4月23日、個人情報保護委員会は、LINE社に対して指導(個人情報保護法41条の指導)を行った旨のプレスリリースを発表しました。
・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会
同リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの外国にある第三者への移転に関する規制(法24条)については違反とは認定しなかったようです。(なお、同リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。LINE社に報告徴収などを行っている総務省、金融庁などの行政処分・行政指導はまだのようです。)
同リリースによると、LINEの委託先の監督(法22条)については、つぎの3点に不備があったとして、個人情報保護委員会は、委託先の監督(法22条)違反があったとして、改善するように指導(法41条)を行ったとしています。
①委託先に個人データへのアクセス権を付与する際には、その必要性や権限の範囲を社内で検討する等の技術的安全管理措置を講じるべきであったが不備があったこと
②委託先に個人データへのアクセス権を付与する際には、不正閲覧等の防止のためにログなどの保管・分析などの組織的安全管理措置が必要であるが、それに不備があったこと
③委託先の個人データの取扱状況の確認のために定期的に立入監査などを行い、委託の契約内容を適切に評価すべきであるが、それに不備があったこと
一方、LINEの個人データが韓国などに提供されていた点に関する、「外国にある第三者に個人データを提供する場合の制限」(法24条)に関しては、個人情報保護委員会は、現行法24条が、「本人の同意」を取得して外国にある第三者への個人データの移転を行う場合には、「外国にある第三者」に個人データを移転することさえプライバシーポリシーなどに記載しておけば、具体的な国名などの記載はなくてよいと大雑把にしか規定していないことから、「利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い」として、法24条については違反を認定していません。
この点は、利用者の保護に欠けると思われますが、現行法の法24条が大雑把にしか規定していないので、やむを得ないということなのでしょうか。
なお、2020年の個人情報保護法改正においては、「外国にある第三者に個人データを提供する場合の制限」(法24条)に関する事業者の義務が追加され、「本人の同意」の取得により外国にある第三者に個人データを提供する場合は、事業者は、①移転先の具体的な国名、②当該移転先の国の個人情報保護制度の有無、③当該個人情報保護制度がある場合にはその概要、④当該外国にある第三者のプライバシーポリシーなどを、事業者は利用者に情報提供することが義務付けられました(2020年改正法24条2項、佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁)。
ところで、同リリースで個人情報保護委員会は、「LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要」と述べています。
LINE社およびZホールディングスの経営陣は、この部分を胸に刻み、大いに反省すべきではないでしょうか。
■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた #峯村砲