LINEの3月31日付のプレスリリースによると、LINEは個人情報漏洩・通信の秘密侵害の問題を受けて、3月31日付でLINEプライバシーポリシーの個人データの海外への提供に関する部分(「5.パーソナルデータの提供」等)を一部改正したとのことです。
・日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示|LINE
ごく大まかにまとめると、LINEのプライバシーポリシーには次の3点が追記されたようです。
1.日本の利用者の個人データは今後も韓国・日本で保管する。
2.システム開発・運用のために韓国・ベトナムが個人データにアクセスする。
3.問い合わせ対応業務で、タイ・台湾・インドネシア・韓国・フィリピンが個人データにアクセスする。
(LINEのプレスリリースより)
まず気になるのは、センシティブ情報である医療データや金融データなどを含む日本の個人データを今後も韓国で保管するとしている点です。
今回の事件では、中国の委託先の問題が明らかになるとともに、韓国のネイバー社のサーバーに、日本のユーザーのすべての画像データ・動画データ等が保管されていることが発覚し、日本の大きな社会的注目を浴びたわけですが、LINEはこの点を改めるつもりはないようです。開き直りともとれる対応ですが、日本のユーザーや国・国会などの納得は得られるのでしょうか。
また、追記されたプレスリリースの文言を見ると、個人データの委託先などに対する安全管理上の管理監督(個人情報保護法20条、22条)を実施することについて、ごく概括的なことしか書かれていません。LINEはこれから考える方針なのでしょうか。今回のLINEの不祥事においては、個人データの海外への越境(法24条)の問題とならんで、個人データの社内における安全管理措置が尽くされているのか、委託先の監督における安全管理措置は尽くされていたのか、も重要な論点のはずです。
今回のプライバシーポリシー改正では、7か国の国が明記されました。多数の海外の企業に対して定期的な立入検査を行ったり、それらの企業に対してアクセス制御などを実施するのはかなりのワークロードのはずです。これら7つの国々の委託先・関連企業において、LINEが日本の自社なみの安全管理措置・委託先の監督を実施しているのか、これまで実施してきたのかも改めて問題となります。
さらに、個人情報保護法上の問題以外にも、今回のLINEの不祥事は、憲法が規定し、電気通信事業法が事業者向けに罰則つきで明示している、国民・利用者の「通信の秘密」を侵害しているおそれがありますが、LINEの今回のプレスリリースはこの点に関しても何も説明していません(憲法21条2項、電気通信事業法4条、179条等)。
加えて、LINEは今回の不祥事に関して、再発防止策、関係者の処分などを発表していませんが、これも現在、社内で検討中なのでしょうか。
なお現在、Zホールディングスは学者などを招いた有識者委員会を設置しているようです。しかしその有識者委員会が、もし万が一、LINEの不祥事の法的問題や再発防止策などを真正面から検討するのではなく、「今後の日本の個人情報保護法のあり方を提言する」的な方向で議論を行い、それを受けてLINEやZホールディングスの経営陣が、自らの法的責任をうやむやにしようとするのであれば、日本のLINEユーザーや国民、個人情報保護委員会、総務省、金融庁、厚労省などの国の監督官庁や神奈川県・大阪府などの自治体、国会などの理解は得られないのではないでしょうか。
■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた
■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁