電気通信事業法の改正によるプライバシーポリシー同意取得実務への影響
この記事では、電気通信事業法の改正が、インターネットサービスを利用するユーザーから取得するプライバシーポリシー同意の実務に与える影響を分析します。通信の秘密の重要性に鑑みて電気通信事業法が求めている同意取得の要件は、個人情報保護法の規制よりも厳格である点、注意が必要です。
1. 情報取得・利用時の本人同意とプライバシーポリシー
1.1 個人情報保護法が定める本人同意取得義務
インターネットサービスにおいてユーザーの情報を取り扱う場合に、個人情報保護法が適用されるのはもはや常識となりました。
特に、以下のような個人情報の取扱いを行う場合には、本人の同意を取得する義務が同法に定められています。
- 目的外利用をする場合
- 要配慮個人情報を取得する場合
- 個人データを第三者提供する場合
- 外国にある第三者へ個人データを提供する場合
- 個人関連情報を第三者提供する場合
多くの企業では、これら法律で求められる本人同意を取得するための手法として、(別途個人情報保護法によって通知・公表が義務付けられた事項とともに)プライバシーポリシーとしてこれらを明示し、サービス提供開始時に同意ボタンを押下させることにより、包括的な同意を取得する実務が確立しています。
1.2 電気通信事業法が定める「通信の秘密」の取扱いに関する同意取得義務
そしてもう一つ、インターネットサービスにおいてユーザー情報を取得する際に同意取得を義務付ける法律があります。それが今回解説する電気通信事業法です。
憲法21条2項の規定を受けて定められた電気通信事業法4条では、
第四条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
と、電気通信事業者に対し、通信の秘密(通信内容に加え、通信当事者の住所・氏名・発信場所・通信年月日等の通信構成要素、通信回数等の通信の存在の事実の有無を含む)を守るよう厳命しています。
この規定を受け総務省が定める「電気通信事業における個人情報保護に関するガイドライン」により、電気通信事業者が通信の秘密に係る個人情報を利用するにあたっては同意が必要とされています。
第五条 (1〜3項略)
4 前三項の規定にかかわらず、電気通信事業者は、利用者の同意がある場合その他の違法性阻却事由がある場合を除いては、通信の秘密に係る個人情報を利用してはならない
さらに同ガイドライン15条では、「電気通信事業者は、プライバシーポリシー(略)を定め、公表することが適切である。」と、プライバシーポリシーの必要性について具体的な言及があります。
2. 改正電気通信事業法によってプライバシーポリシー同意取得実務の厳格化が加速
2.1 規律対象となる事業の拡大(第3号事業を営む者に対する規制強化)
従来、電気通信事業法が定める同意取得義務は、「他人の通信を媒介しまたは回線設備を設置する電気通信事業者」として登録・届出を行う者に対してのみ、個人情報保護法と重畳的に課される義務でした。
しかし、2022年6月13日付でこの電気通信事業法を改正する法律が成立したことにより、これまで登録・届出を要しなかった「他人の通信を媒介せずかつ回線設備を設置しない」以下のようなインターネットサービスが「第3号事業」とされ、上述した通信の秘密保護義務や、後述する外部送信に関する規制の対象となります。
- 検索サービス
- SNS
- 各種情報のオンライン提供 等
なお、「第3号事業を営む者のうち、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者」を総務省令によって指定します(改正事業法27条の12柱書)。
総務省令では以下のサービスが指定され、これらのサービスを運営する第3号事業者は、電気通信事業法の規律全般の適用対象となる予定です。
- 月間アクティブ(稼働)利用者ユーザー数500万人以上の有料サービス
- 月間アクティブ(稼働)利用者1000万人以上の検索サービス・SNS
2.2 利用者情報の外部送信に関する規律の新設
2021年3月に明らかになったLINEの個人情報管理をめぐる問題を受け、令和4年2月にまとめられた総務省「電気通信事業ガバナンス検討会報告書」では、インターネットサービス提供事業者に対し、利用者の個人情報管理を徹底させる方針が示されました。
これを受けて改正された電気通信事業法では、電気通信事業者又は第3号事業を営む者が、利用者の端末に対し、利用者情報を外部に送信することを指令する旨の通信(情報送信指令通信)を行おうとするときは、以下のいずれかの措置を講じることを義務付けます。
- 利用者に対しその内容・送信先等を通知又は公表(改正電気通信事業法27条の12柱書)
- 利用者から同意取得(同条3号)
- オプトアウト(同条4号)
ただし、OS情報、画面設定、言語設定に関する情報など利用者が電気通信役務を利用する際に外部送信が必要となる情報や、当該事業者自身を送信先とする1st Party cookieなどについては、この規制の対象外とされています(同条1号2号)。
2.3 「通信の秘密」の取扱いに関する厳格な同意要件
もともと規制の対象であった電気通信事業者に加え、今回新たに対象となった第3号事業者も、「通信の秘密」を取り扱うに際しては、ユーザー本人の同意を取得しなければなりません。そして、この「通信の秘密」に関する同意の要件は、個人情報保護法の同意の要件よりも厳格である点、注意が必要です。
総務省が定める「同意取得の在り方に関する参照文書」には、「個別具体的かつ明確な同意」が必要である旨が定められています。
要件 | 「同意取得の在り方に関する参照文書」の解説 |
---|---|
「個別具体的」 | ①「個別」のサービスごとに同意を取得するという意味、②契約約款事項としての包括的な同意(契約締結時の約款同意や約款変更による同意)ではなく、通信の秘密に関する特定の事項を本人が「具体的に」認識した上で同意を取得するという意味、の2つの意味を含む |
「明確」 | 画面上でのクリック、チェックボックスへのチェックや文書による同意など外部的に同意の事実が明らかな場合を意味 |
ここでいう「個別具体的かつ明確な同意」とは、たとえば、第3号事業に該当するSNSサービスにおいて、ユーザーがある投稿を行う際に、発信場所情報(位置情報)なを含める場合には、その投稿が行われるまさにその時に、
「この投稿では、あなたの発信場所に関する情報を利用します。よろしいですか?」
といったダイアログを表示させ、本人同意を取得する必要があるということになります。
3. 利用規約・プライバシーポリシーへの包括的同意では要件を満たさないことに注意
個人情報保護法だけに対応すればよかった時代には、多少形式的な処理となっても、利用規約やプライバシーポリシーの中に法定の要同意取得事項をすべて盛り込み、初回登録・ログイン時に「規約に同意」ボタンを押させることで、法的要件を満たそうとした企業は少なくありませんでした。
しかし、通信の秘密に関する同意取得義務が拡大して以降は、これまでの契約約款的な包括的同意では有効とならないケースが激増します。これまで以上に、
- 個別の同意記録
- 同意対象となった文言や文書の保存
- 利用者の同意・非同意ステータス管理
が重要となってくることは間違いありません。
弁護士ドットコムは、リクルートと共同で規約・同意情報管理サービス「termhub」を開発しており、2022年秋よりサービスを開始します。ユーザーからのウェブ上での「同意」を漏れなく管理したい企業のニーズに応えるサービスとして、改正電気通信事業法を遵守する下地作りをサポートします。
機能や料金体系がわかる
資料ダウンロード(無料)詳しいプラン説明はこちら
今すぐ相談この記事を書いたライター
弁護士ドットコムクラウドサイン事業本部リーガルデザインチーム 橋詰卓司
弁護士ドットコムクラウドサイン事業本部マーケティング部および政策企画室所属。電気通信業、人材サービス業、Webサービス業ベンチャー、スマホエンターテインメントサービス業など上場・非上場問わず大小様々な企業で法務を担当。主要な著書として、『会社議事録・契約書・登記添付書面のデジタル作成実務Q&A』(日本加除出版、2021)、『良いウェブサービスを支える 「利用規約」の作り方』(技術評論社、2019年)などがある。
こちらも合わせて読む
-
法律・法改正・制度の解説
利用規約を全部読んで同意するユーザーは何%?—公正取引委員会「デジタル広告の取引実態に関する中間報告書」
利用規約 -
契約実務
利用規約の同意取得方法ベストプラクティス—米国判例にみるサインインラップ・ブラウズラップの採用リスク
利用規約プライバシーポリシー -
法律・法改正・制度の解説
法律文書作成サービスが超えてはならない一線—グレーゾーン解消制度の法務省見解
リーガルテック弁護士法グレーゾーン解消制度 -
法律・法改正・制度の解説
リーガルテックと弁護士法—AI契約審査サービスの適法性に関するグレーゾーン解消申請
法改正・政府の取り組みリーガルテック弁護士法グレーゾーン解消制度 -
法律・法改正・制度の解説
2020年個人情報保護法改正がプライバシーポリシーに与える影響
法改正・政府の取り組みプライバシーポリシー -
法律・法改正・制度の解説
プライバシーポリシーのトレンド分析—GDPRに学ぶ多言語化対応の必要性
プライバシーポリシーGDPR