2σ Guide

特定利用者情報の
取扱方針整備

指定電気通信事業者に求められる情報取扱方針を、公開文書、内部規程、評価、統括管理者、委託・クラウド、事故対応まで一体で整えるための企業法務向け実務解説です。

3月以内 指定後の公表・届出・選任期限
1,000万 / 500万 無料・有料役務の利用者数基準
毎事業年度 取扱状況の評価と更新
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

特定利用者情報の 取扱方針整備

公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
特定利用者情報の 取扱方針整備
公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 特定利用者情報の 取扱方針整備
  • 公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。

POINT 1

  • 特定利用者情報の取扱方針整備の全体像をつかむ
  • 公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。
  • 対象情報の確定
  • 公表事項の網羅
  • 内部規程との整合

POINT 2

  • 特定利用者情報の取扱方針整備を支える法制度と対象事業者
  • 電気通信事業法上の透明性義務、外部送信規律との違い、指定対象の考え方を整理します。
  • 情報取扱方針は透明性の制度です
  • 指定電気通信事業者の利用者数基準
  • 電気通信事業法は、電気通信事業の公共性を踏まえ、利用者等の利益を保護する法律です。

POINT 3

  • 特定利用者情報の取扱方針整備で公表すべき記載事項
  • 対象が見えない
  • プライバシーポリシーの奥深くに記載し、対象サービスや特定利用者情報部分が分かりにくい状態です。
  • 安全管理が抽象的
  • 「安全に管理します」だけで、安全管理措置の概要を利用者が確認できない状態です。

POINT 4

  • 特定利用者情報の取扱方針整備に必要な実務設計
  • 情報インベントリ、利用目的、安全管理、外国クラウド、窓口、事故対応を部門横断で設計します。
  • 利用目的は階層で整理します
  • 外国保存・外国委託・外国クラウドを分けて確認します
  • 最初に整備すべきものは、対象サービスごとの情報インベントリです。

POINT 5

  • 特定利用者情報の取扱方針整備と内部規程・評価・統括管理者
  • 1. 資料を更新します
  • 2. 取扱状況を評価します:情報取扱規程・情報取扱方針の遵守状況、事故・ヒヤリハット・苦情相談、教育研修、脆弱性診断、監査ログを確認します。
  • 3. 是正と改訂要否を判断します:ギャップがある場合は、是正計画、責任者、期限を定め、情報取扱規程または情報取扱方針の改訂要否を判断します。
  • 4. 経営へ報告し公表します:統括管理者、経営会議、取締役会、リスク委員会へ報告し、方針を変更した場合は遅滞なく公表します。

POINT 6

  • 特定利用者情報の取扱方針整備プロジェクトの進め方
  • 1. 適用対象性を判定します:サービス一覧、電気通信役務該当性、利用者数、無料・有料区分、指定・通知・報告履歴を確認します。
  • 2. データマップを作成します:プロダクト仕様だけでなく、ログ基盤、分析基盤、クラウド、SaaS、委託先、バックアップ、監視ツールまで確認します。
  • 3. ギャップを分析します
  • 4. 文案をレビューします:法務を中心に、セキュリティ、プロダクト、クラウド管理、委託管理、CS、広報、内部監査が確認します。
  • 5. 承認・公表・証跡化します

POINT 7

  • 特定利用者情報の取扱方針整備で企業法務が注意する典型論点
  • 変更命令・遵守命令
  • 特定利用者情報の適正な取扱いを確保するため、情報取扱規程の変更命令や遵守命令の対象となる可能性があります。
  • 業務改善命令

POINT 8

  • 特定利用者情報の取扱方針整備の実務チェックリスト
  • 法令、データ管理、委託・クラウド、評価、事故対応を監査可能な形で確認します。
  • 適用対象性
  • 対象情報
  • 情報取扱方針

まとめ

  • 特定利用者情報の 取扱方針整備
  • 特定利用者情報の取扱方針整備の全体像をつかむ:公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。
  • 特定利用者情報の取扱方針整備を支える法制度と対象事業者:電気通信事業法上の透明性義務、外部送信規律との違い、指定対象の考え方を整理します。
  • 特定利用者情報の取扱方針整備で公表すべき記載事項:取得情報、利用目的、安全管理、外国保存、窓口、事故公表を、公開文書と証跡の両面で整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

特定利用者情報の取扱方針整備の全体像をつかむ

公開ページを作るだけでなく、データ、規程、委託先、評価、経営責任をつなげることが中心です。

特定利用者情報の取扱方針整備とは、指定電気通信事業者が、取得する情報、利用目的、利用方法、安全管理、苦情・相談窓口、外国での保存・委託・クラウド利用、漏えい事故の公表方針などを、利用者が確認しやすい形で公表し、毎事業年度の評価結果を踏まえて更新する仕組みを整えることです。

重要なのは、情報取扱方針が外向きの説明文書であると同時に、社内の実態を映す統制文書でもある点です。公開文書だけが整っていても、データ所在、アクセス権限、委託契約、海外クラウド、事故対応、評価記録が伴わない場合、法令対応として脆弱になります。

次の一覧は、取扱方針整備で満たすべき五つの要件を示しています。各項目は公開文書の記載漏れを防ぐだけでなく、部門横断の作業範囲を確認するために重要です。読み取るべき点は、文案作成、内部規程、評価、経営責任が一つの流れとしてつながっていることです。

Requirement 01

対象情報の確定

どのサービス、データ、ログ、ID、委託先処理が特定利用者情報に該当するかを確定します。個人情報だけでなく、通信の秘密、法人利用者情報、識別可能なCookie IDやIPアドレスも検討対象になります。

Requirement 02

公表事項の網羅

取得内容、取得方法、利用目的、利用方法、安全管理、外国保存、外国委託、外国クラウド、相談窓口、事故公表方針を過不足なく整理します。

Requirement 03

内部規程との整合

公開される情報取扱方針と、総務大臣に届け出る情報取扱規程、セキュリティ規程、委託先管理規程、インシデント対応規程を矛盾させないようにします。

Requirement 04

評価と更新

毎事業年度の評価で、社会情勢、技術動向、外国制度、サイバーセキュリティ脅威、事故や苦情、規程遵守状況を確認し、必要な改訂につなげます。

Requirement 05

経営責任の明確化

特定利用者情報統括管理者を中心に、法務、プライバシー、情報セキュリティ、事業部門、委託管理、内部監査、経営会議・取締役会を接続します。

次の強調表示は、このページ全体で一貫して押さえる結論を示しています。取扱方針整備の到達点を短く確認するために重要であり、読者は「公開」「検証」「運用」「監督」の四つが同時に成立しているかを読み取ります。

法定事項を列挙するだけでは足りません

利用者にとって理解可能で、規制当局にとって検証可能で、社内にとって運用可能で、経営にとって監督可能な説明責任の仕組みにすることが、特定利用者情報の取扱方針整備の実務上のゴールです。

Section 01

特定利用者情報の取扱方針整備を支える法制度と対象事業者

電気通信事業法上の透明性義務、外部送信規律との違い、指定対象の考え方を整理します。

電気通信事業法は、電気通信事業の公共性を踏まえ、利用者等の利益を保護する法律です。2022年改正では、利用者情報の適正な取扱いに関する制度として、特定利用者情報の適正な取扱いに係る規律と、情報送信指令通信に係る通知等、いわゆる外部送信規律が導入されました。

次の比較表は、二つの制度の目的と実務上の焦点を分けて示しています。混同すると対応範囲がずれやすいため重要です。読者は、情報取扱方針整備が大規模・影響大の役務に関する重要な利用者情報管理を扱い、外部送信規律とは別の統制を求めている点を読み取ります。

制度目的主な対象実務上の焦点
特定利用者情報の適正な取扱いに係る規律大規模または影響が大きい電気通信役務で取得される重要な利用者情報を適正に管理します。総務大臣に指定された電気通信事業者です。情報取扱規程、情報取扱方針、評価、統括管理者、漏えい報告を整えます。
外部送信規律利用者端末から外部に送信される情報について確認機会を与えます。一定の電気通信役務を提供する事業者等です。Cookie、SDK、タグ、外部送信先、通知・公表・同意・オプトアウトを整理します。

情報取扱方針は透明性の制度です

電気通信事業法第27条の8は、指定電気通信事業者に対し、特定利用者情報の取扱いの透明性を確保するため、情報取扱方針を定め、指定の日から3月以内に公表することを求めています。透明性とは、利用者、規制当局、監査人、社内関係者が、対象サービス、取得情報、取得方法、利用目的、安全管理、外国保存・委託・クラウド、相談窓口、事故公表方針、変更時の確認方法を合理的に確認できる状態です。

次の定義表は、特定利用者情報と関連文書の違いを整理しています。対象範囲の誤認は文案、台帳、委託管理、事故対応のすべてに影響するため重要です。読者は、個人情報保護法上の個人情報だけを見れば足りるわけではない点を読み取ります。

項目整理の考え方実務上の例
通信の秘密に該当する情報個別通信の内容だけでなく、通信当事者、通信日時、通信回数、宛先など、通信の意味内容や存在を推知させる事項を含み得ます。メッセージ本文、通話履歴、送受信者情報、通信ログ、メール配送情報です。
利用者を識別できる情報契約・登録利用者を識別できる情報のデータベース等を構成する情報です。アカウント情報、登録メールアドレス、電話番号、ログインID、アカウントIDにひもづく利用履歴です。
情報取扱方針利用者や社会へ取扱いを説明する外部向け文書です。指定の日から3月以内に公表し、変更時は遅滞なく公表します。特定利用者情報取扱方針、特定利用者情報に関する方針などの名称で公表されます。
情報取扱規程安全管理、委託先監督、評価、従事者監督などを定める内部統制文書です。指定の日から3月以内に総務大臣へ届け出ます。経営、法務、セキュリティ、内部監査、規制当局が確認する管理文書です。

指定電気通信事業者の利用者数基準

特定利用者情報の取扱方針を法定義務として整備する対象は、総務大臣から、特定利用者情報を適正に取り扱うべき電気通信事業者として指定された事業者です。対象になり得る役務には、加入電話、携帯電話、IP電話、インターネット接続サービス、電子メール、メッセージング、検索、SNSその他交流型電気通信サービスなどが含まれます。

次の表は、指定対象を検討する際の利用者数基準を示しています。法定義務の要否や準備時期を判断するために重要です。読者は、無料役務と有料役務で基準が異なり、前年度の1か月当たりアクティブ利用者数平均を確認する点を読み取ります。

役務区分基準となる利用者数実務上の確認点
提供開始時に対価としての料金の支払を要しない電気通信役務前年度の1か月当たりアクティブ利用者数平均が1,000万以上です。アカウントを持たない閲覧者を含めるか、ログイン閲覧者をどう算定するかを役務ごとに確認します。
提供開始時に対価としての料金の支払を要する電気通信役務前年度の1か月当たりアクティブ利用者数平均が500万以上です。複数サービスを同一アカウントで提供する場合でも、個々の電気通信役務ごとの算定が原則です。

指定電気通信事業者でない事業者にも、第27条の8の公表義務がそのまま適用されるわけではありません。ただし、急成長中のサービス、M&Aや事業統合、グループ共通ID、無料サービスへの有料機能追加、海外クラウドや海外委託の拡大がある場合は、早期に取扱方針整備を準備することが実務上有効です。

Section 02

特定利用者情報の取扱方針整備で公表すべき記載事項

取得情報、利用目的、安全管理、外国保存、窓口、事故公表を、公開文書と証跡の両面で整理します。

指定電気通信事業者は、情報取扱方針をインターネットを利用して公衆の閲覧に供し、利用者が容易に確認できるようにすることが求められます。プライバシーポリシーの一部に統合する方法もあり得ますが、その場合でも特定利用者情報に関する内容へ到達しやすい見出し、目次、導線、改定履歴を設けることが重要です。

次の一覧は、公開方針で避けたい状態をまとめています。透明性を損なう典型的な弱点を早期に検出するために重要です。読者は、抽象的な安心表現ではなく、対象、情報、目的、外国関係、事故公表、窓口が具体的に確認できるかを読み取ります。

対象が見えない

プライバシーポリシーの奥深くに記載し、対象サービスや特定利用者情報部分が分かりにくい状態です。

安全管理が抽象的

「安全に管理します」だけで、安全管理措置の概要を利用者が確認できない状態です。

外国関係が未整理

外国クラウドや外国委託があるにもかかわらず、国名や制度有無の記載がない状態です。

事故公表が不明確

事故の時期および内容の公表に関する事項、過去事故の扱い、更新方法が確認できない状態です。

変更を追えない

改定日、変更箇所、旧版、重要変更の通知方法が分からない状態です。

窓口が機能しない

一般問い合わせフォームだけで、特定利用者情報に関する苦情・相談の受付先として機能するか不明確な状態です。

次の表は、法定記載事項と、それを支える確認資料を対応させたものです。公開文書の記載漏れを防ぐだけでなく、後日説明できる証跡を残すために重要です。読者は、各記載事項がデータマップ、ログ一覧、契約、台帳、インシデント記録などの実資料と結び付いているかを読み取ります。

記載事項実務上の記載要素典型的な確認資料
取得する特定利用者情報の内容情報項目、取得方法、対象サービス、通信の秘密該当性、利用者識別情報該当性を示します。データマップ、ログ一覧、データベース定義、SDK・タグ一覧です。
利用目的・利用方法サービス提供、本人確認、不正利用防止、品質改善、広告、分析、問い合わせ対応などを整理します。利用目的一覧、プロダクト仕様書、PIA・DPIA、社内承認記録です。
安全管理の方法組織的、人的、物理的、技術的安全管理措置の概要を記載します。セキュリティ規程、アクセス権限台帳、監査ログ、教育記録です。
外国保存・外国委託・外国クラウド国名、第三者名、外国制度の有無、合理的調査方法、委託・クラウド契約を整理します。クラウド構成図、委託先台帳、データロケーション、法制度調査メモです。
苦情・相談窓口受付先、対応時間、担当部署、本人確認、エスカレーションを記載します。問い合わせ運用規程、CS手順、法務連携手順です。
事故公表に関する事項過去10年間、または指定期間中に生じた対象事故の時期・内容の公表方針を示します。インシデント台帳、報告記録、再発防止策、公開ページです。

公表文書にセキュリティ上危険な詳細まで書く必要はありません。暗号アルゴリズム、システム構成、監視ルール、脆弱性管理の閾値、委託先の接続経路などは非公開管理が適する場合があります。一方で、抽象表現だけでは透明性が弱くなるため、体制、管理の概要、見直し方針、窓口、事故公表方針を読み取れる粒度で記載します。

Section 03

特定利用者情報の取扱方針整備に必要な実務設計

情報インベントリ、利用目的、安全管理、外国クラウド、窓口、事故対応を部門横断で設計します。

最初に整備すべきものは、対象サービスごとの情報インベントリです。ここでいうインベントリは、個人情報台帳にとどまらず、電気通信役務に関して取得される利用者情報を、通信の秘密、利用者識別情報、個人情報、個人関連情報、統計情報、匿名加工・仮名加工情報などの観点から分類した一覧です。

次の一覧は、情報取扱方針の各記載事項を実務で設計するときの主要作業を示しています。法務だけでは把握できない情報が多いため重要です。読者は、プロダクト、SRE、セキュリティ、CS、調達、内部監査まで確認先が広がる点を読み取ります。

01

取得情報と取得方法

サービス名、情報項目、取得方法、該当性、保存場所、閲覧・利用者、保存期間を確認します。

データマップログ基盤
02

利用目的と利用方法

サービス提供、安全・不正対策、品質改善、広告・マーケティング、法令・権利保護に分けて整理します。

目的整理通信の秘密
03

安全管理の方法

組織的、人的、物理的、技術的な安全管理措置を、公開できる概要と非公開管理する詳細に分けます。

アクセス制御監査ログ
04

外国保存・委託・クラウド

国名、第三者名、制度有無、サブプロセッサ、バックアップリージョン、サポートアクセスを確認します。

外国制度クラウド契約
05

苦情・相談窓口

受付チャネル、分類、本人確認、法務・プライバシー部門へのエスカレーション、回答記録を定めます。

CS連携記録保存
06

漏えい事故の公表

事故の時期・内容、公表方法、更新頻度、再発防止策、報告義務との接続を整理します。

事故台帳当局報告

利用目的は階層で整理します

利用目的は、抽象的に「サービス向上のため」と記載するだけでは弱くなり得ます。次の表は、目的を階層化して検討するための整理です。利用者が合理的に予測できる程度に具体化するために重要です。読者は、同じログ利用でも、サービス提供、安全対策、品質改善、広告、法令対応では検討すべき法的論点が異なる点を読み取ります。

階層記載例の方向性注意点
サービス提供目的アカウント管理、通信機能提供、メッセージ配送、本人確認、料金請求、問い合わせ対応です。サービスの本質的機能と結び付けます。
安全・不正対策目的不正アクセス検知、スパム対策、利用規約違反調査、障害検知、セキュリティログ分析です。通信の秘密に関わる場合は、同意、正当業務行為、必要性・相当性を慎重に検討します。
品質改善目的機能改善、障害解析、UI改善、負荷分散、利用状況分析です。個別利用者の追跡が必要か、集計化できるかを検討します。
広告・マーケティング目的関心に応じた情報提供、広告配信、効果測定です。個人情報保護法、外部送信規律、通信の秘密、同意設計との整合を確認します。
法令・権利保護目的法令に基づく対応、権利侵害対応、紛争対応、監査対応です。捜査関係事項照会、令状、通信の秘密との関係を手順化します。

外国保存・外国委託・外国クラウドを分けて確認します

外国関係の確認は、取扱方針整備で実務負荷が高い領域です。次の表は、外国設備保存、外国第三者への委託、外国クラウド・SaaS利用を分けて示しています。委託該当性と保存役務利用該当性を混同しないために重要です。読者は、契約上のアクセス制限だけでなく、実際の管理者権限、サポートアクセス、障害対応、バックアップ、サブプロセッサまで確認する点を読み取ります。

類型方針整備上の確認事項
外国設備保存自社または委託先が外国データセンターに特定利用者情報を保存します。国名、制度有無、データ種別、保存目的、バックアップの含有を確認します。
外国第三者への委託外国所在のサポート会社、開発会社、モデレーション会社、分析会社に取扱いを委託します。委託先所在国、制度有無、委託内容、再委託、契約条項、監査を確認します。
外国クラウド・SaaS利用外国事業者のクラウド、ログ管理、CRM、CSツール、メール配信、CDNを利用します。データロケーション、第三者名、アクセス制御、サブプロセッサ、政府アクセス対応を確認します。

クラウド事業者が保存データを取り扱わない契約で、適切なアクセス制御がある場合、外国第三者への取扱いの委託とは整理されないことがあります。ただし、外国に所在する第三者が提供する保存目的の電気通信役務を利用して特定利用者情報を保存する場合には、別途公表事項となり得ます。

Section 04

特定利用者情報の取扱方針整備と内部規程・評価・統括管理者

公開方針を、届出規程、年次評価、経営監督、部門責任へ接続します。

情報取扱規程は、特定利用者情報の適正な取扱いを確保するために定め、総務大臣へ届け出る内部文書です。情報取扱方針が外部向けの透明性文書である一方、情報取扱規程は、実際に運用できる安全管理、委託先監督、評価、従事者監督などを定める管理文書です。

次の表は、情報取扱規程に含めるべき項目を実務内容と対応させています。公開方針と内部運用の齟齬を防ぐために重要です。読者は、公開文書では概要を示し、内部規程では承認権限、監査証跡、例外管理まで定める構造を読み取ります。

規程項目実務上の内容
目的・適用範囲対象サービス、対象情報、対象部門、グループ会社・委託先の扱いを定めます。
用語定義特定利用者情報、通信の秘密、契約・登録利用者、委託、再委託、外国保存を定義します。
管理体制統括管理者、法務、CISO、プライバシー部門、事業責任者、内部監査の役割を定めます。
安全管理措置組織的・人的・物理的・技術的安全管理、アクセス制御、ログ監査を定めます。
委託先監督選定基準、契約条項、再委託承認、監査、事故報告、終了時返却・削除を定めます。
外国制度把握保存国・委託先所在国の調査方法、更新頻度、リスク評価、代替措置を定めます。
情報取扱方針作成責任者、レビュー、承認、公開、変更管理、改定履歴を定めます。
評価評価項目、方法、頻度、評価者、是正措置、経営報告を定めます。
インシデント対応発見、初動、保全、原因調査、報告、利用者対応、公表、再発防止を定めます。

毎事業年度の評価を形だけにしない

指定電気通信事業者は、毎事業年度、特定利用者情報の取扱状況について評価を実施し、評価結果に基づき必要と認めるときは、情報取扱規程または情報取扱方針を変更します。評価では、社会情勢、技術動向、外国制度、サイバーセキュリティ脅威、遵守状況、漏えいに関する事項を確認します。

次の時系列は、年次評価を証跡化するための流れを示しています。年1回のチェックだけで終わらせないために重要です。読者は、資料収集、評価、是正、経営報告、方針改定、公表の順番を読み取ります。

Step 01

資料を更新します

データマップ、新規サービスレビュー、委託先変更、クラウドリージョン、サブプロセッサ、外国制度調査、アクセス権限レビューを更新します。

Step 02

取扱状況を評価します

情報取扱規程・情報取扱方針の遵守状況、事故・ヒヤリハット・苦情相談、教育研修、脆弱性診断、監査ログを確認します。

Step 03

是正と改訂要否を判断します

ギャップがある場合は、是正計画、責任者、期限を定め、情報取扱規程または情報取扱方針の改訂要否を判断します。

Step 04

経営へ報告し公表します

統括管理者、経営会議、取締役会、リスク委員会へ報告し、方針を変更した場合は遅滞なく公表します。

特定利用者情報統括管理者を中心に責任を分けます

指定電気通信事業者は、情報取扱規程に掲げる事項を統括管理させるため、指定の日から3月以内に、事業運営上の重要な決定に参画する管理的地位にあり、利用者情報の取扱いに関する実務経験等を備える者から特定利用者情報統括管理者を選任します。選任・解任時には総務大臣への届出が求められます。

次の表は、部門ごとの責任分担を示しています。法務部だけが公開文書を抱え込む状態を避けるために重要です。読者は、実行責任、最終責任、協議先、報告先を分けることで、データガバナンスとして運用できる点を読み取ります。

領域実行責任最終責任協議先報告先
法令該当性判断法務、プライバシー担当GC/CLO、統括管理者外部弁護士、事業部経営会議
データマッピングプロダクト、IT、データ基盤統括管理者、CISO法務、内部監査リスク委員会
方針文案作成法務、プライバシー担当統括管理者CS、広報、セキュリティ経営層
安全管理措置CISO、情報システム統括管理者法務、内部監査取締役会等
委託先管理調達、委託管理部門統括管理者法務、セキュリティ内部監査
年次評価内部監査、法務、CISO統括管理者事業部、外部専門家取締役会等
インシデント対応CSIRT、法務、広報統括管理者、経営責任者外部弁護士、フォレンジック専門家当局、取締役会
Section 05

特定利用者情報の取扱方針整備プロジェクトの進め方

適用対象性、データマップ、ギャップ分析、文案レビュー、承認・公表までを段階化します。

取扱方針整備は、対象性判定から始め、実際のデータフローと文書・運用のギャップを確認し、文案を部門横断でレビューし、承認・公表・証跡化まで進めます。公開後は、改定履歴、旧版、変更差分、承認資料を保存し、将来の当局対応、内部監査、紛争対応に備えます。

次の判断の流れは、プロジェクトの進行順を示しています。抜け漏れや先戻りを防ぐために重要です。読者は、利用者数や指定有無の確認だけでなく、裏側のログ、委託先、外国クラウド、レビュー、証跡保存まで順番に進める点を読み取ります。

取扱方針整備の進行順

適用対象性を判定します

サービス一覧、電気通信役務該当性、利用者数、無料・有料区分、指定・通知・報告履歴を確認します。

データマップを作成します

プロダクト仕様だけでなく、ログ基盤、分析基盤、クラウド、SaaS、委託先、バックアップ、監視ツールまで確認します。

ギャップを分析します

法定記載事項、現状文書、現状運用を照合し、取得情報、利用目的、安全管理、外国保存、委託先、窓口、事故公表、更新管理の不足を確認します。

文案をレビューします

法務を中心に、セキュリティ、プロダクト、クラウド管理、委託管理、CS、広報、内部監査が確認します。

承認・公表・証跡化します

統括管理者、CISO、法務責任者、事業責任者、必要に応じて経営会議・リスク委員会の承認を得て、公表日時と改定履歴を保存します。

情報取扱方針の構成例

次の一覧は、実務で使いやすい情報取扱方針の章立てを示しています。法定事項へ利用者が到達しやすくするために重要です。読者は、対象役務、取得情報、利用目的、安全管理、外国関係、窓口、事故公表、変更管理を見出しレベルで分ける構造を読み取ります。

1

目的

電気通信事業法に基づき、指定電気通信役務に関して取得する特定利用者情報の取扱いを説明します。

導入
2

対象役務

対象となる指定電気通信役務やサービスを列挙し、利用者が自分に関係する範囲を確認できるようにします。

対象
3

取得情報と取得方法

利用者登録情報、アカウントID、通信・利用ログ、問い合わせ情報、不正利用防止情報などを整理します。

情報項目
4

利用目的と利用方法

サービス提供、本人確認、認証、不正利用防止、障害対応、品質改善、問い合わせ対応、法令対応を記載します。

目的
5

安全管理

アクセス権限管理、従業者教育、ログ監査、暗号化、委託先管理、インシデント対応体制などの概要を記載します。

管理
6

外国保存・委託・クラウド

国名、第三者サービス、制度有無、合理的な調査方針、変更時の更新方針を整理します。

外国
7

苦情・相談窓口

問い合わせ窓口、受付方法、担当部署、本人確認、エスカレーションを記載します。

窓口
8

事故公表

報告対象となる事故が発生した場合の時期および内容の公表方法を記載します。

事故
9

変更

法令、サービス内容、取扱状況、評価結果等に応じた変更と、遅滞ない公表の方針を記載します。

更新

ギャップ分析で確認する項目

次の表は、現状文書・現状運用と法定事項を照合するときの確認項目を示しています。文案作成前に運用の不足を見つけるために重要です。読者は、文言修正だけでなく、台帳、契約、公開手順、事故台帳の整備が必要になり得る点を読み取ります。

確認項目ギャップ例是正策
取得情報ログ情報が方針に記載されていません。情報項目を再分類し、記載を追加します。
利用目的不正検知・品質改善・広告分析の目的が曖昧です。目的を具体化し、通信の秘密・同意要否を再検討します。
安全管理公開文書が抽象的すぎます。措置概要を追加し、内部規程と整合させます。
外国保存クラウドリージョンが不明です。クラウド契約・管理画面・サブプロセッサを確認します。
委託先再委託先を把握していません。委託先台帳を更新し、契約を改定します。
窓口一般問い合わせに埋没しています。専用分類とエスカレーションルートを整備します。
事故公表過去事故の公表方針がありません。インシデント台帳と公表ページを整備します。
更新管理改定履歴がありません。バージョン管理、承認記録、公開手順を整備します。
Section 06

特定利用者情報の取扱方針整備で企業法務が注意する典型論点

プライバシーポリシー統合、通信の秘密、委託先、外国制度、M&A、行政・民事リスクを整理します。

プライバシーポリシーに統合する場合

既存のプライバシーポリシーに統合する方法は選択肢になります。ただし、特定利用者情報に係る内容が利用者にとって容易に確認できることが前提です。目次、アンカーリンク、専用見出し、対象サービス一覧を設け、対象サービス、取得情報、外国保存・委託、事故公表方針を明確にします。

個人情報ではないから対象外とは整理しません

特定利用者情報は個人に関する情報に限られません。法人その他の団体に関する情報も含まれ得ます。Cookie IDやIPアドレス等も、他の情報と容易に照合して契約・登録利用者を識別できる場合には対象となり得ます。そのため、個人情報保護法上の個人データ台帳だけでなく、アカウントID、ログ、通信履歴、端末識別子、サポート記録、監視ログ、認証ログを含めた利用者情報台帳が重要です。

通信の秘密に該当する情報

通信の秘密に該当する情報は、電気通信事業法上きわめて強い保護を受けます。情報取扱方針に記載しただけで適法性が当然に確保されるわけではありません。不正検知、広告、レコメンド、AI分析、品質改善、モデレーション、問い合わせ対応で通信内容やメタデータを利用する場合は、法令上許される範囲、利用者同意、正当業務行為、必要性・相当性を慎重に検討します。

委託先・再委託先の見える化

委託先監督では、再委託先、サブプロセッサ、クラウド事業者、SaaS、カスタマーサポート、開発委託、データ分析、広告配信、障害監視、メール配信、本人確認、決済関連サービスを含めて棚卸しします。契約には、取扱範囲の限定、秘密保持、安全管理、再委託制限、外国保存通知、事故時報告、監査・報告権、返却・削除、当局・利用者対応への協力を入れます。

外国制度調査は更新型で管理します

外国制度の有無は、合理的に調査可能な範囲で確認します。日本または外国の行政機関等が公表している情報を確認する方法などが考えられます。ただし、一度調べて終わりでは不十分です。政府アクセス制度、データローカライゼーション、捜査協力義務、安全保障法制、サイバーセキュリティ法制、越境移転規制は変化するため、年次評価と委託先・クラウド変更時の再確認に組み込みます。

M&A、事業譲渡、グループ再編

M&Aや事業譲渡では、対象会社が指定電気通信事業者であるか、対象サービスが基準を満たすか、特定利用者情報の取扱方針が実態と一致しているかを確認します。利用者数算定、指定・届出、方針公表、統括管理者選任、外国委託・クラウド、通信の秘密、過去事故、PMI後のグループIDや共通データ基盤への統合が重要な確認点です。

次の一覧は、行政対応・紛争対応で問題化しやすいリスクを示しています。方針の未整備が形式問題にとどまらないことを確認するために重要です。読者は、公開文書と実態の乖離が、行政処分、利用者対応、消費者対応、レピュテーションの各面で影響する点を読み取ります。

変更命令・遵守命令

特定利用者情報の適正な取扱いを確保するため、情報取扱規程の変更命令や遵守命令の対象となる可能性があります。

業務改善命令

情報取扱方針の未公表、記載事項不足、更新遅延、年次評価未実施、評価結果の未反映は、業務改善命令やレピュテーションリスクにつながり得ます。

民事・消費者対応

方針と実態が異なる場合、契約上の説明、消費者保護、個人情報保護、プライバシー侵害、不法行為、苦情・炎上につながる可能性があります。

危機管理広報

外国委託、通信の秘密、広告・分析利用、漏えい事故の公表遅延は社会的批判を受けやすく、CSIRT、広報、法務、外部専門家の初動が重要です。

次の表は、取扱方針整備に関与する専門職・社内部門の役割を示しています。誰が何を担うかを明確にするために重要です。読者は、この作業が法務文書作成にとどまらず、データガバナンス、セキュリティ、経営管理、利用者保護を統合するプロジェクトである点を読み取ります。

専門職・部門主な役割
弁護士・企業内弁護士電気通信事業法、個人情報保護法、通信の秘密、委託契約、当局対応、事故対応の法的判断を支援します。
法務担当方針文案、規程整備、契約条項、社内承認、改定管理を担います。
個人情報保護・プライバシー担当データマップ、利用目的、本人対応、PIA・DPIA、個人情報保護法との整合を担います。
CISO・情報セキュリティ担当安全管理措置、アクセス制御、ログ監査、脆弱性管理、インシデント対応を担います。
IT・データ基盤担当データ所在、ログ基盤、クラウド、バックアップ、削除、権限管理を確認します。
調達・委託先管理委託先選定、契約、再委託、SaaS・クラウド管理を担います。
内部監査担当年次評価、統制証跡、改善状況確認、取締役会報告を担います。
監査役・社外取締役経営監督、リスク管理体制、重大事故時の監督を担います。
デジタルフォレンジック専門家漏えい・不正アクセス時の証拠保全、原因調査、影響範囲特定を支援します。
広報・CS利用者説明、事故公表、問い合わせ対応、炎上予防を担います。
Section 07

特定利用者情報の取扱方針整備の実務チェックリスト

法令、データ管理、委託・クラウド、評価、事故対応を監査可能な形で確認します。

次の確認項目は、企業法務、内部監査、監査役、社外取締役が取扱方針整備の完成度を見るための実務チェックリストです。公開文書だけでなく、規程、台帳、証跡、事故対応まで確認するために重要です。読者は、各項目について「文書に書かれているか」と「実際に運用されているか」の両方を確認します。

Check 01

適用対象性

  • 電気通信役務該当性を検討します。
  • 報告対象役務区分、無料・有料区分、前年度の1か月当たりアクティブ利用者数平均を確認します。
  • 指定の有無、通知、報告履歴、今後の成長やM&Aによる指定可能性を評価します。
Check 02

対象情報

  • 通信の秘密に該当する情報を分類します。
  • 契約・登録利用者を識別できる情報を分類します。
  • Cookie ID、IPアドレス、端末ID、ログ情報、法人その他団体の利用者情報も確認します。
Check 03

情報取扱方針

  • 対象サービス、取得情報、取得方法、利用目的、利用方法を記載します。
  • 安全管理、外国保存・委託・クラウド、苦情・相談窓口、事故公表方針を記載します。
  • 変更時の公表方法と改定履歴を整備します。
Check 04

内部規程・統制

  • 情報取扱規程を整備し、必要な届出を行います。
  • 安全管理、委託先監督、評価、従事者監督を規程化します。
  • 委託先契約、クラウド・SaaS・サブプロセッサ台帳、外国制度調査の手順を整備します。
Check 05

評価・事故対応

  • 毎事業年度の評価項目を定めます。
  • 評価結果を情報取扱規程・情報取扱方針へ反映する手順を定めます。
  • 漏えい・おそれ事案、総務大臣、個人情報保護委員会、利用者、関係先への報告・通知・公表の関係を整理します。

内部監査では、指定対象サービスの範囲、指定の日から3月以内の公表・届出、情報取扱方針と情報取扱規程の整合、プライバシーポリシー・Cookieポリシー・外部送信規律対応ページとの整合、方針変更時の遅滞ない公表を確認します。

データ管理では、特定利用者情報の台帳、通信の秘密の識別、Cookie ID・IPアドレス・端末ID・ログ情報の該当性、保存場所、保存期間、削除方法、最小権限化されたアクセス権限と定期レビューを確認します。

委託・クラウドでは、委託先・再委託先・サブプロセッサの台帳、委託契約における特定利用者情報の取扱条項、外国保存・外国委託・外国クラウドの国名、外国制度の合理的調査、委託先事故時の報告期限と連絡ルートを確認します。

評価・改善では、毎事業年度の評価、社会情勢・技術動向・外国制度・サイバーセキュリティ脅威の反映、評価結果に基づく是正計画、是正措置の完了確認、経営層または取締役会への報告を確認します。

事故対応では、インシデント分類に特定利用者情報・通信の秘密が含まれているか、総務大臣への報告要否判断手順、個人情報保護委員会への報告要否との関係、証拠保全、ログ保全、フォレンジック調査手順、事故公表ページまたは公表方針を確認します。

Section 08

特定利用者情報の取扱方針整備に関するよくある質問

個別の法的判断ではなく、制度理解と社内検討の出発点として整理します。

情報取扱方針はプライバシーポリシーと別に作るべきですか。

一般的には、別ページにする方法は利用者に分かりやすいとされています。既存プライバシーポリシーに統合する方法もあり得ます。ただし、対象サービス、取得情報、外国保存・委託、事故公表方針などが容易に確認できるかによって評価が変わります。具体的な構成は、サービス内容や既存文書を整理したうえで弁護士等の専門家へ相談する必要があります。

個人情報保護法対応をしていれば足りますか。

一般的には、個人情報保護法対応だけでは不足する場合があるとされています。特定利用者情報は個人情報に限られず、通信の秘密や契約・登録利用者を識別できるログ等も含み得ます。対象情報や役務の性質によって結論が変わります。具体的には、データマップとサービス仕様を整理したうえで弁護士等の専門家へ相談する必要があります。

外国クラウドのリージョンが変わる可能性がある場合はどう記載しますか。

一般的には、契約、設定、サブプロセッサ情報から合理的に把握できる国名を確認し、変動がある場合は利用可能性のある国、変更時の更新方針、クラウド事業者の名称、制度有無の調査方針を整理するとされています。ただし、契約条件、管理画面、サポートアクセス、バックアップ設計で結論が変わる可能性があります。具体的な記載は弁護士等の専門家へ相談する必要があります。

事故がない場合も事故公表に関する事項を書く必要がありますか。

一般的には、事故がない場合でも、事故が発生した場合の時期および内容の公表に関する事項をどう扱うかを定める必要があるとされています。過去事故の有無、公表ページ、更新頻度、重要事故発生時の公表方針は、指定期間や事故履歴によって整理が変わります。具体的な対応は弁護士等の専門家へ相談する必要があります。

年次評価は内部監査が行うべきですか、法務が行うべきですか。

一般的には、どちらか一方に限定するより、法務・プライバシー部門が法令該当性と方針整備を評価し、CISOが安全管理を評価し、内部監査が統制の運用状況を確認し、統括管理者が全体を承認する体制が有効とされています。ただし、会社規模、組織体制、独立性、リスク状況によって設計は変わります。具体的には専門家へ相談する必要があります。

方針を詳しく書きすぎるとセキュリティリスクになりませんか。

一般的には、詳細を書きすぎると攻撃者に有益な情報になる可能性があります。そのため、安全管理措置は概要を記載し、システム構成、監視ルール、脆弱性管理の閾値などは内部規程・監査資料で管理する方法が考えられます。ただし、透明性とセキュリティのバランスはサービス内容やリスクで変わります。具体的な線引きは弁護士等の専門家へ相談する必要があります。

Reference

参考資料

制度内容の確認に用いた公的資料・中立的資料です。

法令・公的資料

  • 電気通信事業法
  • 電気通信事業法施行規則
  • 日本法令外国語訳DB「電気通信事業法」
  • e-Gov法令検索「電気通信事業法」
  • e-Gov法令検索「電気通信事業法施行規則」

ガイドライン・解説資料

  • 個人情報保護委員会・総務省「電気通信事業における個人情報等の保護に関するガイドラインの解説」(令和7年6月1日版)

ご利用上の留意点

このページは、公開情報に基づく一般的な技術解説・法務解説です。個別案件に対する法律意見ではありません。実際の特定利用者情報の該当性、指定・届出・公表義務、通信の秘密、個人情報保護法、外国法制度、委託契約、事故報告の要否は、個別のサービス内容、データの流れ、利用者数、契約関係、技術構成、当局対応状況を踏まえて確認する必要があります。