見出し画像

連載「放送と配信が区別できない世界でー個人情報保護の観点からー」

【放送と配信の垣根はいまや無いに等しい。この状況下で、個人情報の保護はいかになされるべきか。専門家による連載の第3回】

大平 修司(弁護士)
矢内 一正(TBSテレビビジネス法務部)


第3回「電気通信ガイドラインの世界」
 第1 電気通信ガイドライン
  1 規制対象
  2 通信の秘密に係る個人情報
  3 位置情報
  4 その他
   ① 利用目的の限定
   ② 保存期間の定め及び消去
   ③ 利用明細
 第2 電気通信事業法によるCookie規制
  1 Cookieの仕組み
  2 規制の概要
   ① 規制の対象となる者
   ② 規制の対象となる行為
   ③ 例外規定
 第3 残された検討課題

第3回 「電気通信ガイドラインの世界」

第1 電気通信ガイドライン

 インターネット上のサービスに関しては、後述する「通信の秘密」と直接関わる極めて高い公共性を有しており、かつ、プライバシーの保護を必要とする情報を取り扱うことも想定されることから、そこで取り扱われる個人情報を保護する必要性は大きい。
 そこで、電気通信ガイドラインは、「通信の秘密」等を含む個人情報の取扱いについて、通常の個人情報とは異なる上乗せ規制を設けている。その特色は、以下のとおりである。

1 規制対象
 電気通信ガイドラインは、専ら「電気通信事業者」を名宛人としている。この「電気通信事業者」とは、「電気通信事業¹を行う者」とされる²。ここで注意が必要(というかトリッキー)なのは、電気通信事業法における「電気通信事業者」の定義と、電気通信ガイドラインにおける「電気通信事業者」の定義が異なる点である。
 前者すなわち電気通信事業法上の「電気通信事業者」は、電気通信事業を営むことについて「総務大臣の登録を受けた者」と「総務大臣に届出をした者」という定義になっている³。要するに、国に登録や届出をした者が法律上の「電気通信事業者」になるのだが、後者すなわち電気通信ガイドライン上の「電気通信事業者」は、そうではなく、上述のとおり「電気通信事業を行う者」とされているのである。
 例えば、電話、ケーブルテレビ(CATV)、電子メール、クローズド・チャット等のサービスを提供する者は、登録又は届出が必要となる電気通信事業を営む者として、電気通信事業法の適用を受けるが、利用者間のメッセージの媒介を行わない電子掲示板等の開設であって、電気通信回線設備を設置しないものについては、同法による規制の大部分の対象外となり、登録又は届出が不要な電気通信事業にあたるものとされる⁴。しかし、これは「電気通信事業を行う者」であることには相違ないので、その者は電気通信ガイドラインの適用対象となる。電気通信ガイドラインは、このようなトリッキーな仕方で、電気通信事業法の主要な規制の対象外である「電子掲示板」や、これに類するサービス(例えば、ニュース配信サイトやコンテンツ配信アプリ、インターネット上のショッピングモールなど)もストレートに規制の対象としているのである。

2 通信の秘密に係る個人情報
 電気通信ガイドラインにいう「通信の秘密」とは、電気通信事業法上定められる電気通信に関する通信の秘密のことをいう。ここで、「電気通信」とは、電子メールやSNS上のメッセージのやりとり、各種情報のオンライン提供などが具体的な例として挙げられる。
 通信の秘密には、通信内容はもちろん、通信当事者の住所、氏名、通信日時、発信場所等通信の構成要素や通信の存在の事実の有無が含まれる⁵。
 通信の秘密は、電気通信事業法第4条第1項に定められるとおり、これを侵してはならない⁶。ただし、刑法第35条に定められる「法令又は正当な業務による行為」(いわゆる正当業務行為)による場合には、例外的に本人の同意なくして取得、保存、利用及び第三者提供することができる。したがって、例えば、課金、料金請求、苦情対応、不正利用の防止その他の業務の遂行(取得、保存、利用)上必要な場合において、通信履歴⁷を記録し必要最小限の期間保存し、その目的のために利用することなどは、正当業務行為として許容される⁸。

3 位置情報
 「位置情報」とは、移動体端末を所持する者の位置を示す情報であって、発信者情報⁹でないものをいう¹⁰。例えば、「通信事業者が基地局をベースに取得する携帯等端末ユーザーの位置情報」や「携帯等端末のGPS機能やWi-Fi機能を利用して取得される端末ユーザーの位置情報」などがこれに該当する¹¹。
 位置情報は、必ずしもそれ単体で個人情報に該当するものではないが、勤務先の住所や自宅の住所など他の情報と照合することで、特定の個人が識別され個人情報となる場合がある。さらに、通信に伴い取得される場合は、上述した「通信の秘密」に該当することにもなる。
 そのため、位置情報は、要配慮個人情報や通信の秘密と同様に、これを取得、保存、利用又は第三者提供をする際には、原則として、本人の個別具体的かつ明確な同意が必要となる。ただし、上述した「正当業務行為」による場合には、例外的に本人の同意なくして取得、保存、利用又は第三者提供をすることができるとされる¹²。

4 その他

① 利用目的の限定(電気通信ガイドライン第4条第3項)
第4条 電気通信事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 (略)
3 第1項により特定する利用目的は、電気通信サービスを提供するため必要な範囲を超えないよう努めなければならない。

 個人情報を取り扱うに当たって特定する利用目的は、電気通信サービスを提供するため必要な範囲を超えないようにする努力義務が課されている。努力義務ではあるものの、遵守しようとするとややハードルの高い上乗せ規制である。

② 保存期間の定め及び消去(電気通信ガイドライン第11条)
第11条 電気通信事業者は、個人データ(通信の秘密に係るものを除く。以下この条において同じ。)を取り扱うに当たっては、利用目的に必要な範囲内で保存期間を定め、当該保存期間経過後又は利用する必要がなくなった後は、当該個人データを遅滞なく消去するよう努めなければならない。(略)
2 電気通信事業者は、利用者の同意がある場合その他の違法性阻却事由がある場合を除いては、通信の秘密に係る個人情報を保存してはならず、保存が許される場合であっても利用目的達成後においては、その個人情報を速やかに消去しなければならない。

 電気通信事業者は、個人データを取り扱うに当たっては、利用目的に必要な範囲内で保存期間を定め、当該保存期間経過後又は利用する必要がなくなった後は、当該個人データを遅滞なく消去する努力義務が課されている。同様の上乗せ規制は、放送ガイドライン第11条にも見られるが、電気通信ガイドラインに特徴的なのは、上記第2項の上乗せ規制である。すなわち、通信の秘密に係る個人情報については、「違法性阻却事由」がある場合を除いて、保存してはならないうえに、保存が許されるとしても、その個人情報を速やかに消去しなければならない義務が課されている。なお、上記第1項括弧書きで「通信の秘密に係るもの」が除かれている理由は、上記第2項の上乗せ規制の対象になるためである。

③ 利用明細(電気通信ガイドライン第39条)
第39条 電気通信事業者が利用明細(…)に記載する情報の範囲は、利用明細の目的を達成するため必要な限度を超えてはならない。
2 電気通信事業者が利用明細を加入者その他の閲覧し得る者に閲覧させ又は交付するに当たっては、利用者の通信の秘密及び個人情報を不当に侵害しないよう必要な措置を講じなくてはならない。

 利用明細¹³に記載する情報の範囲は、上記第1項のとおり、利用明細の目的を達成するため必要な限度を超えてはならないとされる。そして、上記第2項では、利用明細を加入者その他の閲覧し得る者に閲覧させ又は交付するに当たっては、利用者の通信の秘密及び個人情報を不当に侵害しないよう必要な措置を講じなければならないとされる。利用明細の内容は、通信の秘密に属する通信履歴にほぼ等しいので、通信の秘密や本人のプライバシーに対する配慮が必要となるためである¹⁴。

第2 電気通信事業法によるCookie規制

 インターネットサービスのユーザーに関する情報については、個情法や各分野のガイドラインとは別のアプローチからも保護が図られている。2022年の改正により電気通信事業法に導入された「外部送信規律」(いわゆる「Cookie規制」)は、その代表例である。同改正により電気通信事業法に定められることとなったCookie等の保護のための制度は「外部送信規律」だけではないが、この規制が最も特徴的であると思われるので、以下ではこれについて説明する。
 外部送信規律は、一般にそれ単体では「個人情報」に該当しないとされているCookie等を対象とするもので、電気通信事業者等がユーザーに対してタグを設置してブラウザの情報を外部送信させようとする場合などに、あらかじめ法令で定められた情報を提供しなければならないとするものである¹⁵。
 なお、総務省は当初、「端末情報の適切な取扱いの確保のための具体的な規律の在り方については、eプライバシー規則(案)の議論¹⁶も参考にしつつ、今後検討が必要」と記載するなど、Cookieの利用について本人の同意取得を要するとする規律を目指していたようであるが¹⁷、経済界からの強い反発を受けて、同意取得ではなく「情報提供をしなければならない」という規律に留まった¹⁸。

1 Cookieの仕組み
 外部送信規律を読み解くためには、Cookieの仕組みを理解することが必要となるので、まずはこれを確認しよう。

 「Cookie」(クッキー)とは、特定のウェブサーバーにより生成され、ウェブサイトのコンテンツと共に送られてくる小さなテキストファイルであって、ユーザーのコンピューターの中に保存されるものである。例えば、ユーザーがあるウェブサイトにアクセスしたとき、そのウェブサイトはユーザーのウェブブラウザにCookieを送信し、保存する(図1-2)。このCookieは、ユーザーのブラウザを識別するための固有の識別子(ID)と、ユーザーのウェブサイト上の行動(例えば、ショッピングサイトにおいてカートに商品を追加したこと)に関する情報を含んでいる。ブラウザは、ユーザーが次回そのウェブサイトのサーバーにアクセスした際に、サーバーに対してCookieを送信する。これにより、サーバーはユーザー(ブラウザ)が前回そのサーバーにアクセスした者であることや前回のアクセス時の行動を把握することができるため、ユーザーが前回のアクセス時にカートに入れた商品はカートに入ったままになっている。ユーザーが訪問したウェブサイトの発行するこの種のCookieを「ファーストパーティクッキー」という。
 このように、Cookieはユーザーの利便性に資するものであるが、その一方で、企業がユーザーに関する情報を収集するためにも用いられている。
 ユーザーがあるウェブサイトにアクセスした際にそのウェブサイトがユーザーのブラウザにCookieを保存することは上述のとおりだが、そのウェブサイトには、同時に「情報収集モジュール」や「タグ」と呼ばれるプログラムが埋め込まれている場合があり、このタグ等により、ユーザーは第三者(例えば、インターネット広告事業者)のサーバーに知らぬ間にアクセスさせられてしまう(図1-4、このアクセスはユーザーには認識できない。)。そして、この際、当該第三者がユーザーのブラウザに対してCookieを送信することがある(図1-5)。この種のCookieは「サードパーティクッキー」と呼ばれ、広告事業者等は、それを利用することによりユーザーの閲覧履歴や広告への接触の履歴等を把握しているのである(図1-6)²⁰。

2 規制の概要
 外部送信規律として新たに設けられた電気通信事業法第27条の12は極めて複雑な規定になっているが、その概要は以下のとおりである。

① 規制の対象となる者
 規制の対象となる者は、電気通信事業者又は第三号事業(電気通信事業法第164条第1項第3号に定められるもの)を営む者であって、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者である。
 詳細は省略するが、「第三号事業を営む者」には検索、SNS、オンラインショピングモール、掲示板、オンラインオークション等の事業を営むものが含まれるとされており²¹、その範囲は電気通信ガイドラインの適用範囲と類似する。ただし、第三号事業者については「利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務²²を提供する者」に該当する場合にのみ規制の対象となる²³。

② 規制の対象となる行為
 「情報送信指令通信」を行おうとするときは、ユーザーに対し、あらかじめ、一定の情報をユーザーに通知するか、又はユーザーが容易に知り得る状態に置かなければならないとされる²⁴。
 「情報送信指令通信」とは、例えば、ユーザーの端末に対し、その端末に記録されたCookieをそのユーザー以外の者に対して送信するよう指令を与える通信をいう。すなわち、タグ等を利用してユーザーの端末のCookieを第三者のサーバーに送信させようとするときは、その前に、ユーザーに対して情報提供をしなければならない。
 なお、提供すべき情報の内容は、ユーザーの端末から送信されるユーザーに関する情報の内容、送信先となる者の氏名又は名称、及び送信先における利用目的とされている²⁵。

③ 例外規定
 電気通信事業法第27条の12各号は、上記②の情報提供義務が適用されない場合を以下の表1のとおり定めている。すなわち、情報送信指令通信により外部送信される情報が表1の第1号から第4号までのいずれかに該当する場合には、上記②の情報提供義務は適用されない。

第3 残された検討課題

 以上のとおり、電気通信事業分野における利用者情報の保護は、上記第1で述べた個情法のラインに属する電気通信ガイドラインによるものと、上記第2で述べた電気通信事業法のラインに属するものが存在する。後者は個情法上の「個人情報」に該当しない情報であるCookie等を対象とするものであるが、前者も「位置情報」など個人情報に該当するか否かを問わず適用される規制を含んでおり、これから両者がどのように棲み分けされるのか(あるいは統合されるのか)、今後の議論の行方が注目される。

(次回に続く)

¹ 電気通信事業法第2条第4号に定められる電気通信事業をいう。
² 電気通信ガイドライン第3条第1号参照。
³ 電気通信事業法第2条第5号参照。
⁴ 西村あさひ法律事務所編・太田洋ほか編著『個人情報保護法制大全』419頁(商事法務、2020年)、総務省「電気通信事業参入マニュアル〔追補版
〕」12頁(2022年6月28日)(2022年8月21日最終閲覧)参照。
⁵ 個情委=総務省「電気通信ガイドライン・解説」38頁(総務省ウェブサイト内、2022年)(2022年8月21日最終閲覧)参照。
⁶ 通信の秘密は通常個人情報と紐づいていることが多いが、個人情報と紐づかない通信の秘密であっても、当然のことながら通信の秘密を侵してはならない。
⁷ 利用者が電気通信を利用した日時、当該電気通信の相手方その他の利用者の電気通信に係る情報であって当該電気通信の内容以外のものをいう(電気通信ガイドライン第38条第1項参照)。
⁸ 通信の秘密は、2018年に知的財産戦略本部検証・評価・企画委員会「インターネット上の海賊版対策に関する検討会議」において実施されたサイトブロッキングの法制化に関する議論で注目を浴びた。法制化反対派からブロッキングは通信の秘密を侵すものであるとの主張がなされ、結局、サイトブロッキングの法制化は見送られた。
⁹ 発信者に関する情報であって、当該情報に含まれる電話番号、氏名、住所、生年月日その他の記述、個人別に付された番号、記号その他の符号、映像又は音声により当該発信者を識別できるものをいう(電気通信ガイドライン第40条第1項参照)。なお、発信者情報には、発信電話番号通知サービスによって通知される発信電話番号や発信者名通知サービスによって通知される発信者名等が該当し、発信者の顔写真や発信者の位置等の情報が伝達される場合には、これらも含まれる(個情委=総務省・前掲注5)197頁参照)。
¹⁰ 電気通信ガイドライン第41条第1項参照。
¹¹ 個情委=総務省・前掲注5)188頁参照。
¹² イギリスでは、2013年に実施された「位置情報を利用してパネル付きゴミ箱にターゲティング広告を表示する実験」が炎上により中止に追い込まれた。これは、通行人のMACアドレスを取得して、その通行人の立ち寄った店舗等の情報を元に最適な広告を表示しようとするものであった。日本においても、2018年、タクシー配車アプリによりタクシー利用者の位置情報を取得し、店舗に来店したかどうかなどを判断すること等を内容とするサービスが炎上した例がある。
¹³ 利用者が電気通信を利用した日時、当該電気通信の着信先、これらに対応した課金情報その他利用者の当該電気通信の利用に関する情報を記載した書面をいう(電気通信ガイドライン第39条第1項括弧書き参照)。
¹⁴ 個情委=総務省・前掲注5)196頁参照。
¹⁵ 令和4年法律第70号による改正後の電気通信事業法第27条の12参照。
¹⁶ eプライバシー規則(案)とは、利用者の端末情報の取扱いの規制等を内容とするGDPRの特別法である。エンドユーザーの端末からの情報収集について、基本的には本人の同意の取得が必要であるとする。
¹⁷ 総務省「プラットフォームサービスに関する研究会 中間とりまとめ」105頁(総務省ウェブサイト内、2021年)(2022年8月21日最終閲覧)参照。
¹⁸ 杉山歩=江口悟「ネットの閲覧履歴 外部提供に初規制」朝日新聞朝刊東京本社版2022年3月6日、6面参照。
¹⁹ 石井夏生利ほか編著『個人情報保護法コンメンタール』434頁(勁草書房、2021年)の図表26条の2-2を参考に作成。
²⁰ また、タグ等によりユーザーが第三者のサーバーにアクセスした際に、ユーザーのブラウザがファーストパーティクッキーを当該第三者のサーバーに送信することもある。広告事業者等は、タグ等を様々なウェブサイトに埋め込むことにより、ユーザーの様々な行動履歴を収集することもできる。
²¹ 総務省「電気通信事業ガバナンス検討会 特定利用者情報の適正な取扱いに関するWG 取りまとめ(素案)」8頁(総務省ウェブサイト内、2022年)(2022年8月21日最終閲覧)参照。
²² 総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第18回)資料1「外部送信規律に関する総務省令案について」1頁(総務省ウェブサイト内、2022年)(2022年8月26日最終閲覧)によると、PCや携帯端末で動作するブラウザ又はソフトウェアにより提供されるメッセージ媒介サービス、SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、オンライン検索サービス、各種情報のオンライン提供(ニュース配信、気象情報配信、動画配信、地図等)などが、これに該当するとされている。
なお、この総務省令案は、総務省令として成立するまでに内容が変更される可能性がある。
²³ なお、電気通信ガイドラインの適用対象について、個情委=総務省・前掲注5)14頁は、「電気通信事業法の規律は事業規模にかかわらず及ぶことから、本ガイドラインで電気通信事業者に求められる措置は、事業規模にかかわらず同じとなる」としている。
²⁴ 総務省・前掲注22)2頁は、「利用者に通知し、又は利用者が容易に知り得る状態に置く方法」の詳細について定めているが、ここでは、例えば、提供すべき情報の視認性や理解の容易性、情報への到達の容易性等が求められている。
²⁵ 同上3頁参照。
²⁶ 同上4頁参照。


<執筆者略歴>
大平 修司(おおひら・しゅうじ)
1983年生。2010年弁護士登録、弁護士法人中央総合法律事務所入所。2016年TBS入社。
2021年に日本初の表明保証保険を専門とする株式会社タイムマシーンアンダーライターズに参画。主要著書に、森本茂編『募集株式発行の法と実務』(商事法務、2016年)(共著)、弁護士法人中央総合法律事務所編『金融商品取引法の法律相談』(青林書院、2013年)(共著)など。

矢内 一正(やない・かずまさ)
1982年生。2006年東宝入社。2020年TBS入社。
東宝にて映画・ドラマの制作管理、二次利用、会計、契約法務、知財管理、与信管理、個人情報関連の仕事に幅広く従事。その経験を活かし、現在はTBSビジネス法務部とTBSHDビジネス戦略部に在籍。近著に「地殻変動に揺れるエンタメ業界」(IPジャーナル21号より連載)(共著)など。

この記事に関するご意見等は下記にお寄せ下さい。
chousa@tbs-mri.co.jp