1.LINEペイの決済情報なども韓国のネイバー社サーバーに保存が発覚
LINEの個人情報漏洩・通信の秘密侵害が大きな問題となっています。
■前回のブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
朝日新聞の3月23日の続報によると、トークに投稿された画像・動画データの全データだけでなく、LINE Payによる利用者の決済に関する情報も、韓国のLINEの関連会社ネイバー(NVER)のサーバーに保存されていることが発覚したとのことです。
・LINE Pay情報、韓国に保管 加盟店の口座番号も|朝日新聞
2.金融分野における個人情報保護に関するガイドライン
(1)第8条(安全管理措置)
金融分野における個人情報保護ガイドライン8条は、個人情報保護法20条の安全管理措置の細目を定めていますが、金融機関は、①組織的安全管理措置、②人的安全管理措置および③技術的安全管理措置を講じなければならないと規定しています。
この③の技術的安全管理措置には、「個人データの管理区分の設定及びアクセス制御」などが含まれます。
この点、LINEは東京都新宿区に本社がありながら、なぜ日本の8600万人の利用者の画像・動画データの全てのデータや、LINEペイの利用者の決済情報などのデリケートな金融情報を、わざわざ海外の韓国のネイバー社のサーバーに保存していたのでしょうか?
例えば韓国のネイバー社に、LINEの決済を担当する金融事務センターがあるなどの合理的な理由がないと、日本の多くの利用者や、日本の個人情報保護委員会や金融庁などの各監督官庁は納得できないのではないでしょうか?
(日本の金融機関・保険会社なども、経費節減などの観点から、事務拠点を地方に置くことはよくありますが、わざわざ海外に置くという例はあまりないのではないでしょうか。お客様とのやり取りや、日本の税務当局や各行政当局とのやり取りとの関係で、あえて海外に事務拠点を置く理由はないように思われますが。)
(2)第3条(同意の形式)
また、金融分野ガイドライン3条は、個人情報保護法16条、23条、24条における「本人の同意」に関して、「文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認」を行わなければならないと規定しています。
この点、LINEペイのアプリをスマホにインストールした際に表れる本人の同意の画面はつぎのようになっています。
この画面からそれぞれのプライバシーポリシーなどの画面にダイレクトに遷移できないのは今どきにしてはずいぶん利用者・消費者に不親切に思えます。とはいえ、「LINE Cashアカウント利用規定」、「LINEユーザー情報提供ポリシー」をPCからLINEサイトで確認すると、あまり本件には関係がいないようで、結局、LINEペイもLINE本体のLINEプライバシーポリシーに準拠するようです。
すると、前回のブログ記事でみたように、LINEプライバシーポリシーは、「5.パーソナルデータの提供」の部分で、利用者の個人データを外国の第三者に移転や提供することがあると規定されていますが、この「外国」に韓国や中国などの国名は明記されておらず、この点が不明確なままです。
そのため、韓国などへの個人データの移転について日本の利用者の本人の同意はなされていないことになります。
したがって、LINEペイおよびLINEの韓国のネイバー社サーバーへの決済情報等の個人情報の移転は、やはり金融分野の個人情報ガイドライン3条に抵触しており、個人情報保護法24条に違反・抵触していることになります。
3.個人情報保護ガイドライン(外国にある第三者への提供編)
また、すでに報道されているとおり、LINEは中国企業に個人データに関する業務を委託しており、また再委託も行われています。
この点、個人情報保護委員会の個人情報保護ガイドライン(外国にある第三者への提供編)4-2-8(委託先の監督(法第22条の趣旨に沿った措置))は、事業者が外国にある第三者への個人データの委託等の提供を行う場合は、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握、の3つの段階で委託先の監督を行わなければならないとしています。
つまり、個人データの業務の委託を行おうとする委託元事業者は、まず、①委託先選定のための社内基準を策定し、その基準を満たす事業者を委託先としなくてはなりません。つぎに、②委託元事業者は、委託先に個人データの第三者提供禁止や目的外利用の禁止、守秘義務などを盛り込んだ契約書を委託先企業と締結しなければなりません。さらに、③委託元事業者は、例えば年1回など定期的に委託先事業者に立入検査を行うなどして、委託先の個人データの取扱状況の確認を行わなければなりません。
加えて、同ガイドライン(外国にある第三者への提供編)は、再委託についても、「委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条の趣旨に沿った安全管理措置を講ずることを十分に確認」しなければならないと規定しています。
つまり、委託元は、委託先を選定するのと同様に、自らがチェックあるいは委託先にチェックさせることにより、再委託先を選定し、委託契約を締結させ、さらに自らあるいは委託先に再委託先を定期的に立入検査するなどして、個人情報保護法20条の安全管理措置を講じなければならないのです。
にもかかわらず、LINEの経営幹部達が自社の個人データが中国企業に委託や再委託されていたことを知ったのは、ヤフージャパンとの統合を交渉中の本年1月の、外部からの告発によるとのことです。
・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞
つまり、LINEは個人データの委託や再委託に関して、個人情報保護法22条、24条や、個人情報ガイドライン(外国にある第三者への提供編)4-2-8 などが定める委託のために講じなければならない手順をまったく実施していなかったことになります。LINEの経営幹部が後から委託・再委託を知ったというレベルなのですから。
ベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定して、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。
LINEの広報部は「プライバシーポリシーに不明確な部分があったので、今後改正する」等と釈明しているようですが、問題はプライバシーポリシーを訂正して済むというレベルではもはやないようです。
すなわち、個人データの漏洩や滅失・棄損などを防止するための安全管理措置が、個人データの中国・韓国という外国への移転という場面でまったく講じられていなかったのですから、LINEの個人情報取扱事業者としての責任は重大であると思われます。
同時に、経営統合の過程で発覚したこの重大な不祥事を放置して、LINEとの経営統合に踏み切ったヤフージャパン・Zホールディングスの経営幹部の責任も重大です。LINEだけでなくヤフー・Zホールデングスの経営陣も、取締役の忠実義務・善管注意義務などの責任を追及されることは必至であると思われます。
4.規制強化の必要性・個人データの安全保障
なお現在、官民の個人情報保護法制を一元化するために、個人情報保護法の改正法案などが国会で審議中です。せっかくの機会ですから、今回のLINEの件やコロナ接触確認アプリCOCOAの開発・運営の迷走の件、日本年金機構の中国へのマイナンバーの漏洩疑惑の件、あるいはみずほ銀行のシステム障害の件などを踏まえ、国会は、個人データの委託・再委託やシステム開発・保守・運営などにおける委託の規定の規制強化・罰則の強化や、多重下請けや多重委託の禁止などのための立法を行うべきではないでしょうか。
また、LINEの件で明らかになったように、海外にある第三者への個人情報の移転は、国民の個人情報保護・プライバシー保護の問題であると当時に、国・企業の機微情報や営業秘密など、国家の主権や安全保障などに密接に関連する問題であることに鑑み、監督官庁の事前・事後の監督手続きの強化や罰則の強化などの規定を設けるべきではないでしょうか。
同時に、個人データの安全保障のために、企業や国・自治体・公的団体等は、日本の国民の個人データに関しては、その保存場所を国内のサーバー等に限定し、外国のサーバーなどに保存することを禁止する規定を個人情報保護法などに設けるべきではないでしょうか。
■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・内閣府のゲーム依存・フィルタリング等に関する「子供・若者育成支援推進大綱(案)」パブコメに意見を書いてみた
 |
 |
 |
