改正電気通信事業法が施行され、多くの事業者が法令遵守のためのシステム改修やプライバシーポリシーの改定、ユーザの同意やオプトアウト機能の実装に取り組んでいます。現行の電気通信事業法に対応するための対処は企業により選択・判断が必要ですが、その対策が不十分であった場合はなんらかの罰則を受ける恐れもあります。
そこでこの記事では、改正電気通信事業法の代表的な規制や想定される違反ケース、罰則について解説します。
改正電気通信事業法で定められている罰則
改正電気通信事業法では複数の規則が定められており、それぞれ適用される罰則も異なります。どのような違反が存在するのかを解説します。
改正電気通信事業法自体の内容は、こちらの記事で詳しく解説しています。併せてご覧ください。
【関連記事】改正電気通信事業法とは?概要や企業が行うべき対策をわかりやすく解説!
電気通信事業の登録
電気通信事業を営む事業者は、その事業の登録が必要になる場合があります。
それを怠り、電気通信事業を営んだ場合「三年以下の懲役若しくは二百万円以下の罰金に処し、又はその両方」適用されます。
・電気通信事業の登録に関する条文
第九条
電気通信事業を営もうとする者は、総務大臣の登録を受けなければならない。ただし、次に掲げる場合は、この限りでない。
一その者の設置する電気通信回線設備(送信の場所と受信の場所との間を接続する伝送路設備及びこれと一体として設置される交換設備並びにこれらの附属設備をいう。以下同じ。)の規模及び当該電気通信回線設備を設置する区域の範囲が総務省令で定める基準を超えない場合
二その者の設置する電気通信回線設備が電波法(昭和二十五年法律第百三十一号)第七条第二項第七号に規定する基幹放送に加えて基幹放送以外の無線通信の送信をする無線局の無線設備である場合(前号に掲げる場合を除く。)
・罰則
第百七十七条
第九条の規定に違反して電気通信事業を営んだときは、当該違反行為をした者は、三年以下の懲役若しくは二百万円以下の罰金に処し、又はこれを併科する。
通信の秘密保護違反
通信の秘密保護とは、電気通信事業を営む企業の従業員(元従業員を含む)など、ユーザの通信内容を知り得る立場にいる人物がみだりに通信内容を知ろうとすること禁止する決まりです。これが保証されていることで、インターネットや電話などの利用者は、他人に内容を知られずに自身が望む相手とのみ通信を行うことができます。
通信の秘密を侵した場合、「二年以下の懲役又は百万円以下の罰金」が課せられます。また、電気通信事業に従事する人物がこれを犯した場合は「三年以下の懲役又は二百万円以下の罰金」が課せられます。
・通信の秘密に関する条文
(検閲の禁止)
第三条
電気通信事業者の取扱中に係る通信は、検閲してはならない。
(秘密の保護)
第四条
電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
・罰則
第百七十九条
電気通信事業者の取扱中に係る通信(第百六十四条第三項に規定する通信並びに同条第四項及び第五項の規定により電気通信事業者の取扱中に係る通信とみなされる認定送信型対電気通信設備サイバー攻撃対処協会が行う第百十六条の二第二項第一号ロの通知及び認定送信型対電気通信設備サイバー攻撃対処協会が取り扱う同項第二号ロの通信履歴の電磁的記録を含む。)の秘密を侵した者は、二年以下の懲役又は百万円以下の罰金に処する。
2
電気通信事業に従事する者(第百六十四条第四項及び第五項の規定により電気通信事業に従事する者とみなされる認定送信型対電気通信設備サイバー攻撃対処協会が行う第百十六条の二第二項第一号又は第二号に掲げる業務に従事する者を含む。)が前項の行為をしたときは、三年以下の懲役又は二百万円以下の罰金に処する。
3
前二項の未遂罪は、罰する。
不正な情報取得
電気通信事業者や従事する人物が、取得した個人情報を不正に盗用や他社への提供を行なった場合、「1年以下の懲役又は50万円以下の罰金」が課せられます。
・適正取得に関する条文
(適正な取得)
第八条 電気通信事業者は、偽りその他不正の手段により個人情報を取得してはならない。
【引用】:電気通信事業における個人情報等の保護に関するガイドライン
・罰則
第百七十九条
個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第百八十四条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
【参考】:電気通信事業における個人情報等の保護に関するガイドライン 3-3-2
具体的に罰金や懲役が定められている前述の条文はもちろんですが、電気通信事業法では適切な情報の取扱や利用者への通知など遵守するべき規則が多く定められています。違反が認められた場合、法的な罰則はもちろん、取引先やステークホルダー、顧客からのイメージダウンなどの悪影響も想定されるでしょう。
改正電気通信事業法の罰則が適用されるケース
どのようなケースで改正電気通信事業法が適用されるのでしょうか。実際のビジネスで起こり得るケースを紹介します。
不適切な情報取得
情報の取得については、電気通信事業における個人情報等の保護に関するガイドラインにより下記の通り定められています。
第8条(第1項)
1 電気通信事業者は、偽りその他不正の手段により個人情報を取得してはならない。
【引用】:電気通信事業における個人情報等の保護に関するガイドライン
これに対し、下記のようなケースは違反となる場合があります。
・十分な判断能力を持たない人物から、その家族の収入などの情報を収集するケース
・情報を取得する際に、利用目的やデータを収集する主体について虚偽の情報を示すケース
・他の事業者により不正な情報収集を行い、その事業者から個人情報を入手するケース
従業員に対して適切な教育・監督を行っていない
電気通信事業者は、自社の従業員(契約社員やアルバイトなど含む)に対して安全なデータの取り扱いを行うように監督しなければなりません。
(従業者の監督)
第二十四条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
下記のケースは、これに違反していると考えられます。
・従業員が運用ルールや業務マニュアルを遵守していることを確認せずに情報漏洩が発生するケース
・ノートパソコンやUSBメモリ等を持出していることを黙認し、紛失や漏洩が発生するケース
情報の利用目的を明確に本人へ伝えていない
情報を収集する場合、収集した情報の利用目的を本人に明確に伝える必要があります。
法第17条(第1項)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
【引用】:個人情報の保護に関する法律についてのガイドライン(通則編)3-1-1
それでは、利用目的を本人に伝えるにあたり、どの程度特定されている必要があるのでしょうか?
・利用目的が「特定されていない」と見なされるケース
1.マーケティング活動に用いるため
2.事業活動に用いるため
・利用目的が「特定されている」と見なされるケース
1.○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。
2.取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。
提供する情報がどのような事業で使用され、その目的や取り扱いについて、個人情報を提供する本人が具体的に理解できるようにすることが重要です。それぞれの違反ケースは、一般的にも「問題がある」と判断できるものがほとんどです。ただし、業務プロセスが複雑だったり、教育が行き届かずリテラシーが不足している従業員など、意図せずに違反してしまうリスクは常に存在します。
リスクを回避するには、正しく改正電気通信事業法を理解して、法令を遵守するために自社サービスの見直しや改善をすることも大切です。
改正電気通信事業法を遵守するためのポイント
Webを通じてサービスを提供する事業者にとって、改正電気通信事業法は特に注意したい法令の一つです。法的リスクを削減し、安定してサービスを継続するために重要なポイントを解説します。
電気通信事業者の区分を把握する
電気通信事業法では、「電気通信事業を営む者」として事業者の区分を設けており、以下の3パターンが存在します。
・登録が必要な電気通信事業者
・届出が必要な電気通信事業者
・第三号事業を営む者
基本的には設備や提供しているサービス内容によって自社の区分が決まるため、自社の立場を正確に把握しましょう。
こちらの記事では、区分を簡易的にチェックできる確認項目を掲載しています。
併せてご覧ください。
【関連記事】電気通信事業法における第三号事業者とは?自社の分類を把握しよう!
また、総務省からも「電気通信事業を営む者」についてのガイドブックが公開されています。
こちらも参考にすると良いでしょう。
外部送信規律への対応を推進する
電気通信事業法では、通信の媒介や情報提供など、電気通信事業者の事業内容に応じた多岐にわたる規律が定められています。その中でも、Webサービスを提供する企業にとって重要なポイントとなるのが「外部送信規律」です。
「Cookie規制」とも呼ばれており、Webサイトのアクセス解析や広告配信などデジタルマーケティングにおいて、活発に利用されているcookieが規律の対象となりました。具体的にはCookieを事業者の外部に送信する行為おいて、事業者側に利用者に利用目的と送信する内容を開示し、了承を取るなどさまざまな規律を課しています。
改正電気通信事業法を遵守して情報収集することはもちろん、最終的にはその情報をどのように有効活用し、ビジネスに活かすかが重要です。こちらの記事では、外部送信規律の詳細とcookie規制を受けて企業がどのような対策を取るべきかを解説しています。併せてご覧ください。
【関連記事】:Cookieはなぜ規制されるのか?企業が取るべき対応・対策を解説!
自社のサービスやビジネスを改正電気通信事業法に照らし合わせ、違反のリスクがある場合は、早急な対処が必要です。
改正電気通信事業法を遵守し、罰則リスクを回避
改正電気通信事業法は適用範囲が広く、Webサービスを提供する多くの企業が影響を受けることになります。この記事では具体的な罰則が定められている条文を主に解説してきましたが、具体的な状況毎に判断されるケースもあることには留意が必要です。
Webサービスを提供している企業は、まず下記の対応が求められます。しかし、社内のリソースやスキルなどの理由で実際に対応することが難しいケースもあるのではないでしょうか。
・自社が電気通信事業者としてどこに区分されるのかの確認
・プライバシーポリシーの更新やWebサイト上の表記、同意取得機能の改修
・利用者に関連するデータ収集プロセスの見直し、改善
RTmetricsは、プライバシー関連法を遵守しながら高精度なデータ収集を実現できるアクセス解析ツールです。利用者のプライバシーを守ることと高精度なデータ収集を実現するためには、複数のアプローチを高度に組み合わせる必要があります。
RTmetricsによりニーズに合わせたアクセス解析手法を組み合わせ、法的リスクを回避しながらデータを収集し、ビジネスに活用することができます。ぜひご検討ください。