電気通信事業法の外部送信規制への対応(総論)

2023年6月16日から改正電気通信事業法が施行されている。

改正内容の一つに利用者情報の外部送信規制がある。

これは個人情報の保護に関する法律の「個人情報」に当たらないCookieなどの情報の外部送信に関する規制である。

 

外部送信規制とは、簡単にまとめると、ウェブサイトやアプリなどにおいて、利用者の意思によらずに、利用者に関する情報を外部に送信する場合には、次の①~③の事項を公表または通知しなければならないという規制である。

①送信されることとなる利用者に関する情報

②上記①の情報を取り扱うこととなる者の氏名または名称

③上記①の情報の利用目的

 

たとえば、ニュースサイトの運営者が、同サイト内に、同サイトの閲覧者のCookieを運営者または第三者に送信するタグを埋め込んでいる場合は、外部送信規制が適用される。

 

事業者のサービスに外部送信規制が適用されるか否かは、次の手順で確認していく。

 

1.サービスは電気通信事業法上の登録・届出事業または第3号事業に当たるか。

2.事業者は、サービスを提供するにあたり、利用者の意思によらずに、利用者に関する情報を外部に送信(情報送信指令通信)を行っているか。

3.サービスはブラウザその他のソフトウェアによって提供されるものか。

4.サービスは外部送信規制の対象サービスに当たるか。

5.情報送信指令通信によって送信されている情報が、外部送信規律の適用除外となる対象情報に当たるか。

 

各手順の詳細については、個別の投稿で説明する。

個人データから統計情報を作成できるかについて

統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しないものである(個人情報保護委員会のHPより)。

統計情報であれば、本人の同意なく第三者に提供することなどができる。

 

それでは、会社が保有している顧客の個人データから統計情報を作成することができるのか。

たとえば、複数の店舗の顧客のクレジットカード利用状況をまとめるために、当該顧客情報から市区町村という共通要素に係る項目を抽出して同じ分類ごとに集計することはできるか。

一見すると、市区町村ごとのクレジットカードの利用状況だけに加工するのであれば統計情報になり得るようにも思える。

しかし、元の個人データを保有している会社は、市区町村ごとにグループ化した一つ一つの情報を元の個人データと照合し、各グループのどの情報がどの個人と結びつくかを特定することがなお可能である。

したがって、会社が管理しきれている程度の情報量から統計情報を作成しようとしても、「特定の個人との対応関係が排斥されている」という要件を満たすことができないため、統計情報を作成することはできない。

個人情報保護委員会の相談窓口担当者の話によれば、「特定の個人との対応関係が排斥されている」といえるのは、元の情報が典型的なデータベースソフトウェアが把握し、蓄積し、運用し、分析できる能力を超えたサイズのビッグデータであるような場合のことである。

 

統計情報を作成して第三者提供を容易にしようとしても、基本的にこれはできないということである。

したがって、本人の同意なく第三者提供するには、匿名加工情報に加工することを検討していく必要がある。

 

なお、統計情報と加工情報の違いのイメージは、元の個人データ5を1に集計するのが統計情報であり、元の個人データ5を加工するものの加工後も5であるのが匿名加工情報である。

山田太郎11歳、田中次郎12歳、山本三郎13歳、滝田四郎14歳、小野田五郎15歳

 ⇒ 10代5名 【統計情報】

山田太郎11歳、田中次郎12歳、山本三郎13歳、滝田四郎14歳、小野田五郎15歳

 ⇒ 11歳1名、12歳1名、13歳1名、14歳1名、15歳1名 【匿名加工情報】

個人データが記載された書面を裁判所に証拠提出よいのか

個人情報取扱事業者は個人データを第三者に提供するときは、原則として本人の同意を得なければならないところ(個人情報保護法第27条1項)、訴訟等において、個人データが記載された書面を裁判所に証拠提出することはどのように正当化されるか。

 

一つの考え方として、同法27条1項2号を適用する見解がある。

 

法27条1項2号は、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は、本人の同意を得ないで個人データの第三者提供を可能とする規定である。

 

ここでいう「人」には、法人も含まれると解釈されている(令和4年9月一部改正の個人情報保護委員会のガイドライン通則編3-1-5(2))。

そして、同法上、個人又は法人を問わず、個人情報取扱事業者はこの「人」に含まれないとする規定はない。

 

「人の生命、身体又は財産」とは、具体的な権利利益を意味しており(前記ガイドライン通則編3-1-5(2))、売買代金、商標、損害賠償などは当然に含まれるし、裁判手続との関係では常に満たされるとする見解(板倉陽一郎「個人データが含まれる証拠の裁判所への提供についての考察」)もある。

 

「本人の同意を得ることが困難であるとき」という要件については、本人が訴訟の相手方である場合は当然に満たすと考えられる。

しかし、相手方以外の者である場合については・・・。