。そのためこの「利用者」には自然人だけでなく法人も含まれます。

そして、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「特定利用者情報」を適正に取扱う義務とは、具体的にはつぎの4つとなっています。

「特定利用者情報」を適正に取扱う義務

①特定利用者情報の適正な取扱いに関する規定(「情報取扱規程」)の策定・届出(改正法案27条の6)
②特定利用者情報の適正な取扱いに係る方針(「情報取扱方針」)の策定および公表(27条の8)
特定利用者情報の適正な取扱い状況に関する評価と対策への反映(27条の9)
特定利用者情報統括管理者の選任(27条の10)

4.「利用者情報の外部送信」に関する規律の新設
(1)「利用者情報の外部送信」に関する規律
また、改正法案は、電気通信事業者または第三号事業を営む者、つまり「電気通信事業を営む者」のうち総務省令で定める者に対して、新たに利用者情報の送信に関する規律が新設されています(改正法案27条の11(情報送信指令通信に係る通知等))。すなわち、利用者がウェブサイトやアプリを利用する際に、利用者の意思によらず、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)がウェブサイト運営者またはアプリ提供事業者またはそれ以外の第三者に外部送信される際に、利用者に確認の機会を与えるための規律です。

この規律は具体的には、電気通信事業を営む者が、利用者のPCやスマートフォン等に記録された利用者に関する端末情報を外部に送信させようとする際には、その情報の内容、送信先等を利用者に通知または利用者が容易に知りうる状態に置かなければならない(自社サイトへの表示など)とするものです。ただし、利用者への通知等はつぎの4つの場合には例外的に不要とされています(田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号52頁)。

利用者への通知等が例外的に不要とされる4つの場合

①適正表示のために必要な情報
(例)文字や画像を適正に表示するためのOS情報、画像設定、言語設定情報など

②利用者の識別符号
(例)ウェブサイトの管理者・運営者が発行している1st Party Cookieなど

③利用者が外部送信に同意している情報

④外部送信についてオプトアウト措置がなされている情報
(田中・蔦・北山・前掲53頁より)

(2)「利用者情報の外部送信」に関する規律と個人情報保護法の個人関連情報との異同
なお、この改正法案の利用者に関する情報の規制と個人情報保護法31条の個人関連情報との異同が問題となりますが、まず個人関連情報は自然人(個人)が対象ですが、改正法案は自然人と法人の両方が対象となります。つぎに個人関連情報は、第三者提供を行い、かつ提供先が当該情報を個人データとして取得する場合に適用されますが、改正法案は利用者に関する情報が外部送信される時点で適用となります。さらに個人関連情報は本人の同意のみしか正当化の根拠がありませんが、改正法案は、本人の同意、通知・公表、オプトアウトと正当化の根拠が複数存在します(田中・蔦・北山・前掲53頁)。

5.その他
その他、改正法案は、①サイバー攻撃への対応の強化、②光ファイバー回線のユニバーサルサービス化のための対応、などの改正が盛り込まれています。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号50頁
・総務省「電気通信事業ガバナンス検討会報告書」
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院













このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.はじめに
朝日新聞の3月17日の報道によると、通信アプリLINE(国内の月間利用者約8600万人)が、中国の関連会社にシステム開発を委託し、同社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことが発覚したとのことです。LINEは個人情報保護委員会に報告を行うとともに、第三者委員会を設置して調査を行うとのことです。このブログ記事では、本漏洩事故について、おもに個人情報保護法および電気通信事業法から検討してみたいと思います。

・LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞
■関連
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

2.事実の概要-漏洩したおそれのある個人情報
(1)中国の関連会社
朝日新聞によると、LINEはAIなどの開発を中国の関連会社に委託し、同社の技術者らが日本のLINEのサーバーに保管されている、利用者のLINEID、氏名、電話番号、メールアドレス、利用者の書き込み(「トーク」)などの個人情報・個人データにアクセスすることができたとされています。また、アクセス可能であった期間は2018年8月から2021年2月24日までだったとのことで、同社から少なくとも32回、サーバーへのアクセスが確認されているとのことです。朝日新聞3月17日の35面の記事によると、LINEは中国関連会社によるアクセスが「何の目的で、どのような情報にアクセスしていたか不明」であるとのことです。

(2)大連の業務委託
さらにLINEはタイムラインなどのサービスでの不適切な書き込みなどを監視する目的で、日本の通信業務代行会社に業務を委託し、同社が中国遼寧省の大連にある中国法人に業務を再委託していたとのことです。大連の中国法人も、業務のために日本のLINEのサーバーにアクセスし、トークや画像、動画などの監視業務を行っていたとのことです。

3.個人情報保護法
(1)個人情報保護法22条(委託先の監督)
個人情報保護法20条は、LINEなどの個人情報取扱事業者に対して、「個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定し、保有する個人データの漏洩、滅失または毀損の防止のために「安全管理措置」を講じなければならないと規定しています。この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「8-6 技術的安全管理措置」は、不要な個人データ等に従業員等がアクセスできないようにするなどの「アクセス制御」などの措置を実施するように事業者に求めています。

そして、同22条は、事業者が個人データの取扱を委託する場合には、その委託先において個人データの安全管理措置が講じられるように、当該委託先を監督しなければならないと規定しています(委託先の監督)。この委託元の委託先の監督の責任には、当然、再委託先の監督を行う責任も含まれます。

(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「3-3-4 委託先の監督(法第22条関係)」はつぎのように規定しています。

個人情報保護法ガイドライン(通則編)
3-3-4 委託先の監督(法第22条関係)
「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
(1)適切な委託先の選定
(2)委託契約の締結
(3)委託先における個人データ取扱状況の把握」

そして、「【委託を受けた者に対して必要かつ適切な監督を行っていない事例】」として、「事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」を挙げています。

LINEは、中国の関連会社などに自社の個人データの取扱の一部を委託していたわけですが、中国の関連会社からLINEの日本のサーバーへのアクセスが「何の目的で、どのような情報にアクセスしていたか不明」という状態であったのですから、委託先への監督が不十分であったとして、個人情報保護法22条に違反・抵触しているおそれがあるのではないでしょうか。

2014年のベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定し、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

個人情報保護法22条の委託先の監督は、いわば法20条の安全管理措置の委託先バージョンです。そのため、もしLINEの個人情報漏洩について利用者から損害賠償を求める民事訴訟が提起された場合、ベネッセ事件と同様に裁判所がLINEの安全管理措置の違背を認定し、損害賠償責任を認める可能性はあるのではないでしょうか。

(2)個人情報保護法24条(外国にある第三者への提供の制限)
つぎに、平成27年の法改正で新設された個人情報保護法24条は、外国にある第三者への提供の制限に関する規定を置いています。

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

すなわち、①提供先の第三者(=事業者など)が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合②提供先の事業者が所在する外国の個人情報保護法制が日本と同等の水準にあると認められる場合には、個人情報保護法23条1項各号のいずれかの提供方法(本人同意、オプトアウト、委託・合併・共同利用)で個人データを提供することができます。しかし、①②に該当しない場合は、③外国の第三者への提供を認める旨の本人の同意が必要となります(法24条)

この点、②の「外国の個人情報保護法制が日本と同等と認められる場合」の外国については、個人情報保護委員会が個人情報保護の観点や外交上の観点から、「ホワイトリスト方式」(日本版十分性認定)による規則を定めることとされており、この点、個人情報保護委員会は、2019年1月にEUおよびイギリスを、「外国の個人情報保護法制が日本と同等と認められる外国」に認定する規則を制定しています(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)。したがって、EUおよびイギリスではない中国、韓国は②には該当しません。

また、①「提供先の第三者が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合」の「事業者が講じる体制」については、個人情報保護法ガイドラインは、APEC‐CBPRに適合している事業者であればこの要件を満たすとしていますが、LINEの件ではこの点は報道ではまだよくわかりません。(しかしこの点をLINE側が積極的にアピールしていない以上は、LINEの委託先・再委託先の事業者はこの要件を満たしていないと考えたほうよいのではないかと思われます。)

そうなると、NINEとしては、③の「外国の第三者への提供を認める旨の本人の同意」が必要となります(法24条)。

この点、LINEのプライバシーポリシーをみると、「5.パーソナルデータの提供」は、つぎのように、「当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。」と規定しています。

LINEプライバシーポリシー「パーソナルデータの提供」
(LINEプライバシーポリシーより)

・LINEプライバシーポリシー

法24条の③の「外国の第三者への提供を認める旨の本人の同意」の「外国」については、改正法の立案担当者は、「原則として国レベルで足りると解されているが、州レベルで差異が激しい場合は国名だけでなく州名もあげるべき」としており、最低限、国レベルの明示は必要であるとしています(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』143頁)。

したがって、プライバシーポリシーにおいて、中国の国名をあげずに「第三国」とのみしか標記していないNINEは、個人情報保護法24条に違反・抵触しているおそれがあります。

■追記(2021年3月26日)
この個人情報保護法24条の「外国」の国名の表示が必要か否かについては、次のブログ記事もご参照ください。

・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

すなわち、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、法24条の外国の国名を明示しなくてもよい場合の具体例を3つ例示しています。しかし、LINEはその3つの具体例のどれにも当てはまらないので、結論としてLINEはプライバシーポリシーで個人データの移転先の国名を明示することが必要であり、やはり個人情報保護法24条・個人情報ガイドラインQA9-2、9-3に抵触・違反しているものと思われます。

4.電気通信事業法など
LINEは電気通信事業者であり(届出電気通信事業者A-20-9913)、電気通信事業法上の責任を負っています。

憲法21条2項は「通信の秘密を規定し、これを受けて電気通信事業法4条通信の秘密の規定を置いています。また、同179条通信の秘密漏洩について罰則規定を置いています。さらに同28条、施行規則57条は、通信の秘密侵害に関する重大事故が発生した場合は、事業者は総務大臣に速やかな報告を行うとともに、30日以内に詳細な報告を行わなければならないと規定しています(業務の停止等の報告)。

この「通信の秘密」には、「通信の内容」だけでなく、「通信の外形的事項」(通信のメタデータ、通信の構成要素、通信データ)も含まれ、通信の送信者・受信者、宛先の住所・電話番号・メールアドレス、通信の個数や通信日時などが含まれるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決)。

今回の漏洩事故においては、「トーク」という「通信内容」とともに、「利用者のLINEID、氏名、電話番号、メールアドレス」などの「通信の外形的事項」に関する情報も漏洩したおそれがあるため、本漏洩事故は、電気通信事業法4条にも違反・抵触しているおそれがあります。

なお、電気通信事業法の「通信の秘密」に関しては、3月10日に総務省から楽天モバイルに対して行政指導が出されたばかりです。

・楽天モバイル株式会社に対する個人情報及び通信の秘密の保護の徹底に係る措置(指導)|総務省

さらに、LINEは信用スコア、融資、決済サービス、証券業、FX、仮想通貨、生命保険・損害保険などの事業も行っているため、LINEは金融庁に報告を行う必要があるものと思われます(「金融分野における個人情報保護に関するガイドライン」17条、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-6-1、6-6-1、保険業法100条の2、保険業法施行規則53条の8)。

また、LINEは、コロナに関するアンケート調査を2020年に複数回実施し、その結果を厚労省などに提供しています。また、近年LINEは、利用者が医者にLINEアプリで医療に関する相談などを行える事業(LINEヘルスケア)も展開しています。加えて、利用者が弁護士に相談を行える事業も実施しています。とくにコロナや医療に関する医療データ・傷病データは、個人情報のなかでもデリケートなセンシティブ情報(要配慮個人情報)です。

さらに、LINEは「LINEキャリア」などにおいて人材紹介ビジネスも行っているようです。履歴書・職務経歴書などをLINE上で作成して求人企業などに応募できるサービスや、LINE上でのユーザーの閲覧履歴・検索履歴などから求人企業とのマッチングなどを行っているようですが、2019年のリクナビ事件のように、就職活動・転職活動はこれもデリケートな個人情報保護やプライバシー保護が必要な分野です(職業安定法5条の4、厚労省指針通達平成11年第141号第4)。そのため、LINEは厚労省などに対しても報告を行う必要があると思われます。

(リクナビ事件に関する、厚労省および個人情報保護委員会の行政処分など)
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会

さらに、LINEがもし欧州に支店などを設置するなどして、欧州市民の個人データを取扱っていた場合は、GDPRに基づく迅速な報告が必要となります。

5.まとめ
この漏洩事故について、湯浅墾道・情報セキュリティ大学院大学副学長(情報法)は、「何の目的でどの情報にアクセスがあり、それがどの情報なのかをLINEが把握できていないのであれば、情報漏洩の恐れのある重大事故と言い得る」「政府や自治体はLINEとの連携の内容を再確認すべきだ。」と朝日新聞3月17日付の記事(35面)にコメントを寄せておられますが、まさにその通りであると思われます。

本漏洩事故は、日本の約8600万人のセンシティブな医療データ・金融データなどを含む個人情報・個人データおよび通信の秘密の漏洩事故であり、しかもその分野が情報通信、金融・保険、医療、雇用、国・自治体の行政サービスなどさまざまな分野におよぶという点で前例のない重大な個人情報漏洩事故です。

■追記(2021年3月17日20時)
朝日新聞の3月17日19時の続報によると、LINEはトークに投稿されたすべての画像・動画データ韓国の関連会社ネイバー(NAVER)のサーバーに保管していることがわかったとのことです。また、LINEもようやくプレスリリースを公表したようです。

・日本のLINE利用者の画像・動画全データ、韓国で保管|朝日新聞
・ユーザーの個人情報に関する一部報道について|LINE

個人情報保護法24条の「外国にある第三者への提供」の問題に、中国だけでなく韓国も加わったことになります。

しかし「すべて」の画像・動画データが韓国のサーバーにあるというのは驚きです。この画像・動画データには、当然、LINEヘルスケアや、厚労省が委託したコロナに関するアンケート調査などの日本国民の医療データ・傷病データなどのセンシティブ情報(要配慮個人情報)や、金融資産などに関するデリケートな個人情報も含まれているはずです。

上でみたように、LINEのプライバシーポリシーに、個人データの提供先に「韓国」が明示されていない以上、本人の同意は得られておらず、LINEは韓国のサーバーとの関係でも個人情報保護法24条に違反しているものと思われます。

また、上でもみたように、個人情報保護法20条および同ガイドラインは、個人情報取扱事業者に個人データのアクセス制御などの安全管理措置をとることを要求し、同22条は委託先の監督の義務を課しており、同ガイドラインは委託先がアクセス可能なデータは委託の目的から必要最低限にすること等を求めていますが、すべての画像・動画データが韓国のサーバーにあるというLINEの状況は、個人情報保護法20条、22条の安全管理および委託先の管理の法的義務を完全に逸脱したものであり違法です。

個人データの越境の問題は、通信の秘密、個人データ保護、プライバシー保護の問題であるとともに、企業の営業秘密や国の警察活動や安全保障・外交の問題でもあります。LINEの問題が今後どう進展してゆくか大いに注目されます。

■追記(2021年3月19日13時)
3月19日、NHKなどの報道によると、総務省は自省がLINEにより行っている行政サービス(意見募集や問い合わせ対応)を停止するとともに、全国の自治体に対して、LINEを使った行政サービスの利用状況を3月26日までに報告するよう求めることを決定したとのことです。また、政府は、内閣官房を含め、各省庁におけるLINEの利用状況の確認を始めたとのことです。さらに、個人情報保護委員会は現在、LINEに対して報告を求めている状況とのことです。

・LINEでの行政サービス停止 総務省|NHK

■追記(2021年3月20日)
3月19日、LINEに対して総務省は、個人情報、通信の秘密およびサイバーセキュリティ上の支障等に関して電気通信事業法166条1項に基づき報告徴収を行ったとのことです。また同日、個人情報保護委員会もLINEに対して、個人情報保護法40条に基づき報告徴収を行ったとのことです。さらに、ZホールディングスはLINEの問題について調査委員会を設置したとのことです。

・LINE株式会社に対する報告徴収|総務省
・第168回個人情報保護委員会を開催しました|個人情報保護委員会
・総務省 LINEに報告求める 中国の会社のアクセス問題で|NHK
・政府の個人情報保護委員会 LINEに報告求める|NHK
・外部有識者による、グローバルなデータガバナンスに関する特別委員会の開催のお知らせ|Zホールディングス

■追記(2021年3月21日)
3月21日付の朝日新聞の記事によると、LINEの個人データの中国や韓国の委託先・関連企業での違法・不当な取扱については、ヤフージャパンとLINEとの経営統合の話し合いの過程のなかで、遅くとも2021年1月には、ヤフージャパンも知るところとなったとのことです。
もしこれが事実であれば、LINEの経営陣だけでなく、経営統合のため動いていたヤフージャパンの経営陣や親会社のZホールディングスの経営陣の責任問題となるのではないでしょうか。
つまり、会社の経営陣は「取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない」という取締役の忠実義務の責任を負っています(会社法355条、民法644条)。この「法令」には個人情報保護法や電気通信事業法などはもちろん含まれます。そして、取締役に任務の懈怠などがあった場合は、その取締役は会社に対して損害賠償責任を負うこととなります(会社法423条)。このような事態となれば、LINEだけでなくヤフージャパンやZホールディングスは、株主からの株主代表訴訟を提起される法的リスクも負うことになります(会社法847条)。
なお、取締役の忠実義務に関しては経営判断の原則が問題となりますが、この経営判断も、あくまでも法令を遵守した上での経営者の経営上のリスクテイクなどの判断の是非が問題となるのであって、「違法な経営判断」が経営判断原則で合法化・正当化されるわけではありません(前田庸『会社法入門 第12版』412頁)。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

■追記(2021年3月31日)
個人情報保護委員会は3月26日に中間報告のプレスリリースを公表しました。それによると、LINEから報告書が提出されたものの、資料が不十分なため、個人情報保護法22条および24条について適法かどうかについて今後も調査を行うこと、中国からのアクセスが遮断されているかどうか引き続き監督を行うことなどが説明されています。また、報道によると、3月31日に個人情報保護委員会は、LINEとZホールディングスに対して立入検査を実施したとのことです。

・個人情報の保護に関する法律に基づく行政上の対応について(令和3年3月26日)|個人情報保護委員会
・LINEなどに立ち入り検査を実施 政府の個人情報保護委員会|NHK

■追記(2021年4月7日)
個人情報保護委員会の4月7日付のプレスリリースで公表されているLINEの個人情報に関する2回目の中間報告(「LINE(株)の個人情報の取扱いに関する対応について」)によると、個人情報保護委員会は現在もLINEの調査を継続中のようです。LINEの利用再開を開始した一部の官庁や自治体は、勇み足なのではないでしょうか。

・第171回 個人情報保護委員会|個人情報保護委員会

■追記(2021年4月23日)
4月23日、個人情報保護委員会は、LINE社に対して行政指導を行った旨のプレスリリースを発表しました。

・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会

・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの海外への移転に関する規制(法24条)については違反とは認定しなかったようです。法24条に関しては、現行法が大雑把にしか規定していないのでやむを得ないということなのでしょうか。なお、リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。

とはいえ、LINE社およびZホールディングスの経営陣は、個人情報保護委員会のプレスリリースの次のくだりを胸に刻み、大いに反省すべきではないでしょうか。

LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要

LINE行政指導1
LINE行政指導2

■追記(2021年4月26日)
4月26日、総務省はLINEに対する行政指導を行ったとのプレスリリースを発表しました。

・LINE株式会社に対する指導

・LINEの通信の秘密の問題に対して総務省が行政指導を実施

■追記(2021年4月30日)
内閣官房、個人情報保護委員会、金融庁、総務省は4月30日、「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を公表しました。

・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

同ガイドラインは国・自治体等の行政機関に対して、LINEサービスの利用について、①個人情報や機密情報に関する取扱いは原則禁止とし、相談業務サービスなどをLINE上で実施する場合にはLINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること等、②国・自治体等が個人アカウントで機密情報等を取扱うことの禁止、などを規定しています。
国・自治体のLINEガイドライン

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・前田庸『会社法入門 第12版』412頁

■関連するブログ記事
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

アクセス警告方式の図
(ACTIVEのアクセス警告方式のイメージ図。総務省サイトより。)

1.はじめに
出版業界からの強いロビー活動により、政府与党はネット上のマンガの海賊版対策を相次いで検討しているところですが、いわゆる「ブロッキング」、また著作権法の一部改正による「ダウンロード違法化対象拡大」などの案は、それぞれの問題点の大きさから頓挫してきました。そのようななか、政府は4月19日より総務省の検討委員会において、マンガの海賊版対策として、「アクセス警告方式」の検討を始めました。しかし、マンガの海賊版対策としてアクセス警告方式は妥当なものといえるのでしょうか?

2.アクセス警告方式
「アクセス警告方式」とは、「ユーザー(国民)の同意に基づき、インターネット接続サービスプロバイダ(ISP)において、ユーザーのネット上での全てのアクセス先をチェックし、特定の海賊版サイトへのアクセスを検知した場合、「本当に海賊版サイトにアクセスしますか? はい/いいえ」等の警告画面を表示させる仕組み」とされています(「総務省 資料1-5 アクセス抑止方策に係る検討の論点(案)」2頁より)。

・インターネット上の海賊版サイトへのアクセス抑止方策に関する検討会(第1回)配布資料|総務省

このアクセス警告方式は、サイバー攻撃に対応するためのACTIVE(Advanced Cyber Threats response InitiatiVE)という取り組みにおいて採用されているものを、2018年8月のブロッキングの是非が検討された「インターネット上の海賊版対策に関する検討会議5回」において、憲法の宍戸常寿・東大教授がブロッキングに代わる案として提案したものです(2018年8月24日宍戸常寿「アクセス警告方式について」、2018年8月30日宍戸常寿「アクセス警告方式について(補足)」)。

宍戸教授はその提案書において、「通信の秘密の利益の放棄に係る「真性の同意」の条件につき、ACTIVEの整理を参考にすれば、一般的・類型的に見て通常の利用者による許諾が想定でき、オプトアウトを条件としつつ、以下の条件を満たせば、海賊版サイトについてもアクセス警告方式を導入することは可能ではないか」として、その条件を、「①静止画ダウンロードが違法化されること、②警告画面の対象となる海賊版サイトの基準が合理的かつ必要最小限度の範囲であること、③海賊版サイト該当性が公正に判断されていること」の3点としています。

すなわち、宍戸教授のアクセス警告方式をマンガ海賊版サイトに転用するという提案は、国会での審議を経た立法手当ではなく、民間企業たるISPにおける規約・約款的な措置で海賊版サイトへの対応を行ってしまおうというものです。

3.通信の秘密
この点、法令をみると、憲法21条2項が通信の秘密について定め、業法である電気通信事業法4条1項も通信の秘密を事業者に義務づけ、同179条は通信の秘密侵害に対する罰則を置いています。

憲法
第21条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
  検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

電気通信事業法
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。

憲法21条2項後段が国民の基本的人権として、「通信の秘密」を保障しているのは、通信が表現行為の一つであるからだけでなく、通信の秘密が私生活の保護、すなわち憲法13条に基づくプライバシーの権利を保障の根本としているとされています(芦部信喜『憲法 第7版』230頁)。

そのため、通信の秘密の対象は、手紙やメールの本文、電話の通話内容などの通信の内容が含まれることは当然として、通信の宛先・住所、電話番号、メールアドレスなどの通信データ・メタデータなどの通信の外形的事項も含まれると判例・学説・実務上理解されています(曽我部真裕・林秀弥・栗田昌裕『情報法概説』51頁)。

ところで、通信の秘密も基本的人権ではあるものの無制約ではなく、その規制の適法性は「必要最小限度」の制約であるか否かにより判断されます(長谷部恭男『註釈日本国憲法(2)』435頁〔阪口正二郎〕)。

この点、昨年8月に海賊版サイト対策にアクセス警告方式の転用を提案した宍戸教授が、その前提条件の一つとして「静止画ダウンロードが違法化されること」をあげているのは、この必要最小限度の要件をクリアするためであろうと思われます。

宍戸教授は、上であげた2018年8月30日付の「アクセス警告方式(補足)」において、この静止画ダウンロード違法化がなされないままアクセス警告方式が行われることの問題をつぎのように説明しています。

一般的・類型的に見て通常の利用者による許諾を想定できるといえる典型的な状況が利用者本人にとっての不利益を回避する場合であり、利用者に違法行為をさせないという点で明確である。仮に、海賊版サイトの閲覧行為が利用者本人にとって法的に消極的に評価されることを明確化できないのであれば、海賊版サイトの閲覧行為がマルウェア感染等別の形で利用者本人の不利益になるおそれが一般的にあるかどうかによることになる(あるいは、そのようなおそれのある海賊版サイトに警告表示を限定する等の工夫が必要になる)。特段そのような事情がないにもかかわらず警告方式を用いようとすることは、約款による同意が通信の秘密の放棄と評価できないおそれがあるとともに、利用者に対する警告の感銘力も低下し、対策の実効性も低下する点にも注意が必要である。


このように、アクセス警告方式の提案者本人である宍戸教授ですら、静止画ダウンロード違法がなされないままのアクセス警告方式の導入は困難としているのですから、現段階でのアクセス警告方式の導入は通信の秘密に対する必要最小限度の制約を超えたものであり、法的に無理であるといえます。

また、かりに海賊版サイト対策のためにアクセス警告方式を導入すると、ISPはすべてのユーザー・国民のすべてのウェブサイトのアクセス先を24時間365日チェックし続けることになるわけですが、これも「必要最小限度」の度合いを超えており、通信の秘密の侵害となるのではないでしょうか。

総務省は、通信の秘密のうちアクセス先・URLなどの通信データ・メタデータを取得しているだけだから通信の秘密侵害にならないと主張するようですが、アクセス先・URLなどの通信データ・メタデータなどの外形的事項も通信の秘密の保障の範囲内であることは、憲法・情報法の判例・通説・実務がこれまで認めてきたところです(長谷部恭男『註釈日本国憲法(2)』435頁〔阪口正二郎〕、曽我部真裕・林秀弥・栗田昌裕『情報法概説』51頁、大阪高裁昭和41年2月26日判決)。

同時に、電気通信事業法3条は、電気通信事業者による検閲を禁止していますが、ISPによる24時間365日のユーザーのネット上の挙動のモニタリングは、この検閲に抵触しないのかも問題になると思われます。

4.約款論
さらに、宍戸教授および総務省は、「アクセス警告方式は、つぎの3要件を満たせば、通常緒の利用者であれば許諾すると想定されるので、約款に基づく事前の包括的同意であっても有効である」と主張しています。これは民法・商法の分野で議論されてきた、約款という制度を説明するための民法学者のとる意思推定理論にたっているものと思われます。

意思推定理論とは、「約款の開示とその内容に合理性があるならば、契約としての意思の合致を擬制してもよい」というものです(近江幸治『民法講義Ⅴ契約法[第3版]』24頁)。

この点、意思推定理論によると、約款には「合理性」が必要となります。しかし、静止画ダウンロードが違法化されていない現時点においては、海賊版サイトへのアクセスが別に違法でもなんでもないにもかかわらず、ISPが24時間365日、ユーザー・国民のネット上の挙動をモニタリングしつづけるという「約款」は、あまりにも国民の通信の秘密を侵害しており、当該約款には合理性が無く違法ということになるのではないでしょうか。

むしろ海賊版サイト対策のためにISPが24時間365日、ユーザー・国民のネット上の挙動をモニタリングしつづけることは、ユーザー・国民の法令上の権利を不当に制限する「不当条項」に該当するとして、消費者契約法10条、改正民法548条の2第2項に照らして無効と裁判所等に判断される可能性があるのではないでしょうか。

5.サイバー攻撃対策のアクセス警告方式を海賊版サイト対策に持ってくることの違和感
最後に、そもそも宍戸教授や総務省などが、サイバー攻撃対策のためのACTIVEのアクセス警告方式を海賊版サイト対策に持ってくることに、強い違和感というか、法的バランスの悪さを感じます。

ACTIVEのアクセス警告方式も24時間365日すべてのユーザーのすべてのネット上の挙動をモニタリングするという通信の秘密という基本的人権を侵害する制度なのですから、本来は通信傍受法などのように、国会での審議を経て立法手当をした上で行うべきです。

ただし、ACTIVEのアクセス警告方式は、サイバー攻撃から日本の個人・法人・国など社会全体のサイバーセキュリティを守るためという、刑法的にいえば社会的保護法益を守るという趣旨の制度であるがゆえに、かろうじて「アクセス警告方式=民間企業の約款」制度が不問にふされているだけであろうと思われます。

一方、今回問題となっている、マンガの海賊版サイトの件は、はっきり言ってしまえば、たかだか出版社と漫画家達の個人的・個社的な利益である財産的法益の侵害が問題となっているに過ぎません(漫画家の先生方には申し訳ございませんが)。社会全体のサイバーセキュリティの保護という社会的法益に比べれば非常に軽い保護法益です。

そもそもこの財産的な損失は、出版社などが民事訴訟を海賊版サイトに提起するなどして自己責任で何とかすべき筋の話です。国がこうも出版業界のために様々な政策案を検討してあげているのも、何らかの薄ら暗いものを感じさせます。

秤にかけられている対立利益が国民の重要な精神的利益である通信の秘密・プライバシー権であることをも考えると、ACTIVEのアクセス警告方式をそのままマンガ海賊版サイト対策にもってくることは法的に無理筋すぎると感じます。

例えるならば、出版社などの財産的利益の侵害という「はえ」を倒すのに、ブロッキングと同レベルに国民の通信の秘密を侵害するアクセス警告方式という「大なた」を立法手当もないままに振り回す行為は、日本の個人にも国家にもよいことがないと思われます。

■関連するブログ記事
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密

■参考文献
・芦部信喜『憲法 第7版』230頁
・長谷部恭男『註釈日本国憲法(2)』435頁〔阪口正二郎〕
・曽我部真裕・林秀弥・栗田昌裕『情報法概説』51頁
・近江幸治『民法講義Ⅴ契約法[第3版]』24頁


法律・法学ランキング

情報法概説 第2版

憲法 第七版

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ