なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:安全保障

LINEスコア
1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)

法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。

3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2


また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)

2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁



個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

LINEペイ
1.LINEペイの決済情報なども韓国のネイバー社サーバーに保存が発覚
LINEの個人情報漏洩・通信の秘密侵害が大きな問題となっています。

■前回のブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

朝日新聞の3月23日の続報によると、トークに投稿された画像・動画データの全データだけでなく、LINE Payによる利用者の決済に関する情報も、韓国のLINEの関連会社ネイバー(NVER)のサーバーに保存されていることが発覚したとのことです。

・LINE Pay情報、韓国に保管 加盟店の口座番号も|朝日新聞

2.金融分野における個人情報保護に関するガイドライン
(1)第8条(安全管理措置)
金融分野における個人情報保護ガイドライン8条は、個人情報保護法20条の安全管理措置の細目を定めていますが、金融機関は、①組織的安全管理措置、②人的安全管理措置および③技術的安全管理措置を講じなければならないと規定しています。

この③の技術的安全管理措置には、「個人データの管理区分の設定及びアクセス制御」などが含まれます。

この点、LINEは東京都新宿区に本社がありながら、なぜ日本の8600万人の利用者の画像・動画データの全てのデータや、LINEペイの利用者の決済情報などのデリケートな金融情報を、わざわざ海外の韓国のネイバー社のサーバーに保存していたのでしょうか?

例えば韓国のネイバー社に、LINEの決済を担当する金融事務センターがあるなどの合理的な理由がないと、日本の多くの利用者や、日本の個人情報保護委員会や金融庁などの各監督官庁は納得できないのではないでしょうか?

(日本の金融機関・保険会社なども、経費節減などの観点から、事務拠点を地方に置くことはよくありますが、わざわざ海外に置くという例はあまりないのではないでしょうか。お客様とのやり取りや、日本の税務当局や各行政当局とのやり取りとの関係で、あえて海外に事務拠点を置く理由はないように思われますが。)

(2)第3条(同意の形式)
また、金融分野ガイドライン3条は、個人情報保護法16条、23条、24条における「本人の同意」に関して、「文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認」を行わなければならないと規定しています。

この点、LINEペイのアプリをスマホにインストールした際に表れる本人の同意の画面はつぎのようになっています。

LINEペイの同意画面


この画面からそれぞれのプライバシーポリシーなどの画面にダイレクトに遷移できないのは今どきにしてはずいぶん利用者・消費者に不親切に思えます。とはいえ、「LINE Cashアカウント利用規定」、「LINEユーザー情報提供ポリシー」をPCからLINEサイトで確認すると、あまり本件には関係がいないようで、結局、LINEペイもLINE本体のLINEプライバシーポリシーに準拠するようです。

すると、前回のブログ記事でみたように、LINEプライバシーポリシーは、「5.パーソナルデータの提供」の部分で、利用者の個人データを外国の第三者に移転や提供することがあると規定されていますが、この「外国」韓国中国などの国名は明記されておらず、この点が不明確なままです。

LINEプライバシーポリシー「パーソナルデータの提供」

そのため、韓国などへの個人データの移転について日本の利用者の本人の同意はなされていないことになります。

したがって、LINEペイおよびLINEの韓国のネイバー社サーバーへの決済情報等の個人情報の移転は、やはり金融分野の個人情報ガイドライン3条に抵触しており、個人情報保護法24条に違反・抵触していることになります。

3.個人情報保護ガイドライン(外国にある第三者への提供編)
また、すでに報道されているとおり、LINEは中国企業に個人データに関する業務を委託しており、また再委託も行われています。

この点、個人情報保護委員会の個人情報保護ガイドライン(外国にある第三者への提供編)4-2-8(委託先の監督(法第22条の趣旨に沿った措置))は、事業者が外国にある第三者への個人データの委託等の提供を行う場合は、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握、の3つの段階で委託先の監督を行わなければならないとしています。

つまり、個人データの業務の委託を行おうとする委託元事業者は、まず、①委託先選定のための社内基準を策定し、その基準を満たす事業者を委託先としなくてはなりません。つぎに、②委託元事業者は、委託先に個人データの第三者提供禁止や目的外利用の禁止、守秘義務などを盛り込んだ契約書を委託先企業と締結しなければなりません。さらに、③委託元事業者は、例えば年1回など定期的に委託先事業者に立入検査を行うなどして、委託先の個人データの取扱状況の確認を行わなければなりません。

加えて、同ガイドライン(外国にある第三者への提供編)は、再委託についても、「委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条の趣旨に沿った安全管理措置を講ずることを十分に確認」しなければならないと規定しています。

つまり、委託元は、委託先を選定するのと同様に、自らがチェックあるいは委託先にチェックさせることにより、再委託先を選定し、委託契約を締結させ、さらに自らあるいは委託先に再委託先を定期的に立入検査するなどして、個人情報保護法20条の安全管理措置を講じなければならないのです。

にもかかわらず、LINEの経営幹部達が自社の個人データが中国企業に委託や再委託されていたことを知ったのは、ヤフージャパンとの統合を交渉中の本年1月の、外部からの告発によるとのことです。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

つまり、LINEは個人データの委託や再委託に関して、個人情報保護法22条、24条や、個人情報ガイドライン(外国にある第三者への提供編)4-2-8 などが定める委託のために講じなければならない手順をまったく実施していなかったことになります。LINEの経営幹部が後から委託・再委託を知ったというレベルなのですから。

ベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定して、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

LINEの広報部は「プライバシーポリシーに不明確な部分があったので、今後改正する」等と釈明しているようですが、問題はプライバシーポリシーを訂正して済むというレベルではもはやないようです。

すなわち、個人データの漏洩や滅失・棄損などを防止するための安全管理措置が、個人データの中国・韓国という外国への移転という場面でまったく講じられていなかったのですから、LINEの個人情報取扱事業者としての責任は重大であると思われます。

同時に、経営統合の過程で発覚したこの重大な不祥事を放置して、LINEとの経営統合に踏み切ったヤフージャパン・Zホールディングスの経営幹部の責任も重大です。LINEだけでなくヤフー・Zホールデングスの経営陣も、取締役の忠実義務・善管注意義務などの責任を追及されることは必至であると思われます。

4.規制強化の必要性・個人データの安全保障
なお現在、官民の個人情報保護法制を一元化するために、個人情報保護法の改正法案などが国会で審議中です。せっかくの機会ですから、今回のLINEの件やコロナ接触確認アプリCOCOAの開発・運営の迷走の件、日本年金機構の中国へのマイナンバーの漏洩疑惑の件、あるいはみずほ銀行のシステム障害の件などを踏まえ、国会は、個人データの委託・再委託やシステム開発・保守・運営などにおける委託の規定の規制強化・罰則の強化や、多重下請けや多重委託の禁止などのための立法を行うべきではないでしょうか。

また、LINEの件で明らかになったように、海外にある第三者への個人情報の移転は、国民の個人情報保護・プライバシー保護の問題であると当時に、国・企業の機微情報や営業秘密など、国家の主権や安全保障などに密接に関連する問題であることに鑑み、監督官庁の事前・事後の監督手続きの強化や罰則の強化などの規定を設けるべきではないでしょうか。

同時に、個人データの安全保障のために、企業や国・自治体・公的団体等は、日本の国民の個人データに関しては、その保存場所を国内のサーバー等に限定し、外国のサーバーなどに保存することを禁止する規定を個人情報保護法などに設けるべきではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・内閣府のゲーム依存・フィルタリング等に関する「子供・若者育成支援推進大綱(案)」パブコメに意見を書いてみた



新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ