なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

2021年03月

LINEヘルスケアトップ画面
LINEの3月31日付のプレスリリースによると、LINEは個人情報漏洩・通信の秘密侵害の問題を受けて、3月31日付でLINEプライバシーポリシーの個人データの海外への提供に関する部分(「5.パーソナルデータの提供」等)を一部改正したとのことです。

・日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示|LINE

ごく大まかにまとめると、LINEのプライバシーポリシーには次の3点が追記されたようです。

1.日本の利用者の個人データは今後も韓国・日本で保管する。

2.システム開発・運用のために韓国・ベトナムが個人データにアクセスする。

3.問い合わせ対応業務で、タイ・台湾・インドネシア・韓国・フィリピンが個人データにアクセスする。


LINE改正プラポリ3
LINE改正プラポリ2
LINE改正プラポリ1
(LINEのプレスリリースより)

まず気になるのは、センシティブ情報である医療データや金融データなどを含む日本の個人データを今後も韓国で保管するとしている点です。

今回の事件では、中国の委託先の問題が明らかになるとともに、韓国のネイバー社のサーバーに、日本のユーザーのすべての画像データ・動画データ等が保管されていることが発覚し、日本の大きな社会的注目を浴びたわけですが、LINEはこの点を改めるつもりはないようです。開き直りともとれる対応ですが、日本のユーザーや国・国会などの納得は得られるのでしょうか。

また、追記されたプレスリリースの文言を見ると、個人データの委託先などに対する安全管理上の管理監督(個人情報保護法20条、22条)を実施することについて、ごく概括的なことしか書かれていません。LINEはこれから考える方針なのでしょうか。今回のLINEの不祥事においては、個人データの海外への越境(法24条)の問題とならんで、個人データの社内における安全管理措置が尽くされているのか、委託先の監督における安全管理措置は尽くされていたのか、も重要な論点のはずです。

今回のプライバシーポリシー改正では、7か国の国が明記されました。多数の海外の企業に対して定期的な立入検査を行ったり、それらの企業に対してアクセス制御などを実施するのはかなりのワークロードのはずです。これら7つの国々の委託先・関連企業において、LINEが日本の自社なみの安全管理措置・委託先の監督を実施しているのか、これまで実施してきたのかも改めて問題となります。

さらに、個人情報保護法上の問題以外にも、今回のLINEの不祥事は、憲法が規定し、電気通信事業法が事業者向けに罰則つきで明示している、国民・利用者の「通信の秘密」を侵害しているおそれがありますが、LINEの今回のプレスリリースはこの点に関しても何も説明していません(憲法21条2項、電気通信事業法4条、179条等)。

加えて、LINEは今回の不祥事に関して、再発防止策、関係者の処分などを発表していませんが、これも現在、社内で検討中なのでしょうか。

なお現在、Zホールディングスは学者などを招いた有識者委員会を設置しているようです。しかしその有識者委員会が、もし万が一、LINEの不祥事の法的問題や再発防止策などを真正面から検討するのではなく、「今後の日本の個人情報保護法のあり方を提言する」的な方向で議論を行い、それを受けてLINEやZホールディングスの経営陣が、自らの法的責任をうやむやにしようとするのであれば、日本のLINEユーザーや国民、個人情報保護委員会、総務省、金融庁、厚労省などの国の監督官庁や神奈川県・大阪府などの自治体、国会などの理解は得られないのではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁




新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

LINEスコア
1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)

法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。

3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2


また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)

2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁



個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

LINEペイ
1.LINEペイの決済情報なども韓国のネイバー社サーバーに保存が発覚
LINEの個人情報漏洩・通信の秘密侵害が大きな問題となっています。

■前回のブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

朝日新聞の3月23日の続報によると、トークに投稿された画像・動画データの全データだけでなく、LINE Payによる利用者の決済に関する情報も、韓国のLINEの関連会社ネイバー(NVER)のサーバーに保存されていることが発覚したとのことです。

・LINE Pay情報、韓国に保管 加盟店の口座番号も|朝日新聞

2.金融分野における個人情報保護に関するガイドライン
(1)第8条(安全管理措置)
金融分野における個人情報保護ガイドライン8条は、個人情報保護法20条の安全管理措置の細目を定めていますが、金融機関は、①組織的安全管理措置、②人的安全管理措置および③技術的安全管理措置を講じなければならないと規定しています。

この③の技術的安全管理措置には、「個人データの管理区分の設定及びアクセス制御」などが含まれます。

この点、LINEは東京都新宿区に本社がありながら、なぜ日本の8600万人の利用者の画像・動画データの全てのデータや、LINEペイの利用者の決済情報などのデリケートな金融情報を、わざわざ海外の韓国のネイバー社のサーバーに保存していたのでしょうか?

例えば韓国のネイバー社に、LINEの決済を担当する金融事務センターがあるなどの合理的な理由がないと、日本の多くの利用者や、日本の個人情報保護委員会や金融庁などの各監督官庁は納得できないのではないでしょうか?

(日本の金融機関・保険会社なども、経費節減などの観点から、事務拠点を地方に置くことはよくありますが、わざわざ海外に置くという例はあまりないのではないでしょうか。お客様とのやり取りや、日本の税務当局や各行政当局とのやり取りとの関係で、あえて海外に事務拠点を置く理由はないように思われますが。)

(2)第3条(同意の形式)
また、金融分野ガイドライン3条は、個人情報保護法16条、23条、24条における「本人の同意」に関して、「文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認」を行わなければならないと規定しています。

この点、LINEペイのアプリをスマホにインストールした際に表れる本人の同意の画面はつぎのようになっています。

LINEペイの同意画面


この画面からそれぞれのプライバシーポリシーなどの画面にダイレクトに遷移できないのは今どきにしてはずいぶん利用者・消費者に不親切に思えます。とはいえ、「LINE Cashアカウント利用規定」、「LINEユーザー情報提供ポリシー」をPCからLINEサイトで確認すると、あまり本件には関係がいないようで、結局、LINEペイもLINE本体のLINEプライバシーポリシーに準拠するようです。

すると、前回のブログ記事でみたように、LINEプライバシーポリシーは、「5.パーソナルデータの提供」の部分で、利用者の個人データを外国の第三者に移転や提供することがあると規定されていますが、この「外国」韓国中国などの国名は明記されておらず、この点が不明確なままです。

LINEプライバシーポリシー「パーソナルデータの提供」

そのため、韓国などへの個人データの移転について日本の利用者の本人の同意はなされていないことになります。

したがって、LINEペイおよびLINEの韓国のネイバー社サーバーへの決済情報等の個人情報の移転は、やはり金融分野の個人情報ガイドライン3条に抵触しており、個人情報保護法24条に違反・抵触していることになります。

3.個人情報保護ガイドライン(外国にある第三者への提供編)
また、すでに報道されているとおり、LINEは中国企業に個人データに関する業務を委託しており、また再委託も行われています。

この点、個人情報保護委員会の個人情報保護ガイドライン(外国にある第三者への提供編)4-2-8(委託先の監督(法第22条の趣旨に沿った措置))は、事業者が外国にある第三者への個人データの委託等の提供を行う場合は、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握、の3つの段階で委託先の監督を行わなければならないとしています。

つまり、個人データの業務の委託を行おうとする委託元事業者は、まず、①委託先選定のための社内基準を策定し、その基準を満たす事業者を委託先としなくてはなりません。つぎに、②委託元事業者は、委託先に個人データの第三者提供禁止や目的外利用の禁止、守秘義務などを盛り込んだ契約書を委託先企業と締結しなければなりません。さらに、③委託元事業者は、例えば年1回など定期的に委託先事業者に立入検査を行うなどして、委託先の個人データの取扱状況の確認を行わなければなりません。

加えて、同ガイドライン(外国にある第三者への提供編)は、再委託についても、「委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条の趣旨に沿った安全管理措置を講ずることを十分に確認」しなければならないと規定しています。

つまり、委託元は、委託先を選定するのと同様に、自らがチェックあるいは委託先にチェックさせることにより、再委託先を選定し、委託契約を締結させ、さらに自らあるいは委託先に再委託先を定期的に立入検査するなどして、個人情報保護法20条の安全管理措置を講じなければならないのです。

にもかかわらず、LINEの経営幹部達が自社の個人データが中国企業に委託や再委託されていたことを知ったのは、ヤフージャパンとの統合を交渉中の本年1月の、外部からの告発によるとのことです。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

つまり、LINEは個人データの委託や再委託に関して、個人情報保護法22条、24条や、個人情報ガイドライン(外国にある第三者への提供編)4-2-8 などが定める委託のために講じなければならない手順をまったく実施していなかったことになります。LINEの経営幹部が後から委託・再委託を知ったというレベルなのですから。

ベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定して、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

LINEの広報部は「プライバシーポリシーに不明確な部分があったので、今後改正する」等と釈明しているようですが、問題はプライバシーポリシーを訂正して済むというレベルではもはやないようです。

すなわち、個人データの漏洩や滅失・棄損などを防止するための安全管理措置が、個人データの中国・韓国という外国への移転という場面でまったく講じられていなかったのですから、LINEの個人情報取扱事業者としての責任は重大であると思われます。

同時に、経営統合の過程で発覚したこの重大な不祥事を放置して、LINEとの経営統合に踏み切ったヤフージャパン・Zホールディングスの経営幹部の責任も重大です。LINEだけでなくヤフー・Zホールデングスの経営陣も、取締役の忠実義務・善管注意義務などの責任を追及されることは必至であると思われます。

4.規制強化の必要性・個人データの安全保障
なお現在、官民の個人情報保護法制を一元化するために、個人情報保護法の改正法案などが国会で審議中です。せっかくの機会ですから、今回のLINEの件やコロナ接触確認アプリCOCOAの開発・運営の迷走の件、日本年金機構の中国へのマイナンバーの漏洩疑惑の件、あるいはみずほ銀行のシステム障害の件などを踏まえ、国会は、個人データの委託・再委託やシステム開発・保守・運営などにおける委託の規定の規制強化・罰則の強化や、多重下請けや多重委託の禁止などのための立法を行うべきではないでしょうか。

また、LINEの件で明らかになったように、海外にある第三者への個人情報の移転は、国民の個人情報保護・プライバシー保護の問題であると当時に、国・企業の機微情報や営業秘密など、国家の主権や安全保障などに密接に関連する問題であることに鑑み、監督官庁の事前・事後の監督手続きの強化や罰則の強化などの規定を設けるべきではないでしょうか。

同時に、個人データの安全保障のために、企業や国・自治体・公的団体等は、日本の国民の個人データに関しては、その保存場所を国内のサーバー等に限定し、外国のサーバーなどに保存することを禁止する規定を個人情報保護法などに設けるべきではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・内閣府のゲーム依存・フィルタリング等に関する「子供・若者育成支援推進大綱(案)」パブコメに意見を書いてみた



新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.はじめに
朝日新聞の3月17日の報道によると、通信アプリLINE(国内の月間利用者約8600万人)が、中国の関連会社にシステム開発を委託し、同社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことが発覚したとのことです。LINEは個人情報保護委員会に報告を行うとともに、第三者委員会を設置して調査を行うとのことです。このブログ記事では、本漏洩事故について、おもに個人情報保護法および電気通信事業法から検討してみたいと思います。

・LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞
■関連
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

2.事実の概要-漏洩したおそれのある個人情報
(1)中国の関連会社
朝日新聞によると、LINEはAIなどの開発を中国の関連会社に委託し、同社の技術者らが日本のLINEのサーバーに保管されている、利用者のLINEID、氏名、電話番号、メールアドレス、利用者の書き込み(「トーク」)などの個人情報・個人データにアクセスすることができたとされています。また、アクセス可能であった期間は2018年8月から2021年2月24日までだったとのことで、同社から少なくとも32回、サーバーへのアクセスが確認されているとのことです。朝日新聞3月17日の35面の記事によると、LINEは中国関連会社によるアクセスが「何の目的で、どのような情報にアクセスしていたか不明」であるとのことです。

(2)大連の業務委託
さらにLINEはタイムラインなどのサービスでの不適切な書き込みなどを監視する目的で、日本の通信業務代行会社に業務を委託し、同社が中国遼寧省の大連にある中国法人に業務を再委託していたとのことです。大連の中国法人も、業務のために日本のLINEのサーバーにアクセスし、トークや画像、動画などの監視業務を行っていたとのことです。

3.個人情報保護法
(1)個人情報保護法22条(委託先の監督)
個人情報保護法20条は、LINEなどの個人情報取扱事業者に対して、「個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定し、保有する個人データの漏洩、滅失または毀損の防止のために「安全管理措置」を講じなければならないと規定しています。この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「8-6 技術的安全管理措置」は、不要な個人データ等に従業員等がアクセスできないようにするなどの「アクセス制御」などの措置を実施するように事業者に求めています。

そして、同22条は、事業者が個人データの取扱を委託する場合には、その委託先において個人データの安全管理措置が講じられるように、当該委託先を監督しなければならないと規定しています(委託先の監督)。この委託元の委託先の監督の責任には、当然、再委託先の監督を行う責任も含まれます。

(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「3-3-4 委託先の監督(法第22条関係)」はつぎのように規定しています。

個人情報保護法ガイドライン(通則編)
3-3-4 委託先の監督(法第22条関係)
「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
(1)適切な委託先の選定
(2)委託契約の締結
(3)委託先における個人データ取扱状況の把握」

そして、「【委託を受けた者に対して必要かつ適切な監督を行っていない事例】」として、「事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」を挙げています。

LINEは、中国の関連会社などに自社の個人データの取扱の一部を委託していたわけですが、中国の関連会社からLINEの日本のサーバーへのアクセスが「何の目的で、どのような情報にアクセスしていたか不明」という状態であったのですから、委託先への監督が不十分であったとして、個人情報保護法22条に違反・抵触しているおそれがあるのではないでしょうか。

2014年のベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定し、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

個人情報保護法22条の委託先の監督は、いわば法20条の安全管理措置の委託先バージョンです。そのため、もしLINEの個人情報漏洩について利用者から損害賠償を求める民事訴訟が提起された場合、ベネッセ事件と同様に裁判所がLINEの安全管理措置の違背を認定し、損害賠償責任を認める可能性はあるのではないでしょうか。

(2)個人情報保護法24条(外国にある第三者への提供の制限)
つぎに、平成27年の法改正で新設された個人情報保護法24条は、外国にある第三者への提供の制限に関する規定を置いています。

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

すなわち、①提供先の第三者(=事業者など)が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合②提供先の事業者が所在する外国の個人情報保護法制が日本と同等の水準にあると認められる場合には、個人情報保護法23条1項各号のいずれかの提供方法(本人同意、オプトアウト、委託・合併・共同利用)で個人データを提供することができます。しかし、①②に該当しない場合は、③外国の第三者への提供を認める旨の本人の同意が必要となります(法24条)

この点、②の「外国の個人情報保護法制が日本と同等と認められる場合」の外国については、個人情報保護委員会が個人情報保護の観点や外交上の観点から、「ホワイトリスト方式」(日本版十分性認定)による規則を定めることとされており、この点、個人情報保護委員会は、2019年1月にEUおよびイギリスを、「外国の個人情報保護法制が日本と同等と認められる外国」に認定する規則を制定しています(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)。したがって、EUおよびイギリスではない中国、韓国は②には該当しません。

また、①「提供先の第三者が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合」の「事業者が講じる体制」については、個人情報保護法ガイドラインは、APEC‐CBPRに適合している事業者であればこの要件を満たすとしていますが、LINEの件ではこの点は報道ではまだよくわかりません。(しかしこの点をLINE側が積極的にアピールしていない以上は、LINEの委託先・再委託先の事業者はこの要件を満たしていないと考えたほうよいのではないかと思われます。)

そうなると、NINEとしては、③の「外国の第三者への提供を認める旨の本人の同意」が必要となります(法24条)。

この点、LINEのプライバシーポリシーをみると、「5.パーソナルデータの提供」は、つぎのように、「当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。」と規定しています。

LINEプライバシーポリシー「パーソナルデータの提供」
(LINEプライバシーポリシーより)

・LINEプライバシーポリシー

法24条の③の「外国の第三者への提供を認める旨の本人の同意」の「外国」については、改正法の立案担当者は、「原則として国レベルで足りると解されているが、州レベルで差異が激しい場合は国名だけでなく州名もあげるべき」としており、最低限、国レベルの明示は必要であるとしています(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』143頁)。

したがって、プライバシーポリシーにおいて、中国の国名をあげずに「第三国」とのみしか標記していないNINEは、個人情報保護法24条に違反・抵触しているおそれがあります。

■追記(2021年3月26日)
この個人情報保護法24条の「外国」の国名の表示が必要か否かについては、次のブログ記事もご参照ください。

・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

すなわち、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、法24条の外国の国名を明示しなくてもよい場合の具体例を3つ例示しています。しかし、LINEはその3つの具体例のどれにも当てはまらないので、結論としてLINEはプライバシーポリシーで個人データの移転先の国名を明示することが必要であり、やはり個人情報保護法24条・個人情報ガイドラインQA9-2、9-3に抵触・違反しているものと思われます。

4.電気通信事業法など
LINEは電気通信事業者であり(届出電気通信事業者A-20-9913)、電気通信事業法上の責任を負っています。

憲法21条2項は「通信の秘密を規定し、これを受けて電気通信事業法4条通信の秘密の規定を置いています。また、同179条通信の秘密漏洩について罰則規定を置いています。さらに同28条、施行規則57条は、通信の秘密侵害に関する重大事故が発生した場合は、事業者は総務大臣に速やかな報告を行うとともに、30日以内に詳細な報告を行わなければならないと規定しています(業務の停止等の報告)。

この「通信の秘密」には、「通信の内容」だけでなく、「通信の外形的事項」(通信のメタデータ、通信の構成要素、通信データ)も含まれ、通信の送信者・受信者、宛先の住所・電話番号・メールアドレス、通信の個数や通信日時などが含まれるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決)。

今回の漏洩事故においては、「トーク」という「通信内容」とともに、「利用者のLINEID、氏名、電話番号、メールアドレス」などの「通信の外形的事項」に関する情報も漏洩したおそれがあるため、本漏洩事故は、電気通信事業法4条にも違反・抵触しているおそれがあります。

なお、電気通信事業法の「通信の秘密」に関しては、3月10日に総務省から楽天モバイルに対して行政指導が出されたばかりです。

・楽天モバイル株式会社に対する個人情報及び通信の秘密の保護の徹底に係る措置(指導)|総務省

さらに、LINEは信用スコア、融資、決済サービス、証券業、FX、仮想通貨、生命保険・損害保険などの事業も行っているため、LINEは金融庁に報告を行う必要があるものと思われます(「金融分野における個人情報保護に関するガイドライン」17条、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-6-1、6-6-1、保険業法100条の2、保険業法施行規則53条の8)。

また、LINEは、コロナに関するアンケート調査を2020年に複数回実施し、その結果を厚労省などに提供しています。また、近年LINEは、利用者が医者にLINEアプリで医療に関する相談などを行える事業(LINEヘルスケア)も展開しています。加えて、利用者が弁護士に相談を行える事業も実施しています。とくにコロナや医療に関する医療データ・傷病データは、個人情報のなかでもデリケートなセンシティブ情報(要配慮個人情報)です。

さらに、LINEは「LINEキャリア」などにおいて人材紹介ビジネスも行っているようです。履歴書・職務経歴書などをLINE上で作成して求人企業などに応募できるサービスや、LINE上でのユーザーの閲覧履歴・検索履歴などから求人企業とのマッチングなどを行っているようですが、2019年のリクナビ事件のように、就職活動・転職活動はこれもデリケートな個人情報保護やプライバシー保護が必要な分野です(職業安定法5条の4、厚労省指針通達平成11年第141号第4)。そのため、LINEは厚労省などに対しても報告を行う必要があると思われます。

(リクナビ事件に関する、厚労省および個人情報保護委員会の行政処分など)
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会

さらに、LINEがもし欧州に支店などを設置するなどして、欧州市民の個人データを取扱っていた場合は、GDPRに基づく迅速な報告が必要となります。

5.まとめ
この漏洩事故について、湯浅墾道・情報セキュリティ大学院大学副学長(情報法)は、「何の目的でどの情報にアクセスがあり、それがどの情報なのかをLINEが把握できていないのであれば、情報漏洩の恐れのある重大事故と言い得る」「政府や自治体はLINEとの連携の内容を再確認すべきだ。」と朝日新聞3月17日付の記事(35面)にコメントを寄せておられますが、まさにその通りであると思われます。

本漏洩事故は、日本の約8600万人のセンシティブな医療データ・金融データなどを含む個人情報・個人データおよび通信の秘密の漏洩事故であり、しかもその分野が情報通信、金融・保険、医療、雇用、国・自治体の行政サービスなどさまざまな分野におよぶという点で前例のない重大な個人情報漏洩事故です。

■追記(2021年3月17日20時)
朝日新聞の3月17日19時の続報によると、LINEはトークに投稿されたすべての画像・動画データ韓国の関連会社ネイバー(NAVER)のサーバーに保管していることがわかったとのことです。また、LINEもようやくプレスリリースを公表したようです。

・日本のLINE利用者の画像・動画全データ、韓国で保管|朝日新聞
・ユーザーの個人情報に関する一部報道について|LINE

個人情報保護法24条の「外国にある第三者への提供」の問題に、中国だけでなく韓国も加わったことになります。

しかし「すべて」の画像・動画データが韓国のサーバーにあるというのは驚きです。この画像・動画データには、当然、LINEヘルスケアや、厚労省が委託したコロナに関するアンケート調査などの日本国民の医療データ・傷病データなどのセンシティブ情報(要配慮個人情報)や、金融資産などに関するデリケートな個人情報も含まれているはずです。

上でみたように、LINEのプライバシーポリシーに、個人データの提供先に「韓国」が明示されていない以上、本人の同意は得られておらず、LINEは韓国のサーバーとの関係でも個人情報保護法24条に違反しているものと思われます。

また、上でもみたように、個人情報保護法20条および同ガイドラインは、個人情報取扱事業者に個人データのアクセス制御などの安全管理措置をとることを要求し、同22条は委託先の監督の義務を課しており、同ガイドラインは委託先がアクセス可能なデータは委託の目的から必要最低限にすること等を求めていますが、すべての画像・動画データが韓国のサーバーにあるというLINEの状況は、個人情報保護法20条、22条の安全管理および委託先の管理の法的義務を完全に逸脱したものであり違法です。

個人データの越境の問題は、通信の秘密、個人データ保護、プライバシー保護の問題であるとともに、企業の営業秘密や国の警察活動や安全保障・外交の問題でもあります。LINEの問題が今後どう進展してゆくか大いに注目されます。

■追記(2021年3月19日13時)
3月19日、NHKなどの報道によると、総務省は自省がLINEにより行っている行政サービス(意見募集や問い合わせ対応)を停止するとともに、全国の自治体に対して、LINEを使った行政サービスの利用状況を3月26日までに報告するよう求めることを決定したとのことです。また、政府は、内閣官房を含め、各省庁におけるLINEの利用状況の確認を始めたとのことです。さらに、個人情報保護委員会は現在、LINEに対して報告を求めている状況とのことです。

・LINEでの行政サービス停止 総務省|NHK

■追記(2021年3月20日)
3月19日、LINEに対して総務省は、個人情報、通信の秘密およびサイバーセキュリティ上の支障等に関して電気通信事業法166条1項に基づき報告徴収を行ったとのことです。また同日、個人情報保護委員会もLINEに対して、個人情報保護法40条に基づき報告徴収を行ったとのことです。さらに、ZホールディングスはLINEの問題について調査委員会を設置したとのことです。

・LINE株式会社に対する報告徴収|総務省
・第168回個人情報保護委員会を開催しました|個人情報保護委員会
・総務省 LINEに報告求める 中国の会社のアクセス問題で|NHK
・政府の個人情報保護委員会 LINEに報告求める|NHK
・外部有識者による、グローバルなデータガバナンスに関する特別委員会の開催のお知らせ|Zホールディングス

■追記(2021年3月21日)
3月21日付の朝日新聞の記事によると、LINEの個人データの中国や韓国の委託先・関連企業での違法・不当な取扱については、ヤフージャパンとLINEとの経営統合の話し合いの過程のなかで、遅くとも2021年1月には、ヤフージャパンも知るところとなったとのことです。
もしこれが事実であれば、LINEの経営陣だけでなく、経営統合のため動いていたヤフージャパンの経営陣や親会社のZホールディングスの経営陣の責任問題となるのではないでしょうか。
つまり、会社の経営陣は「取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない」という取締役の忠実義務の責任を負っています(会社法355条、民法644条)。この「法令」には個人情報保護法や電気通信事業法などはもちろん含まれます。そして、取締役に任務の懈怠などがあった場合は、その取締役は会社に対して損害賠償責任を負うこととなります(会社法423条)。このような事態となれば、LINEだけでなくヤフージャパンやZホールディングスは、株主からの株主代表訴訟を提起される法的リスクも負うことになります(会社法847条)。
なお、取締役の忠実義務に関しては経営判断の原則が問題となりますが、この経営判断も、あくまでも法令を遵守した上での経営者の経営上のリスクテイクなどの判断の是非が問題となるのであって、「違法な経営判断」が経営判断原則で合法化・正当化されるわけではありません(前田庸『会社法入門 第12版』412頁)。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

■追記(2021年3月31日)
個人情報保護委員会は3月26日に中間報告のプレスリリースを公表しました。それによると、LINEから報告書が提出されたものの、資料が不十分なため、個人情報保護法22条および24条について適法かどうかについて今後も調査を行うこと、中国からのアクセスが遮断されているかどうか引き続き監督を行うことなどが説明されています。また、報道によると、3月31日に個人情報保護委員会は、LINEとZホールディングスに対して立入検査を実施したとのことです。

・個人情報の保護に関する法律に基づく行政上の対応について(令和3年3月26日)|個人情報保護委員会
・LINEなどに立ち入り検査を実施 政府の個人情報保護委員会|NHK

■追記(2021年4月7日)
個人情報保護委員会の4月7日付のプレスリリースで公表されているLINEの個人情報に関する2回目の中間報告(「LINE(株)の個人情報の取扱いに関する対応について」)によると、個人情報保護委員会は現在もLINEの調査を継続中のようです。LINEの利用再開を開始した一部の官庁や自治体は、勇み足なのではないでしょうか。

・第171回 個人情報保護委員会|個人情報保護委員会

■追記(2021年4月23日)
4月23日、個人情報保護委員会は、LINE社に対して行政指導を行った旨のプレスリリースを発表しました。

・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会

・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの海外への移転に関する規制(法24条)については違反とは認定しなかったようです。法24条に関しては、現行法が大雑把にしか規定していないのでやむを得ないということなのでしょうか。なお、リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。

とはいえ、LINE社およびZホールディングスの経営陣は、個人情報保護委員会のプレスリリースの次のくだりを胸に刻み、大いに反省すべきではないでしょうか。

LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要

LINE行政指導1
LINE行政指導2

■追記(2021年4月26日)
4月26日、総務省はLINEに対する行政指導を行ったとのプレスリリースを発表しました。

・LINE株式会社に対する指導

・LINEの通信の秘密の問題に対して総務省が行政指導を実施

■追記(2021年4月30日)
内閣官房、個人情報保護委員会、金融庁、総務省は4月30日、「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を公表しました。

・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

同ガイドラインは国・自治体等の行政機関に対して、LINEサービスの利用について、①個人情報や機密情報に関する取扱いは原則禁止とし、相談業務サービスなどをLINE上で実施する場合にはLINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること等、②国・自治体等が個人アカウントで機密情報等を取扱うことの禁止、などを規定しています。
国・自治体のLINEガイドライン

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・前田庸『会社法入門 第12版』412頁

■関連するブログ記事
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

いらすとやパソコン
内閣府の子供・若者育成支援担当部門が3月15日までパブコメ手続きを行っていた、「子供・若者育成支援推進大綱(案)」ネット依存症・ゲーム依存症などに関する部分がツイッターなどネット上で炎上していたので、私もパブコメ意見を作成し提出してみました。

・子供・若者育成支援推進大綱(案)に対する意見募集について|内閣府

ネット上でとくに注目されたのは、この「(3)子供・若者を取り巻く有害環境等への対応」「(ネット依存等への対応)」の部分(大綱案47頁)です。つまり、「ネット依存(オンラインゲームへの依存を含む)の傾向が見られる青少年に対しては、青少年教育施設等を活用した自然体験宿泊体験プログラムなどの取組を推進する」としている部分です。

内閣府子供若者育成支援大綱ゲーム依存ネット依存

私はつぎのようなパブコメ意見を提出しました。

●ネット依存症・ゲーム依存症、フィルタリング、Edutech・Child-Youth Techなどについて
「ネット依存等への対応」(47頁)について
「ネット依存症・ゲーム依存症の傾向がみられる青少年に対しては、青少年教育施設等を活用した自然体験や宿泊体験プログラムなどの取組を推進する」とのことであるが、依存症治療は20世紀以降、医学的に、依存症患者が自助会において自らの依存症の体験を話し合い共有することがコアな部分となっている。これはアルコール依存症・薬物依存症・ギャンブル依存症などの各依存症に共通の医学的・科学的な治療法である。

そのため、ネット依存症・ゲーム依存症に関してだけは、依存症患者を「青少年教育施設等を活用した自然体験や宿泊体験プログラム」を実施するという内閣府の本大綱(案)の方針は、医学的・科学的なものではないので取消・撤回を求める。

(かつてのナチス・ドイツは、国民・青少年を国家主義・全体主義的な思想に矯正・教化するために、自然や郊外でのスポーツやレジャー、キャンプなどを推進したが、「ネット依存症の傾向のみられる青少年に自然体験・宿泊体験などを推進する」というこの内閣府の方針には、国家主義・全体主義の傾向が感じられる。)

さらに、「ネット依存症・ゲーム依存症の傾向がみられる青少年」という表現には、政府の「ネットやゲームを長時間行うことは良くない」という古い道徳的価値判断・あるいは政治的・思想的な価値判断が含まれているのではないか。わが国は個人の尊重・国民の基本的人権の確立を国家の目的とする理念を掲げる近代民主主義国家であるから(憲法11条、97条)、国民・青少年が日々の生活においてどのような活動・行動をするか、どのような分野の活動を自分の趣味とするか、どのようなライフスタイルを選択するか等は国民・青少年の個人の自己決定権(憲法13条)に属する事柄であり、国・自治体が安易に特定の価値観を国民・青少年に押し付けることは近代民主主義および憲法の理念に反するので、そのような本大綱(案)の施策・方針は取消・撤回を求める。

(同様に、子供のゲーム時間を一日1時間に制限し自然体験などを奨励する、香川県の「香川県ネット・ゲーム依存症対策条例」(令和2年香川県条例第24号)も、非医学的・非科学的な内容であるだけでなく、子供およびその親の自己決定権等の基本的人権を侵害するものであるから、内閣府を含む国・関係機関は、香川県に対して、同条例を廃止するように助言・指導などの関与を行うべきである。)

加えて、「ネット依存症・ゲーム依存症の傾向がみられる青少年」という表現には、「ネットやゲームを長時間行うことは良くない」という意味が込められているようであるが、依存症とは医学的に医師等が診察をして診断・治療を行うものであり、また依存症とは社会的差別の原因となりやすい疾病・障害であり、さらに依存症は死亡リスクの極めて高い重篤な疾患・障害なのであるから、「依存症傾向のみられる」などのあいまいで大雑把な表現や分類を政府が行うことは厳にひかえるべきである。

そもそも、本大綱(案)は全体を通して、子ども・若者・青少年に対して、繰り返し「理系に強い人材が欲しい、IT・ネット・プログラミング等に強い人材が欲しい」と求めているにもかかわらず、青少年がコンピュータやスマートフォン、インターネット・ゲーム等に日々親しみ、それらのITやネットに関する専門知識・ノウハウを自分のものとすることに対して内閣府が本大綱(案)で否定的評価を行うことは支離滅裂であり、矛盾している。

したがって、この「ネット依存等への対応」は全面的に取消・撤回を求める。

「子供・若者の成長のための社会環境の整備」(18頁)について
子供・若者をネットやSNSの犯罪被害から守るためとして、フィルタリングやペアレントコントロールなどを推進するとされているところ、青少年をネット上の犯罪被害・消費者被害から守ることはもちろん重要ではあるものの、憲法21条は「表現の自由」(1項)、「通信の秘密」「検閲の禁止」(2項)を定め、電気通信事業法4条なども「通信の秘密」を定めているところである。また、憲法22条、29条は「営業の自由」を定めている。さらに、日本も批准する子どもの権利条約は、青少年に表現の自由と表現や情報を受ける権利があることを明示している(13条1項)。加えて、青少年がどのようなサイトを見るか、どのような漫画・ゲームなどを読んだり遊んだりするかなどの自己の私的な領域については自分で決める権利(自己決定権)を有している(憲法13条)。国・自治体にパターナリズムに基づく規制が一定レベルで許容されるとしても、それは青少年の生命・身体への現実的危険がある場合など制限的な場合にとどまる。同時に、自分の子供をどのようにしつけ、育てるか、どのような家庭を形成するかについては親の自己決定権(憲法13条)に属する事柄であり、これも安易に国・自治体が介入する事柄ではない。

したがって、フィルタリング、ペアレントコントロール、海賊版対策のためのサイトブロッキング、アクセス警告方式などの各施策は、「表現の自由」「通信の秘密」「検閲の禁止」、そして事業者の「営業の自由」や「営利的表現の自由」などの憲法や各法律の規定する自由権・人権の憲法上の基本理念を十分に配慮し、慎重にも慎重な対応が求められる。児童ポルノ事案などにように具体的・現実的に青少年の生命・身体・人格に危害がおよぶことを防止する場合は規制が許容されるとしても、「政府与党からみて、このようなネット・漫画・ゲーム・アニメ等の表現内容は好ましくない」等の漠然あるいは不明確な理由により、ネットへのフィルタリング、ペアレントコントロール、サイトブロッキング、アクセス警告方式などの各政策が安易に実施されることは許されない。

 そのため、「子供・若者をネットやSNSの犯罪被害から守るためとして、フィルタリングやペアレントコントロールなどを推進」とする本大綱(案)の本部分については、憲法や電気通信事業法などの関係法令に即して、慎重にも慎重な取り組みを求める。これはネット以外のリアル社会における漫画・ゲーム・アニメなどに対しても同様である。

(なお、ネット上の漫画等の海賊版対策として、総務省の監督・指示のもとに、民間ウイルス対策企業等がフィルタリング・サイトブロッキングなどの手法で海賊版対策を行う施策が検討・推進されているが、出版社などの著作権法上の経済的利益を守るために、国民の知る権利や表現の自由(憲法21条1項)、通信の秘密(同2項)などの国民の精神的人権を大きく侵害する施策を実施することは違法・違憲である(安心ネットづくり促進協議会「法的問題検討サブワーキング報告書」20頁、知的財産戦略本部「インターネット上の海賊版対策における検討会議」(2018年)、曽我部真裕・森秀弥・栗田昌裕「情報法概説 第2版」56頁)。にもかかわらず、国が国会審議や立法手当も経ずに海賊版対策の政策を推進することは、法律に基づく行政の原則・法治主義や民主主義の観点から大いに問題である。総務省の当該施策は中止を求める。)

■関連するブログ記事
・香川県ネット・ゲーム依存症対策条例素案を法的に考えた-自己決定権・条例の限界・憲法94条・ゲーム規制条例
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・ネット上のマンガ海賊版サイト対策としてのアクセス警告方式を考える-通信の秘密
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた



情報法概説 第2版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ