電子ネットワーク運営における「個人情報保護に関するガイドライン」
(解説付き暫定版)

平成9年12月3日
電子ネットワーク協議会

ガイドラインの目的
1.(目的)

 本ガイドラインの目的は、国内の電子ネットワーク事業者等に対して、その事業理念や事業規模あるいはその事業形態にかかわらず、電子ネットワークの利用者の利益保護の観点から個人情報の適正な管理・保護に関する共通の方針を提示することにより、電子ネットワークという新しいメディアの健全な振興、発展を共にめざすことにある。
 従って、各電子ネットワーク事業者等におかれては、本ガイドラインを、自己の利益のみを優先することなく、電子ネットワーク利用者の個人情報保護に配慮しながら、電子ネットワークに係る事業を行う際の、指針として活用していただきたい。

【解説】

  1. 本ガイドラインは、電子ネットワーク協議会における「電子ネットワーク運営における個人情報保護に関するガイドライン」(平成6年2月公開、以下、「旧ガイドライン」という。)を改訂したものである。
     旧ガイドラインの公開時点における電子ネットワークは、パソコン通信を中心としたクローズなコンピュータネットワークであったが、現在では、インターネットの爆発的な拡大に代表されるようなオープンなコンピュータネットワークへと発展している。それに伴って個人情報の保護への関心が高まり、旧ガイドライン公開以降に、海外および国内において次のような個人情報の保護に関する指針が作成・公示されている。
    • 平成7年10月、EU「個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(以下、「EU指令」という。)
    • 平成9年3月、通商産業省告示第98号「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(以下、「通商産業省告示第98号ガイドライン」という。)
  2. このような環境変化や国内外の指針を踏まえて改訂した本ガイドラインは、電子ネットワークに係る事業者(本文中では、電子ネットワーク事業者等)における個人情報の適正な管理・保護を行うための指針として、または各事業者における運営ルール作成、または見直す際のご参考として、活用していただきたい。

定義
2.(本ガイドラインにおける用語の意味)
  • 電子ネットワーク運営
     電子ネットワーク運営とは、広く会員を募ることを前提とし、インターネットを構成する個々のネットワーク、及び大規模商用パソコンネットワークから個人運営BBS等にいたる、パソコン等からなる情報システムにおける会員管理や課金管理等のネットワーク運営、サービス提供等を営むことをいう。

  • 個人情報
     電子ネットワーク運営における個人情報とは、直接その情報により、または、それらを組み合わせることによって、当該個人を識別できるものをいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。
     個人情報を大別し、以下に例示する。
    • 会員情報
       主に、入会時に収集した情報であり、電子ネットワーク運営者または主催者が会員管理を行うため及び、サービス向上のために収集、蓄積される情報である。
      主要情報:アドレスまたはID番号、パスワード、氏名、住所、性別、年齢、生年月日、画像、音声情報、ニックネームまたはハンドルネーム、電話番号、職業、使用機種等
    • アカウント情報
       会員の利用料金支払い手段の情報である。
       主要情報:カード会社名、クレジット番号、銀行名、銀行口座番号、口座名義人名等
    • 利用料金情報
       上記会員情報、アカウント情報と組み合わせ請求や決済実績に関する情報である。
       主要情報:利用料金、利用料金明細、請求料金、入金情報等
    • 通信記録
       サービス利用に伴う使用時間、通信量等を記録した情報である。
       主要情報:発信・受信場所、ログイン/ログアウト時間、サービス別利用時間等
    • マーケティング情報
       サービス利用行為やアンケート等により収集されるマーケティングへの利用を目的とする情報である。
       主要情報:趣味・嗜好、興味ある分野、入会している電子会議室、訪れたウェブサイト等

【解説】

  1. 旧ガイドラインにおいても、電子ネットワーク運営・個人情報の定義はされていたが、今回の改訂時点(1997.12)における電子ネットワーク環境へ対応した内容に各々の定義を見直した。
  2. 本ガイドラインでは、電子ネットワークをパソコン通信やインターネットであるとして、そのような電子ネットワークの会員管理や課金管理等のネットワーク運営、サービス提供等を営むことを電子ネットワーク運営とした。その運営を営む者としては、主に会員制のインターネット接続サービス提供事業者、パソコン通信事業者、BBS運営者等を想定している。
  3. 個人情報については、会員情報に今後の技術進展を考慮して“画像、音声情報”を加えた。また、インターネットにおける今後の商取引環境の整備が進み、それに伴って商取引の増加が考えられるため、“マーケティング情報”を新たに個人情報として扱うこととした。

参考:通商産業省告示第98号ガイドライン第2条、EU指令第2条、OECDガイドライン1.、旧ガイドライン(定義)

ガイドラインの適用範囲
3.(対象となる者)

 本ガイドラインは、電子ネットワークにおいて個人情報を取り扱う者を対象とする。以下にその対象となる者を例示する。

  • 電子ネットワーク運営者
  • 電子ネットワーク運営者に電子ネットワークの運営を委託している企業、団体等
  • 電子モール、電子メールサーバー、電子掲示板、電子会議室等を主催しサービスを提供する者
  • インターネットにウェブサイト等を立ち上げ顧客情報等を取り扱う者。

【解説】

  1. 本ガイドラインが対象としている者は、法人・個人を問わず、主として電子ネットワークにおいて会員・顧客情報を扱う者を想定している。
  2. 電子ネットワーク運営者に電子ネットワークの運営を委託している企業、団体等とは、パソコン通信網等に自社のデータベースやネットワークを接続して、情報提供サービスを行っている企業や団体を意味する。
  3. インターネットにウェブサイト等を立ち上げている者でも、自分のホームページを公開しているだけというような第3者の個人情報を取り扱わない者は対象としていない。ただし、法人・個人を問わず、ウェブサイトで販売活動等を行い顧客情報を取り扱う者は、本ガイドラインを参考にしていただきたい。

参考:通商産業省告示第98号ガイドライン第3条、旧ガイドライン(対象)

ガイドライン本文

4.(個人情報の収集)

本ガイドラインの対象となる者がサービスを提供する際に行う個人情報の収集は、収集目的を明確にし、その目的に必要な限度内で収集するものとする。以下に、主な収集事例として、会員情報を収集する場合を例示する。

  • 会員情報の収集方法
     会員情報は、個人会員については本人もしくは本人より依頼を受けた代理人から収集し、法人契約に基づく会員については、本人もしくはその代理者(予め届けられた連絡窓口)から収集する。

【解説】

  1. OECD8原則中の「目的明確化の原則、利用制限の原則」、通商産業省告示第98号ガイドライン第5条・第8条、EU指令第6条1.(b)(c)に対応したものである。本項目は旧ガイドラインとほぼ同じであるが、今回の改訂では収集手段を明確にするため、旧ガイドラインから収集手段を抜き出し、本ガイドライン5に別途記述した。
  2. 間接的な収集については、本ガイドラインでは触れられていないが、適宜検討を行い必要に応じて本ガイドラインを見直していくものとする。

参考:OECDガイドライン7・9、EU指令第6条1.(b)(c)、通商産業省告示第98号ガイドライン第5条・第8条、旧ガイドライン1.

5.(個人情報の収集手段)
 個人情報の収集は、適法かつ公正な手段により、本人の同意を得た上で行うものとする。

【解説】

  1. 本項目において、当然ではあるが、個人情報を収集する際には本人の同意を得た上で行うことを明確にした。
  2. 通常、会員登録等を行う際に本人の同意が得られたことを明示する行為としては、書面による申込みの署名押印等、オンライン登録での本人が自己の情報を自分で送信する行為等がある。
  3. しかしながら、現在インターネットにおいては、いわゆる「クッキー」と言われるシステムにより、同意を得ずにウェブサイトへのアクセス履歴のような利用者の個人情報の取得も可能となっている。クッキーを使ったシステムでは、収集目的、収集される情報の内容は、収集される側には不明であり、そもそもクッキーが個人情報等を収集することができることさえも、一般的にはよく知られていない。クッキーに関しては、ブラウザーの警告により受け付けないようにすることが可能ではあるが、クッキーを受け付ければ“同意を得ずにアクセス履歴の取得が可能”というクッキーの性質が、個人情報の保護の観点にそぐわない一面を持っていることを十分考慮する必要がある。クッキーをホームページ等で使用する際には、例えば“この後のページにはクッキーにより、XXの情報を○○のため△△の期間、収集いたします。”等のようなメッセージを利用者に知らせ、利用の同意を得るような配慮をすることが望ましいと考える。

参考: EU指令第6条1.(b)(c)、通商産業省告示第98号ガイドライン第6条、旧ガイドライン1.

6.(特定の機微な個人情報の収集の禁止)
 次に掲げる種類の内容を含む個人情報については、これを収集し、利用しまたは提供してはならない。ただし、当該情報の収集、利用または提供について、本人の明確な同意がある場合、法令に特段の規定がある場合及び司法手続上必要不可欠である場合については、この限りでない。
  • 人種及び民族
  • 門地及び本籍地
  • 信教(宗教、思想及び信条)、政治的見解及び労働組合への加盟
  • 保健医療及び性生活

【解説】

  1. EU指令および通商産業省告示第98号ガイドラインを踏まえて、本ガイドラインでは、新たに設定した。
  2. 本項目に記した機微な個人情報は収集禁止であるが、本人が同意をして参加するパソコン通信の電子会議室等を禁止するものではない。電子会議室等へ参加を申し込む際に、参加者の明確な同意に基づいた必要最小限の情報を収集することは可能である。

参考:EU指令第8条、通商産業省告示第98号ガイドライン第7条

7.(個人情報の利用)
 個人情報の利用は、収集目的の達成に必要な範囲に限るものとする。ただし、当初の目的の範囲の利用を超えるものについて、改めて本人の同意がある場合はこの限りではない。また、本ガイドラインの対象となる者は、必要なシステム等の整備に努める。以下に、必要な範囲に限った利用についての例示をする。
  • 電子メール、電子掲示板、電子会議室等の利用について
     電子メールシステムでの個人情報の表示は、送付するために必要な最小限の送付情報とする。また、電子掲示板、電子会議室等へのシステム的に添付される個人情報は、発言の自由と責任の観点から、本人であることを確認するために必要最小限の情報にとどめる。

【解説】

  1. 旧ガイドラインでは、個人情報の利用と提供が同じ項目で記述されていたが、本ガイドラインでは、意味を明確にするため、それぞれを新たな項目として記述した。
  2. 個人情報の利用に関しては、当然のことであるが、本人の同意が必要である。個人情報の利用に関して、当初の目的と異なるまたはその範囲を超えて利用する際には、改めて本人の同意を得ることが必要である。
  3. 電子メールシステムでの個人情報の表示において、必要な最小限の送付情報とは、現在のメールシステムの機能的に必要な最小限の情報(例えば、メールアドレス等)と、発言の自由と責任の観点から必要な最小限の情報(例えば実名等)を示す。必要な最小限の情報の解釈については、基本的には本ガイドラインの理念を踏まえた各電子ネットワーク運営者の自由な経営的判断に任せるものであるが、その内容を会員規約等に示し、利用者(会員)の同意を得ることが必要である。

参考:EU指令第7条、通商産業省告示第98号ガイドライン第10条・第11条・第12条、旧ガイドライン2.

8.(個人情報の提供)
 個人情報の第三者への提供は、行わないものとする。ただし、以下に例示するような、本人の同意を得て行われる第三者への提供、および法的根拠に基づいて要求された場合については、この限りではない。
  • 金融機関からの問い合わせを受けた場合
     会員が取引している金融機関からの料金関係に関する問い合わせには、金額に関する照合のみ行い、それ以外の情報提供は行わない。
  • 会員規約等に基づいた場合
     個人情報の公開については、会員規約等に明示した場合を除き、公開する内容を示し、本人の了承を得るものとする。
  • 法的根拠に基づいて請求された場合
     法的根拠に基づいて請求された場合とは、原則的に捜査令状、差押令状等に基づいて捜査機関より情報提供を要求された場合であるが、人権及び個人情報の保護の必要性から、例外的に、捜査事項調査依頼書等での照会による提供に応じる場合もあり得る。
     また、公共の利益の保護に必要な場合には、法的根拠に基づいて提供に応じる場合もあり得る。

【解説】

  1. 旧ガイドライン2.個人情報の表示および提供に該当する項目である。
  2. 本ガイドラインにおいては、“2. 本ガイドラインにおける用語の意味”に記した個人情報(会員情報・利用料金情報・通信記録・マーケティング情報)を、通信の秘密として保護の対象となるものと考える。
  3. 会員規約等に基づいた場合とは、会員規約等に明記せずに、入会と共に自動的に会員情報等が公開・提供されるような場合が存在することを想定している。そのため、このような場合は、事前に会員規約等に明記し、同意を得ることが必要である。
  4. 法的根拠に基づいて請求された場合においては、憲法及び電気通信事業法の「(通信の)秘密の保護」を守らなければならない立場にある電気通信事業者は、より慎重な対応が必要である。刑事訴訟法等に基づき捜査機関が「捜査差押許可状」などによる情報提供を求めた場合でも、その手続きで請求された特定の範囲の情報提供だけであり、それ以上の範囲については開示する必要はないと思われる。
  5. 災害等の、あくまでも緊急的で、予測できないような事態が発生した場合に限り、公共の利益の保護に必要であるという事由で、情報を提供することもあり得る。その場合も、公共の利益の保護を理由として安易に情報を提供することがないように、臨時立法等に基づいて行うことが必要であると思われる。
  6. 旧ガイドライン2-4では、会員全体の権利利益保護の観点から、捜査機関の照会に応じることもあるとしたが、オープンな電子ネットワークにおいては、電子ネットワーク利用者全体、または利用していない人々も含めた人権及び個人情報の保護が必要であるため、本ガイドラインでは、“人権及び個人情報の保護”と改訂した。

参考: OECDガイドライン10、通商産業省告示第98号ガイドライン第13条・第14条・第15条、旧ガイドライン2.

9.(自己情報の開示)  個人の自己に関する情報開示請求があった場合には、当該請求者が本人であることを確認の上、原則として応じるものとする。また、電子ネットワーク運営者および主催者はその処置を迅速に行える体制を整備する。
  • 自己に関する情報開示請求
     個人の自己に関する情報開示請求があった場合には、会員情報の照合により本人であることを確認の上、提供する。請求者が家族等の本人が依頼した代理人の場合には、本人からの依頼による代理人と確認できた場合に限り提供に応じる。法人契約に基づく会員については、本人の了承を得た契約者(代表者)に対して、個人と同様の対処を行い、法人内の関係部門などの要求には対応しない。
  • 照合の方法
     照合の方法は、電子ネットワーク運営者または主催者側に登録してある会員情報と、請求者が申し出た会員本人でなければ知り得ない会員情報を照合することとする。
  • 開示可能な情報
     開示可能な情報は、先に大別した個人情報であるが、特に、パスワードについては、郵送あるいは、折り返しの電話等により、本人であることを確認できる形式によって返答することとする。
  • 対応窓口の設定
     電子ネットワーク運営者および主催者は、問い合わせに適切に対応するための対応窓口を設定し、広く会員に告知する。

【解説】

  1. 旧ガイドライン3.自己情報の開示とほぼ同じ。
  2. 自己に関する情報開示請求の法人会員については、“本人の了承を得た契約者(代表者)に対して”情報開示を行う。ここでいう“本人の了承を得た”とは、契約者、特に日常業務上で法人会員の窓口として事業者と応対する代表者が、その情報開示請求や日常の運用管理等を法人企業内利用者から任されている(了承されている)ということである。
  3. 対応窓口の設定の項目について、旧ガイドラインでは“問い合わせに即時に対応する”となっていたものを、問い合わせ内容によっては時間を要する場合もあり、“適切に対応する”とした。

参考: OECDガイドライン12・13、EU指令第12条、通商産業省告示第98号ガイドライン第20条、旧ガイドライン3.

10.(自己情報の利用の拒否)
 電子ネットワーク運営者および主催者が既に保有している個人情報について、本人から自己の情報についての利用または、第三者への提供を拒まれた場合は、電子ネットワーク運営者および主催者としての義務の履行に必要な場合を除き、これに応じるものとする。

【解説】

  1. 本ガイドラインにおいて、利用者(会員)の自己情報に対する利用の拒否権を明確にするため、新たに項目として設定した。
  2. 原則的には、個人情報の扱いを記述した会員規約等に同意がなされているはずであるが、それが包括的であったり、使用していて気が変わることも考えられる。そのため、その後の状況に応じて自己の情報の利用を拒否することが出来ようにする必要があると思われる。もしも、利用者(会員)に情報の利用を拒否され、その情報の利用拒否により事業者が利用者(会員)への根本的かつ基本的なサービス(接続、利用料金の徴収等)に支障をきたす場合は、退会等の処置をとることも必要となるため、その旨を会員規約等に予め明記する等の対処方法が必要であると考える。
  3. 電子ネットワーク運営者及び主催者の義務としての履行に必要な場合とは、例えば、クレジットカード会社からのカードの不正利用に関する連絡に対する対処やネットワークの保守・管理等をいう。

参考:EU指令第7条・第14条(b)、通商産業省告示第98号ガイドライン第21条

11.個人情報のセキュリティ管理
 電子ネットワーク事業者等の本ガイドラインの対象となる者は、情報の漏洩等を防ぐべく、適切かつ合理的レベルの安全保護措置を講ずるものとする。また、個人情報は、その利用目的に従い、正確かつ最新のものを保つように努める。
  • アカウント情報の訂正要求
     本人から会員情報またはアカウント情報についての訂正要求があった場合には、本人であることを確認の上、迅速に対応する。ただし、アカウント情報については、金融機関等からの申し出によって変更することが出来る。
  • 業務委託
     外部に一部の業務を委託している場合には、個人情報の漏洩を防ぐべく、委託契約等に、委託業務を通じて得られた情報は、一切外部に漏らさぬことを明記するなど、守秘義務の徹底を図る。
  • 解約者の個人情報管理
     解約者の個人情報をシステム内に保管する場合には、解約前と同様に、適正な安全保護処置を講じて管理するものとする。
  • 個人の管理責任
     パスワードなどサービス利用上、本人しか知り得ない個人情報については、それを使用する個人が管理する責任を負うことを会員規約などに明記し、その趣旨の徹底を図る。

【解説】

  1. 旧ガイドライン4.個人情報の適正管理と同じである。
  2. “なりすまし”により、第三者が自己の情報を電子ネットワーク上に公開しているような場合には、利用者の自己情報の訂正、変更権を保障する必要がある。本ガイドラインでは、電子ネットワーク事業者側からの管理という視点で、アカウント情報の訂正要求の例示にて訂正要求への対応として述べている。今後、利用者の自己情報の訂正、変更権を保障する趣旨の文章をガイドライン化することの検討を行っていくことが必要であると思われる。

参考:OECDガイドライン8・11、EU指令第17条1及び4、通商産業省告示第98号ガイドライン第1条・第17条・第19条、旧ガイドライン4.

実施
12.(個人情報の管理者)
 電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を理解し、実践する能力のある者を内部から選出し、個人情報の管理者として適正な業務を行わせるものとする。

【解説】

  1. OECDガイドラインおよび通商産業省告示第98号ガイドラインを踏まえて、本ガイドラインでは、新たに設定した。
  2. 個人情報の管理を厳格に行うため、個人情報の管理責任者を選出し、複数人の場合は管理責任が不明確にならぬように役割分担を定め、対外的にも責任を持てるような体制のもとで、日常業務における個人情報の取扱を社内規定等に定めることが必要と考える。

参考:OECDガイドライン14、通商産業省告示第98号ガイドライン第22条

13.(実施)
 電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を尊重し、内部体制の整備を図り、個人情報の保護に努めるものとする。本ガイドラインは、電子ネットワーク事業者間において周知徹底を図り、電子ネットワーク協議会において普及啓発活動およびフォローアップを推進するものとする。

【解説】

  1. 旧ガイドライン(実施)とほぼ同じである。改訂した本ガイドラインも旧ガイドライン同様、本協議会において、電子ネットワーク事業者等(本ガイドラインの対象となる者)への普及啓発活動を行い、電子ネットワーク事業者等の個人情報の保護への取組のフォローアップを行う。

参考:通商産業省告示第98号ガイドライン第23条、旧ガイドライン(実施)

 

参考資料

  1. 通商産業省:「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」
    (平成9年3月4日 通商産業省告示98号)

  2. OECD:「プライバシー保護と個人データの国際流通についてのガイドライン」
    OECD:「プライバシー保護と個人データの国際流通についてのガイドライン」(和訳)
    (1980年9月 OECD理事会勧告)

  3. EU:「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」
    EU:「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(和訳)
    (1995年10月採択)

  4. ECOM:「民間部門における電子商取引に係る個人情報の保護に関するガイドライン」
    (平成9年5月)

  5. サイバービジネス協議会:「サイバービジネスに係る個人情報の保護に関するガイドライン」
    (平成9年5月)

  6. 郵政省:「電気通信における利用環境整備に関する研究会報告」
    (平成8年12月)

  7. TRUSTe:ホームページ

  8. EPIC:ホームページ

  9. W3C:Platform for Privacy Preferences (P3) Project

  10. Open Profiling Standard (OPS)

  11. 牧野二郎著:「ネットワークにおける法律問題」
    (電子ネットワーク協議会 平成9年10月度月例セミナー講演資料)

  12. 岡村久道、近藤剛史著:「インターネットの法律実務」
    (平成9年5月、新日本法規出版株式会社)

    以上
    トップページに戻る
    e-mail address enc@nmda.or.jp
    (c)1997 Electronic Network Consortium