ネット利用者情報の企業利用、総務省の規制案はなぜ後退したのか

スクラップは会員限定です

メモ入力
-最大400文字まで

完了しました

電気通信事業法の見直しで揺れる総務省
電気通信事業法の見直しで揺れる総務省

 パソコンやスマホで買い物をしたり、ウェブサイトを閲覧したりすると、購買・閲覧の履歴や位置情報、アプリの利用状況など利用者に関する様々なデータが記録される。このような「利用者情報」は現在、本人の意向にかかわらず、事業者によってほぼ自由に扱われている。総務省は電気通信事業法の見直しで、その規制を検討してきたが、事業者団体の反対で、後退を余儀なくされた。何がどう変えられ、それによって利用者は何を得られなかったのかを検証する。(編集委員・若江雅子)

苦言や落胆、荒れた検討会

 政府の検討会では、それまでの議論の成果である報告書案が提示される日の会合は「シャンシャン」で終わるのが通例だ。各委員は「丁寧にまとめていただきました」などと事務局の労をねぎらい、ひと言二言、感想を述べて終わる。だが、この日は違った。

 「最終局面で事業者団体から強い反対があって、当初の想定から大幅に後退する案になった。残念だ」。1月14日に開かれた総務省の有識者検討会。事務局の提示した報告書案について、委員の石井夏生利・中央大教授はいつになく強い口調でこう苦言を呈した。

 消費者団体を代表して検討会に参加する古谷由紀子・NACS監事も「事業者の声を反映する一方で、消費者団体の声は反映できていない」と不満をぶつけ、事業者団体の主張については「あまり電気通信事業法を理解していないのでは」と皮肉をこめて批判。温厚な人柄が知られる座長代理の後藤厚宏・情報セキュリティ大学院大学学長も「違和感」を口にし、座長の大橋弘・東大教授までが「 忸怩(じくじ) たる思い」と無念をにじませたのだ。

直前に変更された報告書案

 ここまで言うのも、この日示された報告書案が、それまで議論してきた規制の内容からあまりに遠いものになっていたからだ。これは、IT関連の企業でつくる「新経済連盟」と在日米国商工会議所(ACCJ)を中心とした事業者団体が反対し、ロビー活動を展開したことが影響している。一連の経緯については1月9日の記事「 ネットの利用情報、総務省の法改正にIT企業が「懸念」表明…突然「延期」の舞台裏 」を参照してほしい。

 主な修正箇所をまとめた。今回の見直し提案は、クラウド事業者に事故が起きた際の報告義務を課すかどうかや、サイバーセキュリティー対策のための措置など多岐にわたっていたが、ここでは、批判が集中した利用者情報に関する規律について触れたい。

 利用者情報の取り扱いを巡って総務省は今回、二つの新たな規律案を提案していた。一つが「外部送信」規律。もう一つが「適正な取り扱い」規律だ。

 「外部送信」とは、ウェブサイトやアプリなどを利用する際、本人が気づかぬうちに閲覧履歴や購買履歴、位置情報などの情報を外部事業者に送られてしまう問題を指す。こうした情報はプロファイリングによって利用者の生活状況や社会的な立場、性格や悩み事など内面までが推測できるようになり、広告やマーケティングなどに広く使われている。

 だが、2018年に発覚したケンブリッジ・アナリティカ問題(フェイスブックの利用者情報が2016年の米大統領選などでの世論誘導に悪用された問題)で浮き彫りになったように、こうした利用者情報は、悪用されれば個人の権利利益を侵害するだけでなく、社会や国家の安定をも揺るがしかねない。

端末の識別子、規制のない先進国は異例

 この問題のポイントは、こうした利用者の情報の多くが、利用者個人の氏名等ではなく、クッキーや広告IDなど、利用者のブラウザや、端末を識別する「端末等識別子」にひもづけられてやりとりされることだ。このような情報は日本の個人情報保護法では個人情報として保護されていない。このため、通信サービスを使うたびに、どこの誰とも分からない事業者に自分の情報が無断で送信されていても、利用者には防ぐすべがないのだ。

 ちなみに、国際的には端末等識別情報の扱いに一定の規律を課すことが主流で、日本のように実効的な制度をもたない国は先進国では珍しい。

 このような問題に対し、検討会は当初、外部送信機能をもつプログラムを設置しているすべてのウェブサイトやアプリの事業者に対し、利用者の「同意」取得を義務づけようとしていた。

 だが、内容は大きく変わっていった。まず、規律対象の事業者は、電気通信事業法で「電気通信事業を営む者」と位置づけられる事業者に限定された。ここでは詳細は省くが、「電気通信事業を営む者」に該当する事業者の範囲は狭い。例えば、企業のウェブサイトや、銀行や証券会社によるネットバンキング、一部のネット通販さえも、ここには該当しない。つまり、私たちは依然として、日常的に利用する多くの通信サービスで、自分の情報が「筒抜け」になる懸念を抱き続けることになる。

 さらに、事業者に課す義務も、当初案の「同意取得」に加えて「通知・公表」などの選択肢が用意された。つまり、利用者の同意を取得しなくても、ウェブサイトのプライバシーポリシーなどに説明を記載しておけばそれでOKということだ。これは既に多くの事業者が自主的に行っていることで、それでは効果がみられないからこそ、解決策が提案されたはずだ。検討会でも「それでは利用者の関与を担保する措置にならない」(石井委員)などの強い懸念が示された。

 もう一つの「取り扱い規律」は、このような利用者情報が様々な目的で利用されるようになった実態を踏まえ、利用者情報を保有する事業者に適切に取り扱ってもらうための規律で、安全管理措置や委託先の管理の徹底などを事業者に課そうというものだった。

 報告書案では、こちらも大きく後退した。取り扱い規律の対象となる情報の範囲から、肝心のクッキーなどの端末等識別子にひもづけられた情報が外されたのだ。対象は、利用契約や登録をした上でサービスを使う利用者の情報だけだ。だが、利用の仕方を思い浮かべれば容易に想像がつくように、利用登録せずにウェブを閲覧したり、動画を楽しんだり検索したりする場面は多い。利用登録をしなくても、事業者はクッキーなどの端末等識別子を使って利用者の情報を集め活用しているが、これらの情報は規制対象から漏れてしまうことになる。

 さらに、当初はすべての電気通信事業者に課す予定だったところが、これも見送られ、1000万人以上が使う超大規模事業者への規律だけになった。しかも、このうち、利用者情報を保管するサーバーの所在国や取り扱いの委託先の所在国を公表する案まで導入の可否は先送りとなった。元はといえば、2021年3月、LINEが利用者情報の一部を中国の委託先会社からアクセス可能な状態にしていたことなどが批判を受け、検討が始まったものであるだけに、所在国公表が見送られれば、何のための検討だったのかということになりかねない。

事業者の主張は検証されたのか

 たしかに、経済界にすれば、これまで自由に集められていたデータが集めにくくなったり、安全管理措置を講じることでコストがかさんだりすることは避けたいのかもしれない。中国などにサーバーを設置していることを明らかにすれば、社会的な批判を受けたり、利用者離れを招いたりすることもあるだろう。だが、それらの事情を考慮したとしても、今回の修正案はいささかバランスを失してはいないだろうか。

 検討会の席でも、「事業者の反対意見は果たして説得的なものだったのか」(石井委員)など、検討の最終段階で出てきた事業者の反対意見が、十分に検討されることもないまま採用されたことへの疑問が呈された。

 例えば、新経済連盟は反対の意見書で「ネット利用企業、デジタルサービスを広範に網にかけた規制強化をしようとしている」として、「既に銀行、家電メーカー、自動車メーカー、商社、物流会社、ゲーム会社、飲食店なども『電気通信事業者』」と記載していた。この主張を聞いて驚き、規制方針に否定的な感想を抱いた人も多かったことだろう。

 だが、改正提案での取り扱い規制の対象が「電気通信事業者」にとどまっていたことに留意が必要だ。今回、SNSと検索の中で巨大な事業者が「電気通信事業者」に組み入れられることになったので、新経済連盟は「ネットを利用する企業が広く電気通信事業者にされる」と考えたのかもしれないが、SNSや検索事業者はもともと現行法でも規制対象の「電気通信事業を営む者」で、そのうち巨大なものが一段規制の強い「電気通信事業者」に「格上げ」されただけだ。新経済連盟が例示する銀行なども、たまたま本業とは別に電気通信事業を営む企業が、その部分について届け出をしたに過ぎない。あたかも規制が電気通信事業と無関係な企業にまで広がるかのような「印象操作」を試みた、と批判されても仕方ないだろう。

 新経済連盟は「国際的に異常なガラパゴス規制になる」とも批判しているが、果たしてそうだろうか。検討会でヒアリング対象となった市民団体からも「現在の日本の状況こそ『ガラパゴス』」(マイデータ・ジャパン)、「国際標準に合わせるためにも今回の見直しが必要」(NACS)などの反論が出ていた。実際、欧米はもちろん、中国やシンガポールのような強権的な体制の国でも、端末等識別子を保護する方向で動いており、十分な保護法制をもたない日本の現状はむしろ異常に映る。

 そして、今の日本の「ガラパゴス」状態を作ったのは事業者団体だったともいえる。2015年の個人情報保護法改正では、当初から端末等識別情報をどう保護するかが大きなテーマだった。保護対象とする方針がほぼ決まっていたところを、今回同様、土壇場で新経済連盟などが反対してひっくり返し、先進国の中で日本だけ、個人の端末利用情報が十分に保護されない事態を生んだのだ。

 事業者団体からは、「電気通信事業法と個人情報保護法の二重規制」「個人のプライバシーにかかわる問題は個人情報保護法で対応すべきだ」との主張も出ている。だが、そう主張するACCJに、筆者が「では次の個人情報保護法改正で、端末等識別子を保護対象に加えるなら、今度は反対しないか」と聞くと、「それはその時になってみないと分からない」との回答だった。

 そもそも、「個人情報保護法との二重規制」の批判は当たらないだろう。憲法が専門の宍戸常寿東大教授は「電気通信事業法にはもともと『通信への信頼確保』と『利用者の保護』という法目的がある。個人情報保護法とは異なる目的で、同法と重複する情報を保護することはなにも問題はない」と解説する。

 その上で、「個人情報保護法は個人情報を取り扱うすべての事業者が対象になるので『必要最小限度』の規律にとどめざるをえない。デジタル社会を構築する根幹分野を規制する電気通信事業法こそ、しっかりとした規制を行うのに適している」という。

 個人情報保護法は、2020年の改正で「個人関連情報」という新たな情報のカテゴリを導入している。クッキーなどの端末等識別子にひもづけられた個人の情報を想定して導入されたものではあるが、規制が発動するのは、第三者に提供され、提供先で個人情報に変わる場面のみであり、そこで初めて本人の同意が必要になる。「どこの誰か」を特定せず、個人情報ではない状態でやりとりする場合は、適用されない。

 また、仮に今後、個人情報の定義が拡大され、端末等識別情報を含むようになったとしても、個人情報保護法では今の状況を解決することはできないだろう。それは日本の個人情報保護法の取得規制の弱さに理由がある。個人情報保護委員会は外部送信問題について、「外部事業者が利用者自身から情報を『取得』している」という考え方を採用した。利用者が閲覧したウェブサイトなどの運営者は、外部事業者の「取得」を手助けしているに過ぎないという位置づけだ。日本の個人情報保護法は欧州などと違い、取得の際に事業者に対し「本人の同意取得」を求めてはおらず、不適切な手段で取得しないことと、ウェブサイトなどで利用目的を「通知・公表」しておけことだけが求められている。

 つまり、個人情報保護法では「自分の情報の提供について、選択・拒否できるようにしてほしい」(全国消費生活相談員協会)といった利用者の要望に応えることは極めて難しくなる。

13対1が示す、行政は市民と事業者のどちらを向くか

 事業者と利用者の意見の対立が生じた時、行政はどちらの方を向くのか。それを端的に示していたのが、14日の検討会で公表された「事業者等ヒアリングにおける主な意見」という資料だ。

 事業者団体の反対を受けた後に、急きょ、事業者団体5団体、市民団体4団体からヒアリングを実施した結果をまとめたものだ。事業者の反対意見は13ページにわたり記載され、それに対する総務省の考え方と対応が1件ずつ記されている。しかし、市民側の意見はわずか1ページ。いくつかの意見が並べられているが、それに対する総務省の考え方と対応は記載されていない。「外部送信を利用者が選択、拒否できるようにしてほしい」「規律対象の事業者が狭すぎる。外部送信機能をもつウェブサイトはすべて対象にすべきだ」など、ヒアリングの席で語られた具体的な要望については記載もされていない。

政府と民間IT企業の距離

 やや引いた視点で見れば、今回の一連の経緯は、今後のデジタル時代の政策形成の在り方を考えさせるものでもあった。14日の検討会で、委員の山本龍彦慶応大教授がこのように述べていたのが印象的だった。

 「デジタル社会では必然的に政府と民間IT企業の距離が近くなるので、『民間企業の声を聞きすぎる事』に特に注意を払う必要がある。特に、企業の場合、一般の利用者と異なって資金力が豊富で、自らの利益をより強く組織化することができ、有効なロビイングも展開できる」

 デジタル領域は技術の進展が非常に早いため、官僚は政策をたてる上でどうしても技術を熟知した民間IT企業との連携が不可欠になる。政策実現のために民間IT企業の声に耳を傾けることは必然ともいえるが、それだけに公平なプロセスの確保が必要だ――というのだ。

 今回、事業者団体から政治家へのロビー活動が展開された点について、検討会のヒアリングの場で質問された経団連からの代表者は、「民主主義国家において政治家へのアクセスがけしからんとは私たちは思っていない」と回答していた。もちろん、その通りだろう。だが、同じことを市民ができないという、力の非対称性は問題だ。市民社会が強く育つ必要があるのはもちろんだが、今後は米国のロビー開示法のように、ロビー活動の詳細の公表を義務付け、透明化をはかる仕組みを日本も検討する必要があるのではないか。

 山本教授は日本国憲法から「すべて公務員は、全体の奉仕者であって、一部の奉仕者ではない」との条文を引用して、政策形成における公平なプロセスの重要性を訴えていた。

 公平なプロセスの実現には、市民が政官財の関係をチェックすることも必要だ。まずは2月4日締め切りのパブリックコメントで声を上げることから始めてみてはどうだろうか。

「利用者保護法への一歩」中村伊知哉氏

 通信分野の規制は、今後どうあるべきなのか。郵政省(現・総務省)OBで、デジタル政策に詳しい中村伊知哉・iU 情報経営イノベーション専門職大学学長(60)に聞いた。

中村伊知哉・iU 情報経営イノベーション専門職大学学長
中村伊知哉・iU 情報経営イノベーション専門職大学学長

 実は私は10年ほど前から、電気通信事業法は電気通信利用者保護法に生まれ変わる必要があると考えてきました。私が郵政省に入ったのは1984年、電気通信事業法が国会で成立した年です。電電公社(現・NTT)の民営化を機に、公社が独占的に保有していた電話の回線設備の利用自由化をどう進めていくかがこの法律の最大の目的でした。そのため、設備を保有している事業者、つまりNTTなどはしっかり規制し、それ以外はできる限り自由にしようという考え方が根底にあるのです。

 でも、これは「電話の時代」につくられた法律です。インターネット時代になって、様々な政策課題が回線設備を保有する事業者から、もっと上のレイヤー(層)のインターネットサービスやアプリの提供事業者に移っていきました。今のままでは現在の通信を巡る課題に対応できません。

 では、どうすればいいのか。技術やサービスが猛烈なスピードで変わる時代には、市場や業態をあらかじめ決めて、該当する事業者を規制するスタイルでは変化に追いつくことはできないでしょう。通信サービスを受ける利用者の側に軸足を置き、利用者がどのようなサービスを利用しているか、という観点で規制していく形が合理的なのです。

 その意味で、今回いろいろな経緯はあったものの、利用者保護の法律に生まれ変わるべきだという認識が共有できた点では、小さくても、大きな意味を持つ一歩になったといえるのではないでしょうか。

 とはいえ、利用者保護法に変えていくことは、口で言うほど容易いことではありません。事業者をはじめとした様々なステークホルダーの声を聞かなくてはいけないし、なにより、他省庁との調整も重要です。デジタルサービスは生活や産業のあらゆるシーンの基盤となるので、これまでのような縦割りではなく、横串に刺す政策が必要になるでしょう。一方で、変化の速いデジタル時代の政策には、迅速さも求められます。難しい問題ですが、様々なステークホルダーを交え、日頃から腹を割って対話をしていくしかないでしょう。

 私は昨年、デジタル政策フォーラムという団体を立ち上げました。憲法、競争法、電気通信事業法、個人情報保護法、著作権法など、デジタル時代の課題を抱える様々な分野の研究者のほか、政策立案者や企業で活躍する人もいます。いずれ若い人や市民社会を担っていく人たちも交えて、政策提言もしていくつもりです。新時代の課題を一分野からだけ見るのではなく、横断的にとらえ、議論することが大切だと思っています。

中村伊知哉氏  1984年郵政省入省。通信自由化やマルチメディア政策などに携わる。1998年郵政省退官、MIT客員教授などを経て、2006年慶應義塾大学教授。2020年からiU学長

スクラップは会員限定です

使い方
「科学・IT」の最新記事一覧
2703944 0 科学・IT 2022/01/25 22:18:00 2022/01/25 22:18:00 2022/01/25 22:18:00 https://www.yomiuri.co.jp/media/2022/01/20220125-OYT1I50105-T.jpg?type=thumbnail

ピックアップ

読売新聞購読申し込み

読売IDのご登録でもっと便利に

一般会員登録はこちら(無料)