この記事について
日本のインターネットについて、法律視点から見てみました。様々な法律がインターネットと関わりますが、今回は主にインターネットの技術的仕様故に規制されている部分についてまとめてみました。
法律の概要と、エンジニアリング・サービス設計上どのようなことに注意すべきかまとめています。
注意
以前、プロフィールにも書きましたが法律領域はまだまだ修行中の身です。この記事自体は半分私自身の学習ノートの扱いでもあります。今回紹介する法律の個々の詳細な解釈、適用についてはここの記事をすべて鵜呑みにせず、法律専門家、各管掌省庁のお問合せ先にご相談することをお勧めします。
個人情報保護法
昨今のプライバシーが騒がれる中で中身は知らなくてもこの法律の存在を知っている人は多いのではないのでしょうか。
主に以下のことが規定されています。
個人情報の定義
この法律で守られる「個人情報」とは何かを定義しています。個人情報保護法第2条では以下のように定義されています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
ポイントとしては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」という点です。
氏名などは明確に個人情報ですが、それ以外の関連情報については、事業者の運営スタイルによっては個人情報になったり、ならなかったりするケースもあるということです。
インターネットにおいて個人情報該当の狭間にある情報の典型はIPアドレスではないかと思います。おそらくほとんどのWEBサービスにおいてはIPアドレスはただの送り元の識別子でしかありません。しかし、インターネットプロバイダのような通信キャリア、あるいは、一般WEBサービスでも、ユーザー識別子と一緒にIPアドレスもログやデータベースとして一緒に保存してあった場合個人情報に当たるといえます。
それゆえに、ちょっとでもユーザーからデータを取得して保存するようなケースがあった場合、「個人情報じゃないでしょ」と安易に考えず、個人情報の定義に注意しながら、該当しうるかどうか慎重になるべきと私自身は考えています。
事業者が守るべきルール
上記個人情報を取得する場合として主に以下を事業者に対して守るように定めています。
- 個人情報取得する場合は、利用目的を本人に通知・公表しておくこと
- 個人情報を保管するときは漏洩が生じないように安全に管理すること
- 個人情報を本人以外の第三者に渡すときは本人の同意を得ること
- 本人から請求を受けたときは、個人情報の開示・訂正・利用停止ができること
個人情報を取得するWEBサービス運営上のポイントとしては、以下3つは最低必要と思っています。
- プライバシーポリシーなどで利用の範囲、提供しうる範囲、保管体制を定めておくこと
- 相応のセキュリティ対策を施しておくこと
- ユーザーからの個別の対応ができるようにお問合せを定めておくこと
「相応のセキュリティ対策」というのが難しいところで、セキュリティはいたちごっこ故にどこまですれば良いのか難しいところです。セキュリティ対策の考え方としては過去に以下の記事でブログ運営のケースで書いてみたものがあるのでよろしければ参考にしてみてください。
電気通信事業法
電気通信事業法は、通信に関するサービスを提供する事業者に対しての義務を定めた法律です。もともとは電話などをメインターゲットとしていましたが、今日では電話にとどまらず、キャリアなどのインターネットサービスプロバイダー、メールなどのPtoPサービスの提供をするWEBサービス事業者がメインのターゲットになっています。
様々なことが定められていますが、インターネット利用の安全性確保という視点では、以下2つの事項が重要ではないかと思っています。
通信の秘密
小中高の公民の授業などで、憲法に定められている「通信の秘密」を学んだ方は多いのではないでしょうか。憲法の「通信の秘密」はどちらかというと、公権力に通信の秘密を守らせることが趣旨でした。
通信事業者も、公権力と同様、個人個人のプライベートな通信を傍受することが可能な立場として「通信の秘密」を守るように義務付けられています。具体的には以下の条文で規定されています。
第四条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
サービス設計上の対策としては、メールやチャットなど、第三者の閲覧・利用を想定していないものについては、データベース上のデータの暗号化など、安易には運営者も見れないようにすることが望ましいといえます。
逆にカスタマーサポート上など、第三者の閲覧がやむを得ない場合は、事前に当該機能の立て付け、第三者の閲覧・利用範囲などを利用規約に定めておくなど相応の配慮をした方がよいといえます。もっとも、ユーザー説明すればOKという安易な考え方はプライバシー上問題があるため、法律の専門家などの監修を受けて例外規定を設けるようにしましょう。
届け出制
本件事業者にあてはまる場合、総務省に届け出が必要です。届け出をすることで、行政の管理下に置かれることになり、ユーザーが安心して利用できるように支援をしています。
プロバイダ責任制限法
名誉毀損表現、著作権法違反など、違法情報が投稿された時に、その投稿を削除を施したり、被害を受けた方から投稿者情報の開示を求められた時に開示することに関しての規定を定めたものです。
これまで紹介した個人情報保護法、電気通信事業法の通信の秘密は、プライバシーを守るための規定でした。これに対して、プロバイダ責任制限法は、インターネット上の違法行為が発生した際に、被害者救済のために発信者の救済方法を定めた法律といえます。
具体的には投稿情報の削除と投稿者情報の開示について、特定の条件であればサービス運営事業者に対して免責が認められる規定です。
特に開示に関しては、前述の法律ように、安易な投稿者情報の開示はプライバシー上問題があるため、規制が加えられています。しかしながら、だからといって違法情報によって被害者救済ができないというのは問題です。プロバイダ責任制限法はサービス運営者が開示可能になる条件を例外的に定めた法律になります。
プロバイダ責任制限法については以下にサービス上の実装含めてまとめた記事がありますのでこちらもご参照ください。
携帯電話不正利用防止法
携帯電話の不正利用を防止するために、携帯電話関係の事業者に対して契約時の本人確認の義務などを定めた法律です。
先ほどご紹介したプロバイダ責任制限法が有効に機能するためには、サービス運営側の適切な対応はもちろんですが、周囲の事業者に対しても適切な対応がされていることが求められます。特に、匿名掲示板サービスを運営しているケースなどは、せいぜいIPアドレスしかサービス運営者は持っていないケースが大半です。IPアドレスを開示したとしても、発信元の通信キャリアが適切に管理していないと有効に機能しません。
各種インターネット通信の末端である端末について、契約時に本人確認をすることで、不正利用発生時の発信元特定をなるべく容易にするようにしたことがこの法律の目的になります。
終わりに
簡単ですが、インターネットの安全利用のための法律のご紹介でした。
今回は通信の根幹部分の法律について触れましたが、もしも金融系であればさらに資金決済法などの金融関係の法律、リサイクル品のコマースサイトなどを運営するのであれば古物営業法などほかの法律も絡んできます。
日進月歩するインターネット技術故に課題があり今後も改正や新しい規制が増え、法務担当やエンジニアといった特定職種の方のみならず、サービス運営者がそれに追従して対応していく必要があります。
安全な環境を提供するために、インターネットでサービスを展開しようと考えている方々が少しでもこうした知識に関心をを持っていただければ幸いです。
参考資料
Photo by: Nicole De Khors on burst