改正電気通信事業法の特定利用者情報の適正な取扱いに関する規律

　この記事は、「裏 法務系 Advent Calendar 2023」の21日目のエントリーです。
　おもしろ記事が思いつかなかったので、ガチ法律ネタになってしまいました（空気を読めず申し訳ないです…）。
　改正電気通信事業法といえば幅広い事業者を対象とした外部送信規律が追加され、多くの企業の皆さまは対応が終わってほっとしているところかと思いますが、一部の大規模事業者に対しては「特定利用者情報の適正な取扱いに関する規律」への対応がまだ残っているよね、ということで規律の全体像を総務省・個人情報保護委員会「電気通信事業における個人情報等の保護に関するガイドラインの解説」（以下「GL解説」という。）ベースでまとめてみました。

１　はじめに

　2023年6月に改正電気通信事業法が施行され、多くの企業が外部送信規律への対応を行った。
　もっとも、改正電気通信事業法が規定するのは外部送信規律のみではなく、一部の大規模事業者を対象とした「特定利用者情報の適正な取扱いに関する規律」（以下「特定利用者情報規律」という。）が含まれている。
　以下では、大規模事業者を対象とした特定利用者情報規律の概要を見ていくこととする。
　なお、以下では電気通信事業法を「法」、電気通信事業法施行規則を「規則」と略することとする。

２　特定利用者情報規律の全体像

　改正電気通信事業法によって規定された特定利用者情報規律は、総務省から指定を受けた大規模事業者に対して、以下の義務を課すものである。

①　情報取扱規程の策定・届出
②　情報取扱方針の策定・公表
③　特定利用者情報の取扱状況の評価等
④　統括管理者の選任・届出等
⑤　特定利用者情報の漏えいの報告義務

　以下では、規律を遵守する必要がある「対象事業者」と「規律の対象情報」を概観した上、上記①～⑤の規律の詳細を見ていくこととする。

３　規律の対象事業者

　法27条の5は、「総務大臣は、総務省令で定めるところにより、内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が大きいものとして総務省令で定める電気通信役務を提供する電気通信事業者を、特定利用者情報（当該電気通信役務に関して取得する利用者に関する情報であつて次に掲げるものをいう。以下同じ。）を適正に取り扱うべき電気通信事業者として指定することができる」と規定している。
　したがって、特定利用者情報規律の対象事業者は、「利用者の利益及ぼす影響が大きい電気通信役務」を提供する電気通信事業者として法27条の5により総務大臣によって指定された事業者（以下「指定電気通信事業者」という。）であり、当該指定は告示によることとされており、当該事業者に対しては通知がなされることとされている（規則22条の2の19）。

　「利用者の利益に及ぼす影響が大きい電気通信役務」は、規則22条の2の20に基づき、以下の報告対象役務の表に掲げる電気通信役務ごとに、有償か無償かに応じて、前年度における 1 か月あたりの当該電気通信役務の提供を受けた利用者の数の平均が一定数以上となるものが該当する。
　具体的には、無償の場合には1000万以上、有償の場合には500万以上とされている。
　上記算定における「利用者」は、日本国内にある契約・登録利用者に限られる。また、他の電気通信事業者に卸電気通信役務を提供する場合、他の電気通信事業者が当該卸電気通信役務に基づいて提供する電気通信役務の利用者（エンドユーザ）の数を含む。他方、サービスの提供先が法人であり、当該法人内で複数のアカウントが従業員に対して割り振られているという場合、法人単位で利用者数を算定する（GL解説222頁）。

（報告対象役務）
・加入電話
・携帯電話
・IP電話
・インターネット接続サービス
・FTTHアクセスサービス
・CATVアクセスサービス
・BWAアクセスサービス
・公衆無線LANアクセスサービス
・仮想移動電気通信サービス
・電子メールサービス
・メッセージングサービス
・検索サービス
・ソーシャル・ネットワーキング・サービスその他交流型電気通信サービス
・その他電気通信役務（その他電気通信回線設備を設置して提供する又は電気通信回線設備を設置せずに他人の通信を媒介する電気通信役務）

2023年12月18日、告示によって19の事業者が指定電気通信事業者とされている。

４　対象となる情報

　特定利用者情報規律の対象情報は、「特定利用者情報」（法27条の5）である。
　「特定利用者情報」は、指定された電気通信役務に関して取得される利用者に関する情報であって以下の①又は②に該当するものと定義されている。

①　通信の秘密に該当する情報（法27条の5第1号）
②　利用者を識別することができる情報（法27条の5第2号）

　「特定利用者情報」には、個人に関する情報に限られず法人その他の団体に関する情報も含まれる（GL解説217頁）。

（１）指定電気通信役務に関して取得される利用者情報

　「特定利用者情報」は、指定された電気通信役務に関して取得される利用者に関する情報に限られる（法27条の5柱書）。
　指定役務や電気通信役務以外の役務に関して取得する利用者情報は特定利用者情報規律の対象にはならない（GL解説218頁）。

（２）通信の秘密に該当する情報

　「通信の秘密」に該当する情報（法27条の5第1号）とは、法4条1項が保護対象としている「通信の秘密」に該当する情報である。
　具体的には、「通信の秘密」の範囲には、個別の通信に係る通信内容のほか、個別の通信に係る通信の日時、場所、通信当事者の氏名、住所・居所、電話番号などの当事者の識別符号、通信回数等これらの事項を知られることによって通信の意味内容を推知されるような事項全てが含まれるとされている（総務省「通信の秘密の確保に支障があるときの業務の改善命令の発動に係る指針」2頁）。

（３）利用者識別情報

　特定利用者情報規律の対象となる利用者識別情報とは、利用者（電気通信事業者又は第三号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者及び電気通信事業者又は第三号事業を営む者からアカウント IDの付与を受けた者）を識別することができる情報であって、データベース等を構成する情報をいう（法27条の5第2号・規則22条の2の11・2条7号イ・規則2条の2）。
　法27条の5第1号において「通信の秘密に該当する情報」は、特定利用者情報規律の対象とされていることから、第2号の利用者識別情報の定義からは「通信の秘密に該当する情報」は除外されている（法27条の5第2号）。
　他の情報と容易に照合することができ、それにより契約・登録利用者を識別することができることとなるものを含む。したがって、Cookie に保存された ID や IP アドレス等、それ単体では必ずしも契約・登録利用者を識別することができない情報であっても、他の情報と容易に照合することができ、それにより契約・登録利用者を識別することができることとなる場合には、特定利用者情報に該当する（GL解説217頁）。

５　情報取扱規程の策定・届出

　指定電気通信事業者は、情報取扱規程を定めた上、指定日から3か月以内に総務大臣に届出を行わなければならない（法27条の6第1項）。
　また、指定電気通信事業者は、情報取扱規程を変更した場合、遅滞なく、変更した事項を総務大臣に届け出なければならない（法27条の6第2項）。

（１）情報取扱規程の記載事項

　情報取扱規程には以下の①～⑤の事項を記載しなければならない（法27条の6第1項・規則22条の2の22第1項）。

①　安全管理措置
②　委託先に対する監督
③　情報取扱方針の策定・公表
④　特定利用者情報の取扱状況の評価
⑤　従業者に対する監督

①　安全管理措置
　特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する次の事項を記載しなければならない（規則22条の2の22第1項1号）。
・　組織的安全管理措置
（例）責任者の設置、漏えい等事案に対応する体制等報告連絡体制、マニュアル整備、自己点検、検査等（GL解説228頁）
・　人的安全管理措置
（例）研修の実施、誓約書の提出等（GL解説228頁）
・　物理的安全管理措置
（例）入退室管理、機器の持込み制限、盗難・紛失防止措置等（GL解説228頁）
・　技術的安全管理措置
（例）アクセス管理、不正アクセスやDDoS攻撃等サイバー攻撃への対策等（GL解説228頁）
・　外国制度の把握体制
（例）外国に設置されるサーバ等の電気通信設備に特定利用者情報を保存する場合、外国に所在する第三者に特定利用者情報の取扱いを委託する場合又は外国に所在する第三者が提供する電気通信サービスであって、情報の保存を目的とするものを利用して特定利用者情報を保存する場合には、特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握体制（GL解説228頁）

②　委託先に対する監督
　特定利用者情報の取扱いを第三者に委託する場合における委託先に対する監督に関する次の事項を記載しなければならない（規則22条の2の22第2号）。
・　委託先の選定方法
（例）自らが講ずべき安全管理措置と同等の措置が確実に実施されることの確認方法等（GL解説228頁）
・　委託契約において定める特定利用者情報の取扱い
（例）安全管理措置、秘密保持、再委託の条件、委託契約終了時の特定利用者情報の取扱い、契約内容が遵守されなかった場合の措置、その他の特定利用者情報の取扱いに関する事項等（GL解説228頁）
・　委託先（再委託先、再々委託先等を含む。）における特定利用者情報の取扱状況の把握体制・方法
（例）定期的監査、監査結果を踏まえた委託契約の見直し、再委託先における情報の取扱状況の把握方法等（GL解説228頁）

③　情報取扱方針の策定・公表
　特定利用者情報に関する情報取扱方針（法27条の8）の策定及び公表に関する事項を記載しなければならない（規則22条の2の22第3号）。
（例）情報取扱方針の策定及び公表に係る体制に関する事項（策定組織等）（GL解説228頁）

④　特定利用者情報の取扱状況の評価
　特定利用者情報の取扱状況の評価（法27条の9）に関する次の事項を記載しなければならない（規則22条の2の22第4号、GL解説229頁）。
・　評価の実施体制並びに評価結果の情報取扱規程及び情報取扱方針への反映体制
・　評価項目、評価方法及び評価頻度

⑤　従業者に対する監督
　特定利用者を取り扱う従業者に対する監督に関する事項を記載しなければならない（規則22条の2の22第5号）。
（例）アクセス管理の体制、教育研修等の内容・頻度等（GL解説229頁）

（２）越境移転に関する記載事項

　前述のとおり、外国に設置されるサーバ等の電気通信設備に特定利用者情報を保存する場合（委託先を通じて保存する場合や、第三者の提供するクラウドサービスを利用して保存する場合を含む。）、外国に所在する第三者に特定利用者情報の取扱いを委託する場合又は外国に所在する第三者が提供する電気通信サービスであって、情報の保存を目的とするものを利用して特定利用者情報を保存する場合には、特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握体制について情報取扱規程に記載しなければならない（規則22条の2の22第1号ホ、GL解説229頁）。
　「特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度」とは、指定電気通信事業者に対し政府の情報収集活動への協力義務を課すことにより、指定電気通信事業者が保有する特定利用者情報について政府による情報収集が可能となる制度を指し、「特定利用者情報に係る利用者の権利利益に重大な影響を及ぼす可能性のある制度」に限られる（GL解説228頁）。

（３）届出の様式

　指定電気通信事業者は、規則が定める様式15の4の「情報取扱規程届出書」により総務大臣に届出を行わなければならない。
　既に複数の内部規程等を定めている場合、必ずしも特定利用者情報の取扱いに特化した情報取扱規程を別途策定する必要はない。
　さらに、指定電気通信事業者ごとに様々な記載の仕方があり得ることから、様式は任意であり、法定の記載事項の該当ページを表紙等に記載すれば、記載の順番や項目名等も問わない。
　グローバル企業において、日本における特定利用者情報の取扱いに限定した情報取扱規程を策定することが困難な場合、必要な記載事項が含まれることを前提に、企業集団全体として情報取扱規程の策定を行うことも許容され、他国法令や国際規格などに基づき、既に利用者に関する情報の取扱いに関する文書を策定している場合、情報取扱規程を策定する上で、当該文書を活用することも考えられる。ただし、日本の法制度や環境等、日本の事情も可能な限り考慮することが望ましい（GL解説227頁）。
　既に情報取扱規程に相当するものが策定されている場合等において、情報取扱規程の届出に際し、法定の記載事項以外の内容については、省略又は黒塗り等の対応が可能である（GL解説229頁）。
　なお、特定の事情により日本語で記載することができないものがあるときは、その訳文を付さなければならない（規則72条）。

（４）変更命令等

　総務大臣は、特定利用者情報の適正な取扱いを確保するため必要があると認めるときは、指定電気通信事業者に対し、当該電気通信事業者が届け出た情報取扱規程の変更命令を発動できる（法27条の7第1項）。
　また、総務大臣は、指定電気通信事業者が情報取扱規程を遵守していないと認めるときは、利用者の利益を保護するために必要な限度において、当該情報取扱規程の遵守命令を発動できる（法27条の7第2項）。

６　情報取扱方針の策定・公表

　指定電気通信事業者は、特定利用者情報の取扱いの透明性を確保するため、情報取扱方針を定めた上、指定日から3か月以内に公表しなければならない（法27条の8第1項）。
　既にプライバシーポリシーを定めている場合、当該プライバシーポリシーに必要事項を追記して対応することで足りる（GL解説233頁）。その場合には、特定利用者情報に係る内容が分かりやすく確認できるよう工夫することが望ましい（GL解説235頁）。
　また、指定電気通信事業者は、情報取扱方針を変更した場合、遅滞なく、変更した情報取扱方針を公表しなければならない（法27条の8第2項）。

（１）情報取扱方針の記載内容

　情報取扱方針には、以下の①～⑤の項目について記載しなければならない（法27条の8第1項・規則22条の2の23）。

①　取得する特定利用者情報の内容・取得方法
②　特定利用者情報の利用目的・方法
③　特定利用者情報の安全管理の方法
④　利用者からの苦情・相談に応じる営業所その他の連絡先
⑤　過去10年間に生じた特定利用者情報の漏えい時期と内容の公表

①　取得する特定利用者情報の内容・取得方法
　取得する特定利用者情報の内容（当該特定利用者情報を取得する方法を含む。）に関する事項を記載する必要がある（法27条の8第1項1号・規則22条の2の23第1号）。

②　特定利用者情報の利用目的・方法
　特定利用者情報の利用目的及び方法に関する事項（具体的利用例を含む。）を記載する必要がある（法27条の8第1項2号・規則22条の2の23第2号）
　あらかじめ、特定利用者情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるように記載しなければならない（GL解説233頁）。

③　特定利用者情報の安全管理の方法
　特定利用者情報の安全管理の方法に関する以下の事項を記載する必要がある（法27条の8第1項3号・規則22条の2の23第3号）。
・　安全管理措置の概要
　組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、（該当する場合には）特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握の体制の全てについて記載しなければならない（GL解説234頁）。

・　次のⅰ又はⅱに掲げる場合にあっては、当該ⅰ又はⅱに掲げる場合の区分に応じ、当該ⅰ又はⅱに定める事項
ⅰ　外国に設置されるサーバ等の電気通信設備に特定利用者情報を保存する場合（ⅱの場合を除く。）：当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
　「保存」には、委託先を通じて「保存」する場合、第三者の提供するクラウドサービスを利用して保存する場合も含まれる（GL解説234頁）。保存期間がごく一時的であり、特定利用者情報の安全管理において懸念が生じ得ないほどに短時間である場合は、「保存」に該当しないが、データ確認やデータ加工等の目的での一時的保管は、通常、「保存」に該当する（GL解説234頁）。
　公表する必要がある「外国の名称」には、保存する可能性がある国の名称も含まれる（GL解説234頁）。また、当該「外国」がAPEC CBPRシステム加盟国である場合、その旨を併記することも考えられるとされている（GL解説234頁）。
　公表する必要がある「外国の制度」とは、指定電気通信事業者に対し政府の情報収集活動への協力義務を課すことにより、 指定電気通信事業者が保有する特定利用者情報について政府による情報収集が可能となる制度を指し、「特定利用者情報に係る利用者の権利利益に重大な影響を及ぼす可能性のある制度」に限られ（GL解説234頁）、合理的に調査可能な範囲で行った調査（例えば、我が国又は外国の行政機関等が公表している情報を確認する方法等）により判明した内容を公表することで足りる（GL解説234頁）。
ⅱ　ⅰに規定する電気通信設備が第三者により設置されたものである場合において、当該電気通信設備が設置された外国の名称を知ることが困難なとき：当該第三者の名称
　このような第三者の名称を公表する場合、自社のセキュリティポリシー等に照らし当該事業者を選択した理由及び特定利用者情報の漏えいが生じた場合の対応方針等についても言及することが望ましいとされている（GL解説234頁）。

・　外国に所在する第三者に特定利用者情報の取扱いを委託する場合：委託先の所在国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
　「委託先」には、再委託先も含まれる（GL解説232頁）。
　特定利用者情報が委託先（再委託先を含む。）の所在国以外の国においても取り扱われる場合（例えば、当該委託先の外国支店によって取り扱われる場合。）、委託先の所在国の名称として、直接の委託先の所在国に限らず、特定利用者情報が現に取り扱われる国の名称を併せて記載することが望ましいとされている（GL解説234頁）。
　外国に所在する第三者が提供するクラウドサービスを利用してその設置するサーバに特定利用者情報を保存する場合において、契約条項によって当該クラウドサービス提供事業者がサーバに保存された特定利用者情報を取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、当該クラウドサービス提供事業者は特定利用者情報を取り扱うものではないと考えられるため、当該場合は、「外国に所在する第三者に特定利用者情報の取扱いを委託する場合」には該当しない。ただし、後述の「外国に所在する第三者が提供する電気通信役務であって、情報の保存を目的とするものを利用して特定利用者情報を保存する場合」には該当するため、当該クラウドサービス提供事業者の所在する外国の名称及び当該 特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無を公表する必要がある（GL解説234-235頁）。
　当該「外国」がAPEC CBPRシステム加盟国である場合、その旨を併記することも考えられるとされている（GL解説234頁）。
　公表する必要がある「外国の制度」とは、指定電気通信事業者に対し政府の情報収集活動への協力義務を課すことにより、 指定電気通信事業者が保有する特定利用者情報について政府による情報収集が可能となる制度を指し、「特定利用者情報に係る利用者の権利利益に重大な影響を及ぼす可能性のある制度」に限られ（GL解説234頁）、合理的に調査可能な範囲で行った調査（例えば、我が国又は外国の行政機関等が公表している情報を確認する方法等）により判明した内容を公表することで足りる（GL解説234頁）。

・　外国に所在する第三者が提供する電気通信サービスであって、情報の保存を目的とするものを利用して特定利用者情報を保存する場合：当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
　当該「外国」がAPEC CBPRシステム加盟国である場合、その旨を併記することも考えられるとされている（GL解説234頁）。
　公表する必要がある「外国の制度」とは、指定電気通信事業者に対し政府の情報収集活動への協力義務を課すことにより、 指定電気通信事業者が保有する特定利用者情報について政府による情報収集が可能となる制度を指し、「特定利用者情報に係る利用者の権利利益に重大な影響を及ぼす可能性のある制度」に限られ（GL解説234頁）、合理的に調査可能な範囲で行った調査（例えば、我が国又は外国の行政機関等が公表している情報を確認する方法等）により判明した内容を公表することで足りる（GL解説234頁）。

④　利用者からの苦情・相談に応じる営業所その他の連絡先
　利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項を記載する必要がある（法27条の8第1項4号・規則22条の2の23第4号）。

⑤　過去10年間に生じた特定利用者情報の漏えい時期と内容の公表
　過去10年間（指定電気通信事業者として指定されている期間が10年に満たない場合には、当該期間）に生じた通信の秘密の漏えい及び特定利用者情報の漏えいの時期及び内容の公表に関する事項を記載する必要がある（法27条の8第1項5号・規則22条の2の23第5号）。
　対象事故は、法定の報告義務がある事故に限られる（規則22条の2の23第5号）。
　情報取扱方針には、当該漏えいの時期及び内容の公表に関する方針を記載する必要がある（例えば、当該漏えいの発生状況について1年ごとに公表する旨を記載すること等。）（GL解説235頁）。
　当該漏えいが発生した際の時期及び内容自体については、情報取扱方針又はその他の文書等で公表することが望ましいとされている（GL解説235頁）。

（２）情報取扱方針の公表方法

　情報取扱方針の公表は、インターネットを利用して公衆の閲覧に供する方法により行わなければならない（法27条の8第1項・規則22条の2の23）。
　また、公表されるホームページにおいて、利用者が理解しやすく分かりやすい記載方法とする必要があり、利用者にとって分かりやすい場所に掲載されることが望ましい（GL解説232頁）。

（利用者が理解しやすい分かりやすい記載方法の例）
・　全ての記載事項を一覧表示せず、アコーディオン方針で整理し、利用者にとって必要な内容のみを表示することができるようにすること
・　挿絵や図表を活用すること

　なお、情報取扱方針を変更した事実についても、利用者にとって分かりやすい場所に掲載するなど、利用者が容易に確認できるようにすることが望ましいとされている（GL解説235頁）。

７　特定利用者情報の取扱状況の評価等

　指定電気通信事業者は、毎事業年度、特定利用者情報の取扱いの状況について評価を実施した上（法27条の9第1項）、評価の結果に基づき、必要があると認めるときは、情報取扱規程又は情報取扱方針を変更しなければならない（法27条の9第2項）。

（１）評価の実施

　評価の実施については、直近の事業年度における社会情勢、技術の動向、外国の制度、サイバーセキュリティ（サイバーセキュリティ基本法2条に規定する「サイバーセキュリティ」をいう。）に対する脅威その他の状況の変化を踏まえ、少なくとも以下の①及び②の事項について行う必要がある（法27条の9第1項・規則22条の2の24第1項）
　評価の実施については指定日を含む事業年度の翌事業年度から適用される。この場合において、当該翌事業年度における評価の実施に関しては、「直近の事業年度」ではなく、「指定日から当該指定日を含む事業年度の最終日までの間」の以下の①及び②の事項について行えば足りる（規則22条の2の24第2項）。

①　直近の事業年度における情報取扱規程・情報取扱方針の遵守状況
②　直近の事業年度における特定利用者情報の漏えい

　なお、GDPR におけるデータ保護影響評価においては、個人の権利及び自由に対して高いリスクが想定される取扱いについては、その取扱いの開始前にその影響評価を実施しなければならないとされており、特定利用者情報の取扱状況の評価とは観点や評価時期が異なるものの、その他国際規格等も含め、特定利用者情報の取扱状況の評価を行う上で活用可能な範囲でこれらの他の評価手法を活用することは妨げられないとされている（GL解説237-238頁）。
　また、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法である PIA（Privacy Impact Assessment、個人情報保護評価）の意義や手順等について、個人情報保護委員会において公表されているところ、このような手法を参考にすることも考えられる（GL解説238頁）。
　なお、グローバル企業において、日本の利用者情報に限定した評価を実施することが困難である場合には、企業集団で取り扱う日本以外の国の利用者情報を含めた全体の評価を行うことも許容されるが、この場合、日本独自の事情等も可能な限り考慮することが望ましいとされている（GL解説238頁）。

（２）評価結果に基づく規程・方針の変更

　指定電気通信事業者は、評価の結果に基づき、必要があると認めるときは、情報取扱規程又は情報取扱方針を変更しなければならない（法27条の9第2項）。
　この場合において、情報取扱規程を変更したときは、指定電気通信事業者は、規則に定める様式第15の5の「情報取扱規程変更届出書」により、遅滞なく、変更した事項を総務大臣に届け出なければならない。
　また、情報取扱方針を変更したときは、遅滞なく、これを公表しなければならない。

８　統括管理者の選任・届出等

　指定電気通信事業者は、情報取扱規程の法定記載事項に関する業務を統括管理させるため、指定日から3か月以内に、事業運営上の重要な決定に参画する管理的地位にあり、かつ、利用者に関する情報の取扱いに関する一定の要件を備える者の中から、特定利用者情報統括管理者を選任しなければならない（法27条の10第1項）。

（１）特定利用者情報統括管理者の選任要件

　特定利用者情報統括管理者の選任に当たっては、事業運営上の重要な決定に参画する管理的地位にあり、かつ、以下の①及び②のいずれかに該当する者のうちから行う必要がある（法27条の10第1項・規則22条の2の25）。

①　電気通信役務の提供を受ける者又は電気通信事業以外の事業の顧客に関する情報の取扱いに関する業務のうち、次のいずれかに該当するものに通算して 3 年以上従事した経験を有すること。
・　電気通信役務の提供を受ける者又は電気通信事業以外の事業の顧客に関する情報の取扱いに関する安全管理又は法令（日本法令に限らない。）に関する業務
・　上記に掲げる業務を監督する業務
②　①の要件と同等以上の能力を有すると認められること。

　「事業運営上の重要な決定に参画する管理的地位」にある者とは、特定利用者情報の取扱いを経営レベルで全体的かつ横断的に監督する責任と権限を有する者をいう（GL解説240頁）。
　既に情報責任者（CIO（Chief Information Officer））、最高情報セキュリティ責任者（CISO（Chief Information Security Officer））、個人情報保護管理者などを設置している場合、要件を満たす者である場合には、特定利用者情報統括管理者として、必要となる職務を追加し選任することで足りるとされている（GL解説240頁）。

（２）選任・解任の届出

　指定電気通信事業者は、特定利用者情報統括管理者を選任し、又は解任したときは、遅滞なく、必要事項を記載した届出書を総務大臣に提出しなければならない（規則22条の2の26第1項）。
　届出書に添付することになる、選任された特定利用者情報統括管理者が事業運営上の重要な決定に参画する管理的地位にあること及び法定の選任要件を備えることを証する書類（規則22条の2の26第2項）については、当該要件を備えることを確認した旨の当該事業者が作成した書類等が考えられるとされている（GL解説241頁）。

（３）特定利用者情報統括管理者の義務

　特定利用者情報の適正な取扱いを確保する上での特定利用者情報統括管理者の職務の重要性に鑑み、特定利用者情報統括管理者は、誠実にその職務を行わなければならない（法27条の11第1項）。

（４）指定電気通信事業者の義務

　指定電気通信事業者は、利用者の利益の保護に関し、特定利用者情報統括管理者のその職務を行う上での意見を尊重しなければならない（法27条の11第2項）。

９　特定利用者情報の漏えいの報告義務

　指定電気通信事業者は、電気通信業務に関し、一定の特定利用者情報の漏えいが生じたときには、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告しなければならない（法28条1項2号ロ）。

（１）報告対象

　通信の秘密に該当する情報を除く特定利用者情報（以下「一定の特定利用者情報」という。）であって、以下の①又は②のいずれかの情報を漏えいした場合には報告が必要である（法28条1項2号ロ・規則58条1項）。

①　一定の特定利用者情報に含まれる契約・登録利用者の数が1,000を超える情報
②　特定利用者情報の適正な取扱いに影響を及ぼすおそれのある外国の制度に基づき、外国政府に提供を行った一定の特定利用者情報

　①の「契約・登録利用者の数」については、利用者が一人で複数のアカウントを利用できるサービスである場合、（本人の人数ではなく）アカウント数に基づいて算定される。法人としてあるサービスを契約し、当該法人内で複数のアカウントが従業員に対して割り当てられている場合において、当該従業員のアカウントが漏えいした場合、その漏えいした従業員のアカウントの数にかかわらず、漏えいした契約・登録利用者数は、1と算定される（GL解説243頁）。
　②の「特定利用者情報の適正な取扱いに影響を及ぼすおそれのある外国の制度」とは、指定電気通信事業者に対し政府の情報収集活動への協力義務を課すことにより、指定電気通信事業者が保有する特定利用者情報について政府による情報収集が可能となる制度を指し、「特定利用者情報に係る利用者の権利利益に重大な影響を及ぼす可能性のある制度」に限られる（GL解説243・228頁）。
　なお、②については、指定電気通信事業者がその意思に基づき協力に応じる場合に加え、指定電気通信事業者の意思に反して、その従業者又は業務委託先の第三者等が協力に応じる場合も含まれる（GL解説243頁）。
　通信の秘密に係る特定利用者情報の漏えい事案が発生した場合には、本改正前と同様、総務大臣への報告が必要となる（法28条1項2号イ）。

（２）「漏えい」の考え方

　電気通信事業法で規定する通信の秘密の「漏えい」は、他人の知り得る状態に置くこととされており、通信当事者の有効な同意を得た場合や正当業務行為等の違法性阻却事由がある場合を除き、「漏えい」に該当するとされている（総務省「通信の秘密の確保に支障があるときの業務の改善命令の発動に係る指針」参照。）。この点、外国政府により、情報収集活動への協力義務を課す制度に基づき、通信の秘密が取得された場合、通常、違法性阻却事由に該当するものではなく、このため、通信当事者の有効な同意を得てい ない場合には、通信の秘密の漏えいに該当することとなる。これと同様に、特定利用者情報に含まれる通信の秘密に該当する情報と一定の特定利用者情報については区別なく同等に規範が設けられていることから、外国政府により、情報収集活動への協力義務を課す制度に基づき、利用者の有効な同意なく、特定利用者情報が取得された場合、通常、特定利用者情報の「漏えい」に該当する。特に、特定利用者情報の適正な取扱いに影響を及ぼすおそれのある外国の制度に基づき、一定の特定利用者情報が取得された場合には、漏えいした一定の特定利用者情報に係る利用者の数が1,000以下であっても、報告対象となるとされている（GL解説243-244頁）。
　なお、特定利用者情報の利用の目的及び方法に関する事項を情報取扱方針に記載する際、 あらかじめ、特定利用者情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨明確にわかるように記載することになっているところ（GL解説233頁）、一定の特定利用者情報については、情報取扱方針に第三者に提供する旨明確にわかるように記載されている場合には、その適正な取扱いに影響を及ぼすおそれのある外国の制度に基づき外国政府に提供を行った場合を除き、「漏えい」に 該当しないものとされている（GL解説244頁）。

（３）報告時期

　指定電気通信事業者は、一定の特定利用者情報の漏えいが発生した場合、速やかにその発生日時及び場所、概要、理由又は原因、措置模様その他参考となる事項について総務大臣に報告しなければならない（規則57条）。
　その後、一定の特定利用者情報の漏えいを知った日から30日以内に報告書を提出しなければならない（規則57条）。

（４）報告様式

　事故直後の第一報は、「適当な方法」により行われれば足りるとされている（GL解説245頁）。実務上は、以下の事項について把握している範囲内で本社所在地を管轄する総合通信局等に報告を行う必要がある（総務省「特定利用者情報の適正な取扱いに係る規律」参照）。

①　法人名
②　登録又は届出番号
③　事案の概要（発生日、発覚日、発覚に至る経緯、規則58条1項各号該当性など）
④　漏えい等をした情報の内容
⑤　漏えい等した情報に係る本人の数
⑥　発生原因
⑦　二次被害（そのおそれを含む。）の有無及びその内容
⑧　公表の実施状況
⑨　本人への対応状況
⑩　再発防止策

　漏えいを知った日から30日以内に提出する必要がある詳報については、規則様式50の2の2の「特定利用者情報の漏えい報告書」による必要がある（規則57条）。
　なお、通信の秘密の漏えいに関する報告書が同時に提出される場合において、各報告事項に関し、当該報告書の内容と同一の内容であるときは、当該報告書と同じとして記入を省略することができる（GL解説245-246頁）。

10　おわりに

　最後までお読みいただきありがとうございました！
　記事を書くことでわたし自身も頭の中が整理されてとてもよかったです。
　22日目の明日は「ノーネクタイのマイクロス」さんです！！