目次
はじめに
今回の問題に関連する電気通信事業法の規定
特定利用者情報とは何か?
ヤフーへの行政指導が社会に与える影響
はじめに
2023年8月30日、総務省から、ヤフーに対して行政指導を行ったことが報じられました。
その理由は、ヤフーからNAVER社に対して、ユーザーへの事前周知が不十分な状況で位置情報を含むデータを提供したこと、NAVER社の安全管理措置に不十分な点があったことです。
今回総務省が指摘した点について、電気通信事業法との関係でどのような法的問題があるのか、解説します。
今回の問題に関連する電気通信事業法の規定
総務省は、行政指導の理由に関連して、電気通信事業法に定められる特定利用者情報の適正な取扱いに関する規律を取り上げています。この規律は、2023年に施行した電気通信事業法改正で新設されたものです。
電気通信事業法に定められる特定利用者情報の適正な取扱いに関する規律は、特定利用者情報を適正に取り扱うべき電気通信事業者として総務大臣から指定を受けた電気通信事業者のみに適用されます(同法27条の5)。この指定は、無償サービスであれば月平均利用ユーザーが1000万人以上、有償サービスであれば月平均利用ユーザーが500万人以上である場合に、対象になりえます(同法施行規則22条の2の20)。
ヤフーが、問題となるデータ提供を受けた期間において、特定利用者情報を適正に取り扱うべき電気通信事業者として指定を受けていたわけではありません。そのため、ヤフーが特定利用者情報の適正な取扱いに関する規律に違反したわけではありません。この点については、誤解のないように注意が必要です。
行政指導においても、ヤフーに対して、特定利用者情報の適正な取扱いに関する規律で定められるような対応をすることが望ましいと指摘されるにとどまっています。
では、特定利用者情報の適正な取扱いに関する規律とは、どのようなものでしょうか。
第1に、特定利用者情報の安全管理や委託先の監督、取扱状況の評価等に関する情報取扱規程を定めて、総務大臣に届け出なければなりません(電気通信事業法27条の6)。第2に、特定利用者情報の内容・利用目的・安全管理の方法等に関する方針を定めて、公表しなければなりません。電気通信事業法は、特定利用者情報の適正な取扱いの具体的な内容として、特定利用者情報を安全に関するためのルールの策定や、ユーザーに対する透明性の確保を求めています。
特定利用者情報とは何か?
さて、ここでポイントになるのが、「特定利用者情報とは何か?」です。電気通信事業法や電気通信事業法施行規則では、「特定利用者情報」の意味について次のように定義されています。
電気通信事業法
(特定利用者情報を適正に取り扱うべき電気通信事業者の指定)
第27条の5 ・・・特定利用者情報(当該電気通信役務に関して取得する利用者に関する情報であつて次に掲げるものをいう。・・・)・・・。
一 通信の秘密に該当する情報
二 利用者(第2条第7号イに掲げる者に限る。)を識別することができる情報であつて総務省令で定めるもの(前号に掲げるものを除く。)
「特定利用者情報」に該当するものは、次の2つです。
- 通信の秘密に該当する情報
- 総務省令で定める情報
「総務省令で定める情報」とは?
このうち、「総務省令で定める情報」については、次のとおりです。
電気通信事業法施行規則
(特定利用者情報)
第22条の2の21 ・・・次に掲げる情報の集合物を構成する情報とする。
一 特定の利用者(法第2条第7号イに掲げる者に限る。次号において同じ。)を識別することができる情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 ・・・利用者を識別することができる情報を一定の規則に従つて整理することにより特定の利用者を識別することができる情報を容易に検索することができるように体系的に構成した情報の集合物であつて、目次、索引その他検索を容易にするためのものを有するもの
「利用者(法第2条第7号イに掲げる者に限る。次号において同じ。)」とは、サービス運営事業者と契約をしたユーザーやアカウントの付与を受けたユーザー、つまり、利用登録等をしたユーザーを指しています。
位置情報のみでは、サービス運営事業者がどのユーザーのものであるかを特定することはできませんので、「総務省令で定める情報」には該当しません。ただし、位置情報がユーザーのアカウントID等とひもづいてデータベース管理される場合には、その位置情報も、「・・・次に掲げる情報の集合物を構成する情報」の1つとして、「総務省令で定める情報」に該当することになります。
今回のケースにおいては、NAVER社に提供された位置情報が、ユーザーのアカウントID等とひもづいてデータベース管理されていたものかどうかがポイントになります。
※なお、位置情報が、ユーザーのアカウントID等とひもづいてデータベース管理されていた場合は、「個人データ」に該当することになり、個人情報保護法が規制する”国外への個人データの第三者提供”の問題にもなります。
通信の秘密に該当する情報とは?
次に、通信の秘密に該当する情報とは何か?が問題になりますが、通信の秘密の意味について、電気通信事業法において明確な定義はありません。その意味については、解釈に委ねられています。
「電気通信事業における個人情報等の保護に関するガイドラインの解説」では、位置情報について、「個々の通信に関係する場合は通信の構成要素であるから、通信の秘密として保護され」(205頁)る一方で、個々の通信時以外にデバイスから基地局に送信される位置情報については「個々の通信を成立させる前提として電気通信事業者に機械的に送られる情報に過ぎない」(同頁)として、通信の秘密の対象にならないことが示されています。
位置情報が「通信の秘密に該当する情報」に該当するかどうかは、個々の通信に関係して収集した位置情報かどうかがポイントになります。
今回のケースにおいては、NAVER社に提供された位置情報が、どのような場面で収集されたかが問題になります。単に、ヤフーが検索結果を提供する際に収集した位置情報であれば、個々の通信に関係して収集したものには該当しないように思われます。ただ、ヤフーは、通信の媒介を含む様々なサービスを提供しているため、どの場面で位置情報を提供しているかが重要になります。
ヤフーへの行政指導が社会に与える影響
ヤフーに対する行政指導は、大手オンラインサービス事業者のパーソナルデータの取扱いに、大きな影響を与えるものであると思います。
前述のとおり、行政指導の対象となった問題は、電気通信事業法に抵触するものではありません。あくまでも、この行政指導は、電気通信事業法の趣旨を踏まえて望ましくないパーソナルデータの取扱いを問題視したものです。
行政指導では、「慎重な取扱いが求められる情報である位置情報等を・・・」と、他のどのような情報とひもづけられていたか、個々の収集に関連して収集されたものかどうかによらず、位置情報を慎重な取扱いの求められる情報として位置づけています。電気通信事業法の規制の枠を超えて、位置情報について慎重な取扱いを求めている点は、特に注目すべきところです。
今回の行政指導により、総務省が、電気通信事業者に対して、単に最低限法令を遵守することにとどまらず、パーソナルデータの取扱いについて、電気通信事業法の趣旨を踏まえた、より高度な水準の対策を求めていることが明らかになりました。
今後、総務省が、ヤフーのみならず、その他の大手オンラインサービス事業者のパーソナルデータの取扱いにメスを入れる可能性は十分にあります。ヤフー1社の問題ではなく、IT業界全体の問題であると捉えて、今後の動向を注視していく必要があります。