1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。
■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。
この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。
しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。
2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。
この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。
この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)
法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法
②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)
③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)
LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。
したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。
一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。
3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?
プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。
4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条の個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。
LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。
(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)
本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)
また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)
2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。
■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
 |
 |
 |
