総務省総合通信基盤局電気通信事業部電気通信技術システム課の「電気通信事業ガバナンス検討会 報告書(案)に対する意見募集」に対し、JILIS個人情報保護法研究TFパブコメ検討WGから以下の意見を提出しました。
【PDF版】
2022年2月4日
一般財団法人情報法制研究所 個人情報保護法研究TFパブコメ検討WG
(板倉陽一郎、鈴木正朝、高木浩光)
該当ページ 39、42、45など
該当する記載:「2.3 利用者が安心できる電気通信サービスの円滑な提供に向けた課題 ……情報の漏えい・不適正な取扱いや電気通信サービスの停止が生じた場合には、多様な個人的法益・社会的法益・国家的法益の侵害につながる……」「3.1.1 電気通信事業における多様な保護法益の確保 ……など、多様な個人的法益・社会的法益・国家的法益の侵害につながり得る。」「3.2 実施すべき措置 ……情報漏えいや不適切な取扱い等が発生した場合には、委託先等におけるガバメントアクセスのリスク等によって社会的法益や国家的法益の侵害につながる……」などの記載
「個人的法益」「社会的法益」「国家的法益」「保護法益」と、刑法の用語がふんだんに用いられているが、これは、「情報の漏えいや不適正な取扱い」に対して刑罰をもって措置する直罰規定を設ける構想を述べたものか。「情報の漏えいや不適正な取扱い」といった事業者の管理上の過誤に対して、刑罰をもって臨むというのは過酷であり、あまりにバランスを逸していると言わざるを得ない。
確かに、通信の秘密侵害罪の保護法益は、プライバシー保護といった個人的法益に限られず、検閲の禁止と併せ、「確実なサービスを提供して公衆電気通信業務の信用を維持しようとするもの」「国家的乃至は社会的法利益に連なるもの」との指摘は、電気通信事業法の前身にあたる公衆電気通信法(昭和28年法律第96号)の立案担当者であった金光昭らの逐条解説書(日信出版、昭和28年)にも記載されていたところであるが、これはあくまでも通信の秘密及び検閲の禁止の罰則についての言及であって、通信の秘密に含まれないような一般情報の「漏えいや不適正な取扱い」についてまで妥当するものとは言えないだろう。
あるいは、本件報告書が直罰規定について述べているものではないのであれば、刑法の用語である「個人的法益」「社会的法益」「国家的法益」「保護法益」の語を用いるのは避けるべきではないか。実際、Googleで「"国家的法益" -刑法 -刑事 -刑罰 -罰則 -犯罪 -刑 -罰 -罪」でWeb検索すると、ほぼ貴検討会のページしかヒットしない。
該当ページ 47
該当する記載:「3.2.1.1 適正な取扱いを行うべき情報 ……近年、特定の個人を識別することなく利用者を区別し電気通信サービスを提供するような形態も増えてきていることから、個人情報に該当しない利用者に関する情報についても……」「具体的には、……利用者が個人名でなくユーザー名等を登録して利用するサービスも多いこと、……」
「特定の個人を識別することなく利用者を区別し」とあるが、「利用者を区別し」ているならば、それはまさしく個人を識別しているに他ならないのであって、そのような状況にあるデータは当然に個人データに該当するものというべきである。
「特定の」の文言には何ら意味がない。昭和63年法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律、昭和63年法律第95号)の「個人情報」定義は「……により当該個人を識別できるもの」と規定され、「特定の」との文言はなかった。平成15年法の立案過程で「特定の」の文言が差し込まれた経緯は、個人情報保護法制化専門委員会で、平成12年9月8日に示された「個人情報保護基本法制に関する大綱案(素案)」に対し、第24回会合で、上谷清委員から「技術的な話だが、「個人情報」の定義の中で「当該個人」という表現があり、現行の行政機関個人情報保護法にも用いられているが、「当該」という関係代名詞に対応する先行詞がなく、これはおかしいのではないか。「特定の」個人という表現の方が適当ではないか。」(議事要旨より)との指摘があり、同年9月22日に示された「大綱案(素案修正版)」で「特定の個人を識別」に修正されたものであった。この間に対象情報の範囲を狭めるとする議論があったわけでもなく、法技術的修正であることから、「当該個人を識別」であっても「特定の個人を識別」であっても意味の違いはないはずである。しかも、この指摘は「当該」が指す先行詞がないとするが、この「当該」は「個人に関する情報であって」の「個人」を指していて、「個人」は具体的な「ある個人」のことであるから、「先行詞がない」との指摘は当たらない。この指摘は、「個人に関する情報」の「個人」を抽象概念としての「個人」(法人ではなくという区分を指すものとして)と誤解していたことによるものと考えられる。
したがって、「利用者が個人名でなくユーザー名等を登録して利用するサービス」において管理されるデータは、もとより個人データとして個人情報保護法の規律に服するものであり、本件報告書が取り沙汰すまでもないことである。EUから十分性認定を受けている我が国の個人情報保護法が、よもや「氏名が含まれなければ個人データに当たらない」などという解釈が許されるはずもない。
該当ページ 54
該当する記載:「3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置 ……電気通信事業を営む者についても、利用者に対し電気通信役務を提供する際に、利用者の電気通信設備に記録された当該利用者に関する情報を利用者以外の者に外部送信を指令するための通信を行おうとするときは、……」
「利用者の電気通信設備に記録された当該利用者に関する情報」とあるから、記録されない情報は対象外ということか。例えば、Webページやスマホアプリのプログラムが実行される際に、その場でセンサー(GPSなど)から取得した情報をそのまま転送する場合は、「記録された」に該当しないことになるのではないか。同様に、個人を識別するための識別子についても、「記録された」ものを用いず、fingerprintingの技法によりその場で識別子を生成する場合も「記録された」ものに当たらず該当しないということか。
そもそも、こうした規律の必要性には、個人情報保護法の3年ごと見直しの過程で対処すべきことであり、付け焼き刃で生半可な規律の導入は、個人情報保護法制の将来に混乱を及ぼすことにもなりかねず、電気通信分野が独断専行で拙速に進めることではない。
以上