(2023年5月18日)意見募集の結果が公表されました。
電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集の結果

案件名:「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案に対する意見募集
提出日:2023年4月23日

提出先:総務省総合通信基盤局電気通信事業部消費者行政第二課
提出者:一般社団法人MyDataJapan

一般社団法人MyDataJapanでは、総務省総合通信基盤局電気通信事業部消費者行政第二課の意見募集「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案に対する意見募集」に対して、下記の通り意見を提出しました。

提出意見

1 はじめに
 今回パブコメの対象となっている本件ガイドライン改定部分の多くは、法令を書き下したものであり、修正についての意見は、しばしば立法論に踏み込むこととなり得る。しかしながら、本件ガイドライン改定部分である特定利用者情報の取扱い規律と外部送信規律については、現在の電気通信サービスの利用環境に照らして、利用者保護の観点から十分とはいえない点が見受けられるため、早期の法改正を求める必要があると考えられるため、あえて立法論に踏み込んだ意見を述べる。

2 指定電気通信事業者の定義

 本件ガイドライン3条6号により、特定利用者情報の取扱い規律の対象となる事業者である「指定電気通信事業者」の定義が追加された。指定電気通信事業者は、法27条の5により、電気通信事業報告規則2条3 項の表の報告対象役務を行う者から総務大臣が指定することとなる。特定利用者情報の取扱い規律は、電気通信サービスの利用者にとって重要な情報を保有する事業者に対してその適正な取扱いを行わせることを目的とするものであるところ、あらかじめ列挙した役務を行う者の中から、規律の対象となる事業者を指定する方法では、多数のユーザーを集めかつその重要な情報を保有するサービスが目まぐるしく交代する現在の状況に対応できない。たとえば近時急速にユーザーを集めつつある生成型AIのウェブサービスは指定対象として列挙された役務には含まれていない。特定利用者情報は、利用者にとって重要な意味を持つ情報でありそのような特定利用者情報を保有する事業者については、その提供する役務の性質を問わず、特定利用者情報の管理を適切に行わせるべきである。そのような観点から、一定数以上の特定利用者情報を取扱うすべての事業者を特定利用者情報の取扱い規律の対象とすべきである。

3 特定利用者情報の定義

 本件ガイドライン3条9号により、特定利用者情報の定義が追加された。その内容は、電気通信事業法27条の5、同法2条7号イおよび同法施行規則2条の2により、(1)通信の秘密、(2)電気通信事業者または第3号事業を営む者(以下あわせて「電気通信事業者等」)との間に利用契約を締結する者の情報および(3)電気通信事業者等からユーザーID(氏名若しくは名称、電話番号、電子メールアドレス又はこれらを組み合わせた情報に基づき作成されるもの)を付与された者と定義されている。今日においては、利用契約やユーザーIDがなくとも、クッキーや広告IDのようなオンライン識別子があれば、その識別子に対応するブラウザ等を利用する利用者に対してレコメンドや行動ターゲティング広告の配信を通じて様々な働きかけを行うことが可能である。そのため、これらのオンライン識別子のみに紐づく情報も電気通信サービスの利用者にとっては極めて重要な意味を持っている。したがって、利用契約やユーザーIDに紐づく情報のみならず、クッキーや広告IDなどのオンライン識別子に紐づく情報も、特定利用者情報に追加されるべきである。

4「情報の内容」との表記について

 本件ガイドライン46条1項1号は、情報取扱方針の記載事項として、「特定利用者情報の内容(当該特定利用者情報を取得する方法を含む。)に関する事項」を挙げている。51条5項1号も外部送信に関する通知公表事項として、「送信されることとなる利用者に関する情報の内容」を挙げている。一般の用語としては、「情報の内容」は、情報の項目のみならず値を含む表現であり、また情報を取得する方法はこれに含まれないように思われる。そのため、これらの表記が分かりにくいものとなっている可能性があり、正確を期するために、46条1項1号
については、たとえば「特定利用者情報の項目および特定利用者情報を取得する方法」、51条5項1号は、「送信されることとなる利用者に関する情報の項目」等に修正することが考えられる。

5 外部送信規律の対象事業者について

 本件ガイドライン51条1項は、外部送信規律の対象となる事業者を電気通信事業者等に限定している。そもそも電気通信事業法の主たる目的の一つは、電気通信サービス利用者の保護にあることから、利用者保護の必要がある限度で義務を負う主体の範囲を画すべきであり、義務を負う主体を電気通信事業者等に限定する必要はない。早期の法改正により義務を負う主体を拡大し、ウェブサイトやアプリにおいて外部送信を実施するすべての事業者とすべきである。なお、外部送信を実施する主体のすべてが外部送信規律に関する義務を負うこととしたとしても、この義務は性質上、ウェブサイトやアプリに積極的に手を加えて外部送信を提出内容実施する主体のみが負う義務であるから、義務の範囲が過度に広範なものとなるおそれはない。

 外部送信規律の基本的義務について

 本件ガイドライン51条2項は、外部送信に関する基本的な義務を、通知公表の義務としている。しかしながら外部送信に関する基本的な義務は、通知公表の義務ではなく、オプトアウトの義務とすべきである。外部送信による情報の取得、蓄積、分析とそれに基づく利用者に対する働きかけが、当該利用者の意思を離れて行われることは、現代社会における重大な問題であり、蓄積された情報の濫用が伝統的なプライバシーに関する問題のみならず、リクナビやケンブリッジアナリティカ等の看過しがたい事件の原因となっていることに留意すべきである。そのような状況においては、利用者が自分の意思で外部送信に起因する取得、蓄積、分析の対象とならないようにする手段を確保することが重要であり、早期の法改正によりオプトアウトの義務化が図られるべきである。

以上