1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。
このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。
・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE
2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。
(LINE社の「LINEプライバシーポリシー変更のご案内」より)
そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。
情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
(LINE社の「LINEプライバシーポリシー変更のご案内」より)
この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。
3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。
この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。
そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。
すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。
そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。
A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。
事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること
事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること
これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)
(個人情報保護法ガイドラインQA7-41より)
したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。
この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。
そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。
4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。
また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。
しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。
5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?
(LINEプライバシーポリシーより)
LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。
6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。
(「LINEプライバシーポリシー変更のご案内」より)
つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。
7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。
(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)
(LINE社のプライバシーポリシーより)
8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。
また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。
LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。
このブログ記事が面白かったらブックマークやシェアをお願いします!
■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁
■関連する記事
・2022年の改正職業安定法・改正個人情報保護法とネット系人材紹介会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題
