弁護士・登録情報セキュリティスペシャリスト 石田 優一
目次
第1章 はじめに
第2章 LINEの個人情報漏えい問題
第3章 個人情報保護法上の問題
1 委託先企業に対する個人データの越境移転規制について
2 個人データの越境移転規制が新設された経緯
3 LINEの個人情報漏えい問題についての検討
4 プライバシーポリシーの記載不十分の問題
第4章 越境移転規制の法改正(令和2年個人情報保護法改正)
1 越境移転規制について本人から同意を求める際の情報提供
2 日本国外の第三者による継続的な実施を確保するために必要な措置
第5章 今回の問題を踏まえて日本の企業が取り組むべき課題
第6章 おわりに
第1章 はじめに
2021年3月17日、LINEの個人データに中国の委託先企業がアクセス可能な状況にあった問題が報道されました。この問題を受けて、同月19日には、総務省がLINEの行政サービスを停止したうえで、全国の自治体に対して利用状況の調査を要請する事態に発展しています。
今回の問題は、平成29年5月施行の個人情報保護法改正によって新たに規制対象となった個人データの越境移転にからんだものです。
このコラムでは、今回の問題にかかわる個人情報保護法の規制について解説したうえで、日本の企業が今後取り組むべき課題について検討したいと思います。
第2章 LINEの個人情報漏えい問題
まず、LINEの個人情報漏えい問題とはそもそもどのようなものか、2021年3月17日付でLINE株式会社から公表された「ユーザーの個人情報に関する一部報道について」(以下「公式説明」といいます。)や、コラム執筆時点におけるニュースでの報道内容をもとに説明します。なお、最新の情報については、LINE株式会社の公開情報や報道などをご確認ください。
公式説明によれば、中国所在の孫会社LINE Digital Technology (Shanghai) Limitedに対して業務の一部を委託し、一部のトークのテキスト・画像・動画、問い合わせフォームの情報へのアクセス権限を付与していたことから、最近まで同社からのアクセスが可能な状況になっていたとのことです。同社は、LINEの機能の一部の開発業務を受託しており、不具合発生時の原因追跡などの目的でアクセス権限が付与されていたとのことです。
また、公式説明によれば、これに加え、ユーザーが迷惑行為として「通報」したトークテキストのモニタリングを、中国所在の委託先企業において実施していたとのことです。
※以下の説明では、2社をあわせて「委託先企業」として説明いたします。
報道によれば、これらのアクセス権限に基づいて、実際に中国からのアクセスがなされたことがあったとのことですが、コラム執筆時点において、詳細は明らかになっていません。
第3章 個人情報保護法上の問題
個人情報保護法
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二-三 ・・・(省略)・・・
第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
1 委託先企業に対する個人データの越境移転規制について
個人データの越境移転規制については、個人情報保護法24条で定められています。
個人データの越境移転とは、個人データを日本国外の第三者に対して移転させることをいいます。個人データとは、個人情報のうち、データベースなど容易に検索することができる状態で管理されているものをいいます。
一般に、第三者に個人データを提供する際にも、原則として本人の同意が必要になります。ただし、委託先企業に対して個人データを提供するケースについては、本人の同意がなくてもよいことが定められています(法23条5項1号)。
一方で、個人データを日本国外の第三者に対して移転させるケースについては、個人データの越境移転規制のルールが適用されて、たとえその第三者が委託先企業であったとしても、本人の同意を得なければなりません(法24条後段により法23条5項1号の適用が除外されているためです)。
ただし、個人データの越境移転規制のルールが適用されないケース、つまり、日本国外の委託先企業に個人データを提供するために本人の同意を得る必要のないケースが、大きく2つあります。
(1) 越境移転規制が適用されないこととされている国に対する移転であるケース
個人情報保護委員会が指定する国については、越境移転規制が適用されません。もっとも、コラム執筆時点において越境移転規制が適用されない国は、GDPRの規制が及ぶEU圏に限定されています。
(2) 個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制が整備されている事業者に対する移転であるケース
個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制が整備されている事業者に対する移転については、個人データの越境移転規制が適用されません。
具体的には、提供元と提供先との間で、個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制が確保されていることが必要です。
2 個人データの越境移転規制が新設された経緯
個人データの越境移転規制は、平成29年5月施行の個人情報保護法改正で新設されたものです。改正前は、個人データを委託先に提供することは、その委託先が日本国内に所在するか、あるいは海外に所在するかを問わず、本人の同意を得なくても原則として適法とされていました(法23条5項1号)。
ただ、日本の個人情報保護法による保護が及ばない海外に個人データが移転してしまうと、個人データが十分に保護されないおそれがあり、本人のプライバシーを脅かすおそれがあることが、問題視されるようになりました。特に、最近は、海外のクラウドサービスの利用をはじめ、インターネットを通じて個人データが国を超えて行き来する機会が増えていることから、このような個人データの越境移転に対して積極的な規制をする必要性が生じました。そのような理由から、EU圏をはじめとする多数の国で、越境移転に対する法規制が導入されるようになりました。
以上の経緯から、日本においても、平成29年5月施行の個人情報保護法改正で、個人データの越境移転が規制対象になりました。
3 LINEの個人情報漏えい問題についての検討
(1) 中国の企業からアクセス可能であった情報が個人データに該当するか
まず、今回の問題が越境移転規制に反している前提として、中国の企業からアクセス可能であった情報が個人データに該当することが要件になります。たとえ、個人情報へのアクセスが可能な状態にあったとしても、その個人情報がデータベースなど容易に検索することができる状態で管理されていなかったとすれば、個人データには該当しません。
個人情報保護法上の問題を検討するうえでは、トークのテキスト・画像・動画、問い合わせフォームの情報といった対象情報について、データベースなど容易に検索することができる状態で管理されていたものと、そのような状態で管理されてはいなかったものをすみ分ける必要があります。
(2) 中国の企業との契約がどのように定められていたか
仮に、中国の企業からアクセス可能であった情報に個人データが含まれていたとすれば、前章で取り上げた越境移転規制が問題になります。
中国の委託先企業との間で、個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制を確保することができていなければ、越境移転規制に反するものとして個人情報保護法違反となります。なぜなら、中国の委託先企業に対して個人データを提供することについて、本人の同意を逐一得るような仕組みにはなっていなかったからです。
個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制を確保することができていたかどうかを検討するうえで、まずは、LINE株式会社と中国の委託先企業との間でどのような契約が締結されていたかが重要になります。二者間の契約において、個人情報保護法と同水準の保護を中国の委託先企業が実施することが義務づけられていなかったとすれば、個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制を確保することができていたとは認めがたいからです。
(3) 中国の法制度のもとで個人情報保護が実効的に機能するか
さらに、たとえ契約上は個人情報保護法と同水準の保護を中国の委託先企業が実施することが義務づけられていたとしても、中国の法制度のもとでその契約が十分に実効性をもっていたかについても、検討が必要になります。
中国の法制度のもとで個人情報保護に関する契約上の義務が制約されることを前提にしても、そのレベルが日本の個人情報保護法と同水準に至っているかどうかを検証することが必要です。
(5) 検討上の課題
以上のとおり、今回の問題が個人情報保護法に違反しているかどうかについて、容易に結論を出すことはできません。中国の委託先企業との契約関係、さらには、必要に応じて中国の個人情報保護にかかわる法制度まで詳細に検討しなければ、明確な結論を出すことは困難です。
報道によれば、今後、第三者委員会による調査が検討されているとのことですので、その調査結果を踏まえて、さらに検討を重ねる必要があります。
4 プライバシーポリシーの記載不十分の問題
報道によれば、中国の委託先企業に対して個人情報へのアクセス権限を認めていた点について、プライバシーポリシーの記載が不十分であったことが問題視されています。
この問題については、次の2つの観点からの検討が必要です。
(1) 個人情報利用目的の特定
個人情報保護法
第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
個人情報を取り扱う事業者は、その利用目的を「できる限り特定」しなければなりません(法15条1項)。LINE株式会社のプライバシーポリシーには、中国の委託先企業にアクセス権限を付与していた目的について具体的な明示がないことから、利用目的をできる限り特定したとはいえないのではないかが問題になります。
(2) 委託先企業における個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制
先ほど説明したように、中国の委託先企業にアクセス権限を付与していた個人情報が個人データとして管理されていたものであれば、その情報について個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制が確保されていなければなりません。
中国の委託先企業において、その個人データの利用目的を特定するための措置が講じられていなかったとすれば、個人情報保護法が定める義務の趣旨に沿った措置が実施されるための体制が確保されていなかった1つの根拠となり、越境移転規制違反が問題になります。
第4章 越境移転規制の法改正(令和2年個人情報保護法改正)
越境移転規制については、令和2年個人情報保護法改正により、事業者に新たな義務が課せられる予定です。
1 越境移転規制について本人から同意を求める際の情報提供
令和2年改正個人情報保護法
第24条 ・・・
2 個人情報取扱事業者は、・・・本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
令和2年個人情報保護法改正により、個人データの越境移転のために本人の同意を得るためには、外国の法制度や移転先において講じられる個人情報保護などの情報を本人に提供しなければならないことが義務づけられます。具体的に、どのような情報を提供しなければならないかについては、今後明らかになる予定です。
2 日本国外の第三者による継続的な実施を確保するために必要な措置
令和2年改正個人情報保護法
第24条 ・・・
3 個人情報取扱事業者は、個人データを外国にある第三者・・・に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置【個人情報取扱事業者が講ずべきこととされている措置に相当する措置】の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
令和2年個人情報保護法改正により、個人データの越境移転後においても、PDCAの観点から移転先において個人情報保護のための措置が継続的に講じられるようにするとともに、その措置に関する情報を本人に提供すべきことが義務づけられます。具体的に、どのような措置を講じ、また、どのような情報を提供しなければならないかについては、今後明らかになる予定です。
第5章 今回の問題を踏まえて日本の企業が取り組むべき課題
今回の問題については、コラム執筆時点においては、個人情報保護法違反に該当するものであったかどうかが明確になっていません。それについては、第三者委員会の調査結果を待ったうえで、改めて検討する必要があります。
もっとも、今回の問題は、単なる「LINEの問題」ではなく、個人情報保護に対する日本全体の姿勢にかかわる問題であるというのが、私の意見です。
平成29年の個人情報保護法改正の際には、取り扱う個人情報の対象人数が5000人以下の事業者も適用対象になることが広く取り上げられた一方で、越境移転規制についてはあまり取り上げられず、現在もその知名度は低いままです。また、越境移転規制が適用されるケースと適用されないケースの線引きについては、個人情報保護委員会のガイドラインにおいても明確な基準は十分に示されていません。今回の問題が生じた背景には、越境移転規制について周知が不十分であり、かつ、明確な基準が示されてこなかった社会的な問題があるのではないかというのが、私の意見です。
日本の現状を踏まえると、越境移転規制をはじめ、個人情報保護法への対応が不十分な企業は多々存在しているように思われます。今回の問題を機に、日本の企業1社1社が、個人情報保護法の対応状況について積極的に関心をもって、改めて対策に取り組んでいくべきであると思います。
第6章 おわりに
Web Lawyersは、企業の個人情報保護法への対応を積極的にサポートしています。月1万円(税別)からの顧問契約をご契約いただくことで、「これって個人情報保護法違反?」という素朴な疑問を気軽に弁護士に相談することができます。詳しくは、顧問契約のご案内をご覧ください。
