コラム

#14 電気通信事業法改正から考えたこと 
若江雅子(読売新聞東京本社編集委員)

2022年5月13日

 電気通信事業法改正案の国会審議が始まった。柱の一つはインターネット利用者の情報保護である。だが、既に複数の報道[1]で指摘されているように、新経済連盟やACCJ(在日米国商工会議所)などの国内外の事業者団体や有力政治家の反対により、その内容は大きな後退を余儀なくされた。本稿では、この後退が意味するもの、そして、そこから浮き彫りになった課題は何かを考えてみたい。

 なお、今回の改正を巡っては、当初の想定より後退した論点(例えば通信機能を提供するクラウド事業者の事故報告義務の見送り)が多数あるが、本稿では利用者情報の「外部送信」に絞って検証する。なぜなら、専門性を有する官僚と有識者の熟議の結果が、合理性を欠く主張によってあっさり覆され、経済界と市民社会の力の非対称を分かりやすく浮き上がらせたこのケースは、今後のデジタル社会における政策形成のあり方を考える上で示唆を与えてくれると思うからである。

1.外部送信とは

 私たちはウェブサイトを閲覧したり、スマホのアプリを使ったりするたびに、外部の広告事業者やデータブローカーなどに対して、自分に関する様々な情報を渡している。どんなサイトを見たのか、何をいついくらで買ったのか。時には位置情報やスマホに入っている連絡先情報、自分で撮影した写真や動画まで、直接やりとりをしたつもりもなく、どこの誰かもよく分からない相手に送っているのである。

 仕組みの詳細は省くが、これは、ウェブサイトやアプリが、外部事業者の用意したプログラムを設置し、利用者のブラウザ等を外部事業者のサーバーにアクセスさせているために起きる現象だ。外部事業者はアクセスしてきた利用者のブラウザに振り出したCookieや、端末固有の広告IDに閲覧履歴などの各種情報を紐づけて収集している。

こうした情報がCookieや広告IDをキーとして大量に収集されれば、私たちの興味関心や生活水準、職業や家族構成などのほか、性格や心の状態なども推測でき、精緻な人格モデルを作成できるようになる。広告会社はこうした情報に基づいて、その人物にぴったりの広告を配信している。

 使われるのは広告配信のためばかりではない。2018年3月に発覚したケンブリッジアナリティカ問題では、こうして集められた大量のデータが米国大統領選などで世論誘導に悪用されていたことが判明している。2019年8月に明らかになったリクナビ問題でも、就職という人生を決定づける場面で、就活生に不利な形で閲覧履歴が使われていた。

2.日本における規制の現状

 ところで、日本では、こうした実態を理解している利用者は驚くほど少ない。野村総合研究所が20代以上の男女2000人に実施した調査[2]によると、外部送信の事実や、外部送信の結果、情報が取得されていることを知っていると回答したのは、「なんとなく知っている」を含めても、わずか3割にとどまる。

 これは、こうした情報をやりとりする際に、本人がそれを知らされたり、同意を求められたりすることがほとんどなかったことと無縁ではないだろう。日本の個人情報保護法は個人情報を「特定の個人を識別する情報」と定義し、端末やブラウザを識別するだけの端末等IDの情報を単体では個人情報として保護していない。このため、本人に知らせずこっそりやりとりすることがまかり通ってきたのである。

 世界的には、端末やブラウザを識別する情報を保護対象とすることが主流になりつつある。EUのGDPR(一般データ保護規則)はいうまでもなく、米国カリフォルニア州で施行されたCCPA(カリフォルニア州消費者保護法)でも端末等のIDは保護対象で、シンガポールやブラジルなどでも、GDPRと同様の保護制度が採用されている。

 日本でも2010年代に入って個人情報の定義を端末等のIDにも拡大することが検討されてきたが、今回同様、日本と米国の事業者団体の反対で頓挫してきた。この結果、日本は世界の流れから取り残され、少数派となってしまった。

 だが、たとえ個人情報保護法では保護できないにしても、通信サービス利用者の保護と、通信の信頼性確保という観点から電気通信事業法で対応することは可能である。通信サービスを利用するたびに自分の情報が外部に筒抜けになってしまっては、通信への信頼も失われてしまうからだ。

 実は総務省では2010年代の初頭からこの外部送信問題に取り組んできた経緯がある。2012年にはスマホのアプリ利用者の情報についてガイドライン[3]も作成している。だが、法律の根拠を持たないガイドラインでは、事業者はなかなか言うことを聞いてくれない。そこで、総務省では2018年から有識者会議「プラットフォームサービスに関する研究会(以下、プラットフォーム研)」を通じて議論を続け、今回、電気通信事業法の改正によって対処するという方針を打ち出したのだった[4]。この方針は2021年5月に設置された有識者会議「電気通信事業ガバナンス検討会(ガバナンス研)」に引き継がれ、他の課題とともに、法改正に向けた具体策が検討された。

 これに対して国内外の事業者団体などが反対のロビー活動を展開したことは前述の通りだ。ここでは、反対意見については新経済連盟の「電気通信事業法の改正の方向性に対する懸念について」[5]、そしてそれに対する反論はマイデータジャパンの「新経済連盟の『懸念』への懸念」[6]を紹介するにとどめるが、このうちの「個人情報保護法との二重規制になってしまう」との意見については、その批判は当たらないということを強調しておきたい。プラットフォーム研座長の宍戸常寿東大教授も、「電気通信事業法にはもともと『通信への信頼確保』と『利用者の保護』という法目的がある。個人情報保護法とは異なる目的で、同法と重複する情報を保護することにはなんの問題もない」と話している。そもそも、個人情報保護法制定時の国会の附帯決議[7]でも、情報通信や医療、金融など「国民から高いレベルでの個人情報の保護が求められている分野」については、個人情報保護法に加えて、個別分野の法律で対応することが求められていた。「個人情報保護法は個人情報を取り扱うすべての事業者が対象になるので『必要最小限度』の規律にとどめざるをえない。デジタル社会を構築する根幹分野を規制する電気通信事業法こそ、しっかりとした規制を行うのに適している」と、宍戸教授は解説している。

3.規律内容の変遷

 昨年9月にプラットフォーム研が示した規律の方向性は、プログラムを使って利用者情報を外部送信させるすべてのウェブサイトやアプリ事業者を対象に、原則として利用者の同意を義務付けるというものだった。

 ところが、総務省はその方針を後退させていく。今年1月にガバナンス研に示された報告書案[8]では、義務の対象事業者は「電気通信事業を営む者」に限定されていた。「電気通信事業を営む者」の定義は総務省の「電気通信事業参入マニュアル(追補版)」[9]を参照してほしいが、その範囲は狭い。例えば、企業のウェブサイトや、銀行や証券会社によるネットバンキング、一部のネット通販も、義務の対象にならない。

 規律の内容も「通知または公表、あるいは同意かオプトアウト」[10]に後退した。「通知または公表」とは、ウェブサイトのプライバシーポリシーなどで外部送信する旨を説明していれば済むことを意味する。だが、ウェブサイトにアクセスする際に、プライバシーポリシーから先に見る人がいるだろうか。ウェブサイトにアクセスした瞬間に自分の情報は外部に送信されてしまう。後でプライバシーポリシーに気づいても、あとの祭りというところだろう。

 この規律は、この後の条文化の段階で、さらに後退した。対象は、「電気通信事業を営む者」に加えて「利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者」という条件が加わった。つまり、今後、総務省令でさらに範囲が狭められる可能性がある。

4.後退が意味するもの

 結局、日本は、またしても世界から取り残されることになった。ただ、後退の痛手は、利用者のみが被るものではなく、むしろ日本の経済界にとって、より深いものになりはしないか。

 事業者が外部送信の問題になぜここまで固執するのか、筆者はずっと疑問に感じていた。なぜなら、外部送信によるトラッキングの手法は早晩、使えなくなる可能性が高いからである。海外の厳しい規制に揉まれてきたグーグルやアップルなどのグローバル企業は、自主的にブラウザやアプリマーケットの仕様を改善し、オンライン上でトラッキングができない仕組みを作ろうとしている。そうなれば、日本の事業者も今の手法は使えなくなるだろう。それでも、今回、規律の導入に反対した事業者たちは、グローバル企業が完全に道を閉ざすまでの残された何年か、ぎりぎりまで今の手法にしがみつくことを選択した、ということなのか。

 国立情報学研究所教授の佐藤一郎氏が総務省の検討会の中で、一連の事業者団体の動きを「自動車の排ガス規制」への対応に例えていたのが興味深い。米国で1970年に大気汚染防止のための法律(通称、マスキー法)が改正された当時、ホンダなど日本車メーカーがこれを機にクリーンで低燃費な技術の開発に成功し、日本車の黄金時代を築いたことはあまりに有名だ。一方で、当の米国では、GM、フォード、クライスラーのビッグ3は激しいロビー活動を展開し、規制を骨抜きにしたが、その後、彼らは日本の自動車メーカーに世界のトップの座を明け渡すことになった。

 佐藤氏の目には、欧米の厳しいプライバシー規制に対応して工夫を重ねてきたグローバルプラットフォーム事業者が当時の日本車メーカーに、そして今回、外部送信規律に反対してロビー活動に走った日本の事業者団体がかつての米国のビッグ3に、重なって見えたのだろう。

 今回に限らないが、事業者団体は規制強化に反対する場面でしばしば「イノベーションを阻害する」との主張を展開している。だが、中には「イノベーション」を「事業者のコスト負担を減らすこと」の意味で使っているとしか思えないケースもある。世界から何周も遅れたビジネス手法にしがみつこうとする中から、はたして本当のイノベーションは生まれるのだろうか。

5.政策形成プロセスの課題

 一連の経緯は、デジタル時代の政策形成プロセスにおける問題点も浮き上がらせることになった。

 今回のケースが教えてくれたのは、経済的権力は政治的権力を容易に動かし、その結果、官僚の専門性や中立性は簡単にねじ伏せられる可能性がある、ということだった。総務省は有識者を交えた長年にわたる熟議の末に打ち出した政策をあっけなく諦めた。その後、ほぼ同数の事業者団体と市民団体からヒアリングするという体裁は整えたが、反映されたのは事業者団体の意見だけだった。

 経済的権力と政治的権力が結合し、官僚団を無力化しているという批判は、2014年の内閣人事局設置に代表される公務員制度改革以降、しばしば聞かれるようになったが、デジタル時代にはさらにその傾向は進む恐れがある。今回の改正方針を議論した総務省の電気通信事業ガバナンス検討会で、委員の山本龍彦慶応大教授は以下のように指摘していた[11]。

 「デジタル社会では必然的に政府と民間IT企業の距離が近くなるので、『企業の声を聞きすぎる事』に特に注意を払う必要がある。企業は、消費者や利用者と異なって資金力が豊富で、自らの利益をより強く組織化することができ、有効なロビイングも展開できる」

 たしかに、デジタル領域は技術の進展が非常に早く、その政策の実現には、技術を熟知した民間IT企業との協力関係が必要になるだろう。だが、市民社会と経済界の間に圧倒的な力の差がある現状のまま様々なデジタル改革が進めば、下手をすれば市民不在のデジタル社会を生み出してしまうのではないか。

 今後、政府の「デジタル原則」にも採用された「アジャイル・ガバナンス」の考え方が本格導入されることになれば、政府が「企業の声を聞きすぎる事」の懸念はさらに鮮明になる可能性がある。

 経済産業省の有識者会議「Society5.0における新たなガバナンスモデル検討会」の報告書[12]で掲げるアジャイル・ガバナンス・モデルでは、「企業の声を聞きすぎる」どころか、企業に「ルール設計を委ねる」という考え方が提唱されている。報告書によると、政府の役割は「ルールの設計者からファシリテーターへ」、企業の役割は「ルールの遵守者から設計者へ」とそれぞれ変化が求められるとしている。この報告書には今後さまざまな論評が加えられていくことと思われるが、今回の文脈で強調しておきたいのは、これは人材と資金力が豊富な巨大な組織にこそ、有利に働くモデルではないか、という点である。

 報告書では、「不確実性の増大する社会においては、事前に正しいルールや責任の所在を定めておくことが困難であるため、失敗を許容しつつ、社会全体で継続的に学習し、ガバナンスの仕組みを迅速にアップデートし続ける」ことが求められるとし、さらに「常に外部環境やリスクの変化を分析し、必要に応じてゴールも見直すというサイクル」になるとも書かれている。このような複雑で予測可能性の低いサイクルに継続的に対応していくことは、資金力と人的リソースの豊富な組織でなければ難しいだろう。同モデルは、マルチステークホルダーとして政府、企業に加えて「コミュニティ・個人」の存在も挙げているが、現在の市民社会のリソースを考えれば、名前を連ねただけで終わりということになりかねない。

 市民・利用者と事業者を比べて後者が有利だというだけではない。国内企業とGAFAに代表されるグローバルプラットフォーム事業者と比較しても、やはり後者が圧倒的に有利に働くのではないか。

 デジタル社会の政策形成における企業と政府の連携の必要性を否定するつもりはない。ただ、並行して、公平で透明なプロセス確保のための制度を整備することが不可欠だろう。筆者は、その鍵は市民社会の強靱化とロビー活動の透明化にあると考えている。詳細は拙稿「デジタル日本 その政策形成における課題」(「世界」6月号)を参照していただきたいが、ここではロビー活動の透明化について触れたい。

 欧米では巨大プラットフォーム事業者への規制強化の流れを背景に、彼らによるロビー活動が激しさを増しているとされる[13]。米国では2021年にGAFAM(GAFA+Microsoft)がロビー活動に投じた費用は計約6560万ドル(約75億円)とされ、欧州でも市民団体がまとめた報告書によれば、2020年には5社合計で約2280万ユーロ(約30億円)にのぼるという。

 もっとも、欧米でこうした実態が明らかになるのは、米国にはロビー開示法、欧州にはEU透明性登録簿のようにロビー活動が一定程度、外部からチェックできる仕組みが導入されているからだ。ロビー活動の透明性と公平性を確保するための制度が全くない日本では、たとえどのような活動が展開されていても知る手立てがない。

 OECDが昨年公表した資料によると、加盟国と加盟を検討中の41か国のうち23か国が、ロビー活動に関するなんらかの規制を導入しているという。OECDでは2010年に「ロビー活動における透明性と信頼性原則に関する勧告」を出しており、その後、多くの加盟国がルール整備を進めてきたという。各国が整備を急ぐ背景には、急速に進むデジタル化がある。デジタル時代を迎え、社会のルールが大きく作り直されようとしている中で、「経済力をもつものに有利に働く」というロビー活動の負の側面が拡大していると考えられているのである。またしても日本のみ、世界の流れから取り残されるーーという事態は、今度こそ避けなければならないだろう。

 Society5.0の成否は、様々な場面で想定される価値と価値との衝突を、いかに調整していくかが大きな鍵になることは言うまでもない。効率性や経済合理性を追求する事業者と、プライバシーや人権の保護を求める市民との対立、そして内外の事業者の間での衝突も当然、予想される。その時、政治や行政はどちらを向くのか。それをチェックしていくためにも、まずは政策形成プロセスの透明性と公正性の確保が急がれるのではないか。


[1] 読売新聞「ネットの利用情報、総務省の法改正にIT企業が「懸念」表明…突然「延期」の舞台裏」https://www.yomiuri.co.jp/science/20220107-OYT1T50065/

朝日新聞「ネット利用者の情報保護案、当初より対象絞り込み 経済界反発で」https://www.asahi.com/articles/ASQ2L659HQ2LULFA00Y.html

日経新聞「SNSデータ保護規制、骨抜き懸念 総務省案に経済界反発」https://www.nikkei.com/article/DGXZQOUA1426X0U2A110C2000000/

[2] プライバシーポリシー等のベストプラクティス及び通知同意取得方法に関するユーザー調査結果

https://www.soumu.go.jp/main_content/000811620.pdf

「Webサイトを閲覧する際、閲覧サイト以外にもアクセスを行っていることを知っているか」との質問に「よく知っている」「なんとなく知っている」が31.1%、「閲覧先以外へのアクセスによって、情報が取得されていることを知っているか」の質問には29.1%。

[3] スマートフォン・プライバシー・イニシアティブ

https://www.soumu.go.jp/main_content/000358525.pdf

[4] プラットフォームサービスに関する研究会中間とりまとめ(2021年9月)https://www.soumu.go.jp/main_content/000769270.pdf

[5] https://jane.or.jp/proposal/pressrelease/15987.html

[6] https://mydatajapan.org/documents/concerns_about_concerns.html

[7] 第156回国会(常会)議案情報https://www.sangiin.go.jp/japanese/joho1/kousei/gian/156/pdf/k031560711560.pdf

[8] https://www.soumu.go.jp/main_content/000799171.pdf

[9] https://www.soumu.go.jp/main_content/000477428.pdf

[10] 国会に提出された法案では「通知または当該利用者が容易に知りうる状態」に置かなければならない、となった。

[11] 電気通信事業ガバナンス検討会(第16回)

https://www.soumu.go.jp/main_content/000794387.pdf

[12] 「アジャイル・ガバナンスの概要と現状」

https://www.meti.go.jp/press/2021/03/20220303003/20220303003-1.pdf

[13] 内田聖子「ロビイストから民主主義を取り戻す」(世界2022年4月号)

一覧に戻る