貴社(ヤフー株式会社)においては、Yahoo!JAPAN の検索エンジン技術の開発・検証の観点から、NAVER Corporation(以下「NAVER 社」という。)に対して、令和5年5月 18 日から同年7月 26 日までの間の検索関連データの提供を試験的に行っていた(以下「試験運用」という。)。その際に、慎重な取扱いが求められる情報である位置情報等(約 756 万のユニークブラウザ分の検索クエリ等(うち、位置情報は約410 万のユニークブラウザ分))を利用者に対して事前の十分な周知を行うことなく、NAVER 社へ提供し利用させていたほか、NAVER 社により物理的に提供情報のコピー等を行うことが可能な状態となっていたなど、安全管理措置に不十分な点があった。
貴社の Yahoo!検索は、多くの利用者が日常的に利用しているサービスであることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、以下の措置を講ずることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる。
以上を踏まえ、下記の1及び2について、必要な措置を実施されたい。また、その実施状況について、1については、令和5年9月 29 日までに報告されたい。また、2については、対応次第、随時状況を報告されたい。なお、今後新たな懸念が生じた場合等には、追加的な報告や調査、措置の実施を求める可能性がある旨を御承知おき願いたい。
1 NAVER 社への検索関連データの提供に関し、以下の各事項のとおり実施されたい。
(1)利用者周知に関する事項
(ア)提供する位置情報及びその利用目的について、利用者が事前に十分に理解できるよう適切な方法で周知を行うこと。
(イ)試験運用において、(ア)の対応が未実施だったことを踏まえ、貴社組織における利用者の利益の保護に係るガバナンスの在り方について見直しを行うこと。
(ウ)利用者に対し、位置情報の提供に同意しない手段を用意することが望ましいと考えられるため、当該手段について検討を行うこと。
(2) 安全管理措置に関する事項
(ア) NAVER 社による位置情報のコピー等が物理的に不可能な状態となる措置(VDI の導入等)か、それと同等の措置を講ずること。
(イ) 貴社において、NAVER 社による安全管理措置の実施状況の監査を行う体制の構築等を図ること。
2 本事案が発生したことや、貴社が利用者の利益に及ぼす影響が大きい電気通信役務を提供していることを踏まえ、当該役務の高い信頼性を保持し、利用者が安心・安全で信頼できるサービスを選択できるよう、貴社が提供する電気通信役務に関し、特定利用者情報規律※に係る以下の対応を行うことが望ましい。
※電気通信事業法(昭和 59 年法律第 86 号)第 27 条の6及び同法第 27 条の8
(1) 次に掲げる事項の公表
①取得する特定利用者情報の内容(当該特定利用者情報を取得する方法を含む。)に関する事項②特定利用者情報の利用の目的及び方法に関する事項③特定利用者情報の安全管理の方法に関する次の事項
- 安全管理措置の概要
- 外国に所在する第三者に特定利用者情報の取扱いを委託する場合における、当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
④利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項⑤過去 10 年間に生じた電気通信事業法第 28 条第1項第2号イ及びロに掲げる事故の時期及び内容の公表に関する事項
(2) 次に掲げる事項の総務省への報告
①特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する次に掲げる事項
- 組織的安全管理措置に関すること。
- 人的安全管理措置に関すること。
- 物理的安全管理措置に関すること。
- 技術的安全管理措置に関すること。
- 特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握の体制に関すること。
②特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する次に掲げる事項
- 委託先の選定の方法に関すること。
- 委託契約において定める特定利用者情報の取扱いに関すること。
- 委託先における特定利用者情報の取扱状況の把握の体制及び方法に関
③情報取扱方針の策定及び公表に関する事項④電気通信事業法第 27 条の9の規定による評価に関する次に掲げる事項
- 当該評価の実施並びに当該評価の結果の情報取扱規程及び情報取扱方針への反映の体制に関すること。
- 当該評価を行う項目、方法及び頻度に関すること。
⑤特定利用者情報を取り扱う従事者に対する監督に関する事項
