なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:安全管理措置

display_monitor_computer
東京都調布市が「調布市個人情報保護法施行条例(案)の概要」のパブコメ手続きを行っていたので、私も次のような意見を作成して送ってみました(2022年10月11日まで)。

・「(仮称)調布市個人情報保護法施行条例(案)の概要」へのご意見をお寄せください|調布市

1.「個人情報」の定義についてー改正調布市個人情報保護条例(以下「改正条例」とする)3条2号
個人情報の定義が「生存する」をつけない「個人に関する情報(以下略)」となっているが、死者の個人情報も含むのか、生存する個人に関する情報に限るのか、規定を明確化すべきではないか。

2.条例要配慮個人情報についてー改正条例3条
改正条例3条に要配慮個人情報の定義が存在せず、個人情報保護法にすでに要配慮個人情報の定義規定があるので条例要配慮個人情報の規定は改正条例に設けない方針とのことであるが、改正条例5条2項各号には要配慮個人情報に類する事項の規定があるところ、同2項2号の「社会的差別の原因となる個人情報」には、調布市の実務において個人情報保護法2条3項が列挙する事項以外の事項が存在しないか調査は行われているのであろうか(例えば信仰、病歴、障害歴、ワクチン接種等の履歴、本籍地、資産情報、金融情報など)。もし存在するのであれば、条例要配慮個人情報として明文で定義規定を置くべきではないか。

3.安全管理措置についてー改正条例8条の条文名、2項、4項、同10条1項
改正条例8条、10条の「適正管理」または「適正な管理」は、個人情報保護法66条にそろえて「安全管理」または「安全な管理」に用語をそろえては如何でしょうか。

4.オンライン結合の制限規定についてー改正条例13条
改正条例13条に現行条例13条と同様のオンライン結合の制限規定があることに賛成いたします。

国や企業等による個人情報の利活用だけでなく、主権者たる市民・国民の「個人の権利利益の保護」(個人情報保護法1条)と、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との個人情報保護法制の趣旨・目的に照らすと、市民・国民個人の個人情報とプライバシー権の保護を重視する調布市の姿勢に賛成します。

5.開示請求手続きにおける実施機関以外のものとの協議についてー改正条例16条5項
2021年11月に発覚した調布市つつじが丘のNEXCO東日本による陥没事故の被害者住民の情報公開請求に係る個人情報漏洩事件を踏まえ、改正条例16条5項に「ただし、当該開示決定等に係る保有個人情報の安全管理を徹底し、当該実施機関以外のものに当該保有個人情報の漏洩等が発生しないようにして、開示請求者の権利利益を保護しなければならない。」等のただし書きを設けるべきではないか。

6.利用停止・外部提供の停止についてー改正条例26条1号、2号
改正条例26条1号の利用停止又は消去の要件の部分に、「個人情報保護法63条の定める不適正利用が行われたとき」を追加すべきではないか。また改正条例26条2号の外部提供の停止の要件の部分に、「個人情報保護法68条の定める個人情報の漏洩等が発生した場合その他本人の権利または正当な利益が害されるおそれがあるとき」を追記すべきではないか。

7.行政機関等匿名加工情報についてー「調布市個人情報保護法施行条例(案)の概要について(説明資料)」2頁の図表3の「ウ行政機関等匿名加工情報(改正法第109条等)の作成・提供」
改正条例に行政機関等匿名加工情報の規定を設けないとの調布市の判断に賛成いたします。

国や企業等による個人情報の利活用だけでなく、主権者たる市民・国民の「個人の権利利益の保護」(個人情報保護法1条)と、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との個人情報保護法制の趣旨・目的に照らすと、市民・国民個人の個人情報とプライバシー権の保護を重視する調布市の姿勢に賛成します。

(注:今回の令和3年改正対応の個人情報保護法改正では、市区町村に対しては行政機関等匿名加工情報の規定の設置は義務とはなっていない。)

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?



[広告]












このエントリーをはてなブックマークに追加 mixiチェック

LINE
4月23日、個人情報保護委員会は、LINE社に対して指導(個人情報保護法41条の指導)を行った旨のプレスリリースを発表しました。

・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会

同リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの外国にある第三者への移転に関する規制(法24条)については違反とは認定しなかったようです。(なお、同リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。LINE社に報告徴収などを行っている総務省、金融庁などの行政処分・行政指導はまだのようです。)

同リリースによると、LINEの委託先の監督(法22条)については、つぎの3点に不備があったとして、個人情報保護委員会は、委託先の監督(法22条)違反があったとして、改善するように指導(法41条)を行ったとしています。

①委託先に個人データへのアクセス権を付与する際には、その必要性や権限の範囲を社内で検討する等の技術的安全管理措置を講じるべきであったが不備があったこと

②委託先に個人データへのアクセス権を付与する際には、不正閲覧等の防止のためにログなどの保管・分析などの組織的安全管理措置が必要であるが、それに不備があったこと

③委託先の個人データの取扱状況の確認のために定期的に立入監査などを行い、委託の契約内容を適切に評価すべきであるが、それに不備があったこと

一方、LINEの個人データが韓国などに提供されていた点に関する、「外国にある第三者に個人データを提供する場合の制限」(法24条)に関しては、個人情報保護委員会は、現行法24条が、「本人の同意」を取得して外国にある第三者への個人データの移転を行う場合には、「外国にある第三者」に個人データを移転することさえプライバシーポリシーなどに記載しておけば、具体的な国名などの記載はなくてよいと大雑把にしか規定していないことから、「利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い」として、法24条については違反を認定していません。

この点は、利用者の保護に欠けると思われますが、現行法の法24条が大雑把にしか規定していないので、やむを得ないということなのでしょうか。

なお、2020年の個人情報保護法改正においては、「外国にある第三者に個人データを提供する場合の制限」(法24条)に関する事業者の義務が追加され、「本人の同意」の取得により外国にある第三者に個人データを提供する場合は、事業者は、①移転先の具体的な国名、②当該移転先の国の個人情報保護制度の有無、③当該個人情報保護制度がある場合にはその概要、④当該外国にある第三者のプライバシーポリシーなどを、事業者は利用者に情報提供することが義務付けられました(2020年改正法24条2項、佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁)。

ところで、同リリースで個人情報保護委員会は、「LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要」と述べています。

LINE社およびZホールディングスの経営陣は、この部分を胸に刻み、大いに反省すべきではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた #峯村砲









このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.はじめに
朝日新聞の3月17日の報道によると、通信アプリLINE(国内の月間利用者約8600万人)が、中国の関連会社にシステム開発を委託し、同社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことが発覚したとのことです。LINEは個人情報保護委員会に報告を行うとともに、第三者委員会を設置して調査を行うとのことです。このブログ記事では、本漏洩事故について、おもに個人情報保護法および電気通信事業法から検討してみたいと思います。

・LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞
■関連
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

2.事実の概要-漏洩したおそれのある個人情報
(1)中国の関連会社
朝日新聞によると、LINEはAIなどの開発を中国の関連会社に委託し、同社の技術者らが日本のLINEのサーバーに保管されている、利用者のLINEID、氏名、電話番号、メールアドレス、利用者の書き込み(「トーク」)などの個人情報・個人データにアクセスすることができたとされています。また、アクセス可能であった期間は2018年8月から2021年2月24日までだったとのことで、同社から少なくとも32回、サーバーへのアクセスが確認されているとのことです。朝日新聞3月17日の35面の記事によると、LINEは中国関連会社によるアクセスが「何の目的で、どのような情報にアクセスしていたか不明」であるとのことです。

(2)大連の業務委託
さらにLINEはタイムラインなどのサービスでの不適切な書き込みなどを監視する目的で、日本の通信業務代行会社に業務を委託し、同社が中国遼寧省の大連にある中国法人に業務を再委託していたとのことです。大連の中国法人も、業務のために日本のLINEのサーバーにアクセスし、トークや画像、動画などの監視業務を行っていたとのことです。

3.個人情報保護法
(1)個人情報保護法22条(委託先の監督)
個人情報保護法20条は、LINEなどの個人情報取扱事業者に対して、「個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定し、保有する個人データの漏洩、滅失または毀損の防止のために「安全管理措置」を講じなければならないと規定しています。この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「8-6 技術的安全管理措置」は、不要な個人データ等に従業員等がアクセスできないようにするなどの「アクセス制御」などの措置を実施するように事業者に求めています。

そして、同22条は、事業者が個人データの取扱を委託する場合には、その委託先において個人データの安全管理措置が講じられるように、当該委託先を監督しなければならないと規定しています(委託先の監督)。この委託元の委託先の監督の責任には、当然、再委託先の監督を行う責任も含まれます。

(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「3-3-4 委託先の監督(法第22条関係)」はつぎのように規定しています。

個人情報保護法ガイドライン(通則編)
3-3-4 委託先の監督(法第22条関係)
「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
(1)適切な委託先の選定
(2)委託契約の締結
(3)委託先における個人データ取扱状況の把握」

そして、「【委託を受けた者に対して必要かつ適切な監督を行っていない事例】」として、「事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」を挙げています。

LINEは、中国の関連会社などに自社の個人データの取扱の一部を委託していたわけですが、中国の関連会社からLINEの日本のサーバーへのアクセスが「何の目的で、どのような情報にアクセスしていたか不明」という状態であったのですから、委託先への監督が不十分であったとして、個人情報保護法22条に違反・抵触しているおそれがあるのではないでしょうか。

2014年のベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定し、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

個人情報保護法22条の委託先の監督は、いわば法20条の安全管理措置の委託先バージョンです。そのため、もしLINEの個人情報漏洩について利用者から損害賠償を求める民事訴訟が提起された場合、ベネッセ事件と同様に裁判所がLINEの安全管理措置の違背を認定し、損害賠償責任を認める可能性はあるのではないでしょうか。

(2)個人情報保護法24条(外国にある第三者への提供の制限)
つぎに、平成27年の法改正で新設された個人情報保護法24条は、外国にある第三者への提供の制限に関する規定を置いています。

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

すなわち、①提供先の第三者(=事業者など)が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合②提供先の事業者が所在する外国の個人情報保護法制が日本と同等の水準にあると認められる場合には、個人情報保護法23条1項各号のいずれかの提供方法(本人同意、オプトアウト、委託・合併・共同利用)で個人データを提供することができます。しかし、①②に該当しない場合は、③外国の第三者への提供を認める旨の本人の同意が必要となります(法24条)

この点、②の「外国の個人情報保護法制が日本と同等と認められる場合」の外国については、個人情報保護委員会が個人情報保護の観点や外交上の観点から、「ホワイトリスト方式」(日本版十分性認定)による規則を定めることとされており、この点、個人情報保護委員会は、2019年1月にEUおよびイギリスを、「外国の個人情報保護法制が日本と同等と認められる外国」に認定する規則を制定しています(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)。したがって、EUおよびイギリスではない中国、韓国は②には該当しません。

また、①「提供先の第三者が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合」の「事業者が講じる体制」については、個人情報保護法ガイドラインは、APEC‐CBPRに適合している事業者であればこの要件を満たすとしていますが、LINEの件ではこの点は報道ではまだよくわかりません。(しかしこの点をLINE側が積極的にアピールしていない以上は、LINEの委託先・再委託先の事業者はこの要件を満たしていないと考えたほうよいのではないかと思われます。)

そうなると、NINEとしては、③の「外国の第三者への提供を認める旨の本人の同意」が必要となります(法24条)。

この点、LINEのプライバシーポリシーをみると、「5.パーソナルデータの提供」は、つぎのように、「当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。」と規定しています。

LINEプライバシーポリシー「パーソナルデータの提供」
(LINEプライバシーポリシーより)

・LINEプライバシーポリシー

法24条の③の「外国の第三者への提供を認める旨の本人の同意」の「外国」については、改正法の立案担当者は、「原則として国レベルで足りると解されているが、州レベルで差異が激しい場合は国名だけでなく州名もあげるべき」としており、最低限、国レベルの明示は必要であるとしています(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』143頁)。

したがって、プライバシーポリシーにおいて、中国の国名をあげずに「第三国」とのみしか標記していないNINEは、個人情報保護法24条に違反・抵触しているおそれがあります。

■追記(2021年3月26日)
この個人情報保護法24条の「外国」の国名の表示が必要か否かについては、次のブログ記事もご参照ください。

・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

すなわち、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、法24条の外国の国名を明示しなくてもよい場合の具体例を3つ例示しています。しかし、LINEはその3つの具体例のどれにも当てはまらないので、結論としてLINEはプライバシーポリシーで個人データの移転先の国名を明示することが必要であり、やはり個人情報保護法24条・個人情報ガイドラインQA9-2、9-3に抵触・違反しているものと思われます。

4.電気通信事業法など
LINEは電気通信事業者であり(届出電気通信事業者A-20-9913)、電気通信事業法上の責任を負っています。

憲法21条2項は「通信の秘密を規定し、これを受けて電気通信事業法4条通信の秘密の規定を置いています。また、同179条通信の秘密漏洩について罰則規定を置いています。さらに同28条、施行規則57条は、通信の秘密侵害に関する重大事故が発生した場合は、事業者は総務大臣に速やかな報告を行うとともに、30日以内に詳細な報告を行わなければならないと規定しています(業務の停止等の報告)。

この「通信の秘密」には、「通信の内容」だけでなく、「通信の外形的事項」(通信のメタデータ、通信の構成要素、通信データ)も含まれ、通信の送信者・受信者、宛先の住所・電話番号・メールアドレス、通信の個数や通信日時などが含まれるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決)。

今回の漏洩事故においては、「トーク」という「通信内容」とともに、「利用者のLINEID、氏名、電話番号、メールアドレス」などの「通信の外形的事項」に関する情報も漏洩したおそれがあるため、本漏洩事故は、電気通信事業法4条にも違反・抵触しているおそれがあります。

なお、電気通信事業法の「通信の秘密」に関しては、3月10日に総務省から楽天モバイルに対して行政指導が出されたばかりです。

・楽天モバイル株式会社に対する個人情報及び通信の秘密の保護の徹底に係る措置(指導)|総務省

さらに、LINEは信用スコア、融資、決済サービス、証券業、FX、仮想通貨、生命保険・損害保険などの事業も行っているため、LINEは金融庁に報告を行う必要があるものと思われます(「金融分野における個人情報保護に関するガイドライン」17条、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-6-1、6-6-1、保険業法100条の2、保険業法施行規則53条の8)。

また、LINEは、コロナに関するアンケート調査を2020年に複数回実施し、その結果を厚労省などに提供しています。また、近年LINEは、利用者が医者にLINEアプリで医療に関する相談などを行える事業(LINEヘルスケア)も展開しています。加えて、利用者が弁護士に相談を行える事業も実施しています。とくにコロナや医療に関する医療データ・傷病データは、個人情報のなかでもデリケートなセンシティブ情報(要配慮個人情報)です。

さらに、LINEは「LINEキャリア」などにおいて人材紹介ビジネスも行っているようです。履歴書・職務経歴書などをLINE上で作成して求人企業などに応募できるサービスや、LINE上でのユーザーの閲覧履歴・検索履歴などから求人企業とのマッチングなどを行っているようですが、2019年のリクナビ事件のように、就職活動・転職活動はこれもデリケートな個人情報保護やプライバシー保護が必要な分野です(職業安定法5条の4、厚労省指針通達平成11年第141号第4)。そのため、LINEは厚労省などに対しても報告を行う必要があると思われます。

(リクナビ事件に関する、厚労省および個人情報保護委員会の行政処分など)
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会

さらに、LINEがもし欧州に支店などを設置するなどして、欧州市民の個人データを取扱っていた場合は、GDPRに基づく迅速な報告が必要となります。

5.まとめ
この漏洩事故について、湯浅墾道・情報セキュリティ大学院大学副学長(情報法)は、「何の目的でどの情報にアクセスがあり、それがどの情報なのかをLINEが把握できていないのであれば、情報漏洩の恐れのある重大事故と言い得る」「政府や自治体はLINEとの連携の内容を再確認すべきだ。」と朝日新聞3月17日付の記事(35面)にコメントを寄せておられますが、まさにその通りであると思われます。

本漏洩事故は、日本の約8600万人のセンシティブな医療データ・金融データなどを含む個人情報・個人データおよび通信の秘密の漏洩事故であり、しかもその分野が情報通信、金融・保険、医療、雇用、国・自治体の行政サービスなどさまざまな分野におよぶという点で前例のない重大な個人情報漏洩事故です。

■追記(2021年3月17日20時)
朝日新聞の3月17日19時の続報によると、LINEはトークに投稿されたすべての画像・動画データ韓国の関連会社ネイバー(NAVER)のサーバーに保管していることがわかったとのことです。また、LINEもようやくプレスリリースを公表したようです。

・日本のLINE利用者の画像・動画全データ、韓国で保管|朝日新聞
・ユーザーの個人情報に関する一部報道について|LINE

個人情報保護法24条の「外国にある第三者への提供」の問題に、中国だけでなく韓国も加わったことになります。

しかし「すべて」の画像・動画データが韓国のサーバーにあるというのは驚きです。この画像・動画データには、当然、LINEヘルスケアや、厚労省が委託したコロナに関するアンケート調査などの日本国民の医療データ・傷病データなどのセンシティブ情報(要配慮個人情報)や、金融資産などに関するデリケートな個人情報も含まれているはずです。

上でみたように、LINEのプライバシーポリシーに、個人データの提供先に「韓国」が明示されていない以上、本人の同意は得られておらず、LINEは韓国のサーバーとの関係でも個人情報保護法24条に違反しているものと思われます。

また、上でもみたように、個人情報保護法20条および同ガイドラインは、個人情報取扱事業者に個人データのアクセス制御などの安全管理措置をとることを要求し、同22条は委託先の監督の義務を課しており、同ガイドラインは委託先がアクセス可能なデータは委託の目的から必要最低限にすること等を求めていますが、すべての画像・動画データが韓国のサーバーにあるというLINEの状況は、個人情報保護法20条、22条の安全管理および委託先の管理の法的義務を完全に逸脱したものであり違法です。

個人データの越境の問題は、通信の秘密、個人データ保護、プライバシー保護の問題であるとともに、企業の営業秘密や国の警察活動や安全保障・外交の問題でもあります。LINEの問題が今後どう進展してゆくか大いに注目されます。

■追記(2021年3月19日13時)
3月19日、NHKなどの報道によると、総務省は自省がLINEにより行っている行政サービス(意見募集や問い合わせ対応)を停止するとともに、全国の自治体に対して、LINEを使った行政サービスの利用状況を3月26日までに報告するよう求めることを決定したとのことです。また、政府は、内閣官房を含め、各省庁におけるLINEの利用状況の確認を始めたとのことです。さらに、個人情報保護委員会は現在、LINEに対して報告を求めている状況とのことです。

・LINEでの行政サービス停止 総務省|NHK

■追記(2021年3月20日)
3月19日、LINEに対して総務省は、個人情報、通信の秘密およびサイバーセキュリティ上の支障等に関して電気通信事業法166条1項に基づき報告徴収を行ったとのことです。また同日、個人情報保護委員会もLINEに対して、個人情報保護法40条に基づき報告徴収を行ったとのことです。さらに、ZホールディングスはLINEの問題について調査委員会を設置したとのことです。

・LINE株式会社に対する報告徴収|総務省
・第168回個人情報保護委員会を開催しました|個人情報保護委員会
・総務省 LINEに報告求める 中国の会社のアクセス問題で|NHK
・政府の個人情報保護委員会 LINEに報告求める|NHK
・外部有識者による、グローバルなデータガバナンスに関する特別委員会の開催のお知らせ|Zホールディングス

■追記(2021年3月21日)
3月21日付の朝日新聞の記事によると、LINEの個人データの中国や韓国の委託先・関連企業での違法・不当な取扱については、ヤフージャパンとLINEとの経営統合の話し合いの過程のなかで、遅くとも2021年1月には、ヤフージャパンも知るところとなったとのことです。
もしこれが事実であれば、LINEの経営陣だけでなく、経営統合のため動いていたヤフージャパンの経営陣や親会社のZホールディングスの経営陣の責任問題となるのではないでしょうか。
つまり、会社の経営陣は「取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない」という取締役の忠実義務の責任を負っています(会社法355条、民法644条)。この「法令」には個人情報保護法や電気通信事業法などはもちろん含まれます。そして、取締役に任務の懈怠などがあった場合は、その取締役は会社に対して損害賠償責任を負うこととなります(会社法423条)。このような事態となれば、LINEだけでなくヤフージャパンやZホールディングスは、株主からの株主代表訴訟を提起される法的リスクも負うことになります(会社法847条)。
なお、取締役の忠実義務に関しては経営判断の原則が問題となりますが、この経営判断も、あくまでも法令を遵守した上での経営者の経営上のリスクテイクなどの判断の是非が問題となるのであって、「違法な経営判断」が経営判断原則で合法化・正当化されるわけではありません(前田庸『会社法入門 第12版』412頁)。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

■追記(2021年3月31日)
個人情報保護委員会は3月26日に中間報告のプレスリリースを公表しました。それによると、LINEから報告書が提出されたものの、資料が不十分なため、個人情報保護法22条および24条について適法かどうかについて今後も調査を行うこと、中国からのアクセスが遮断されているかどうか引き続き監督を行うことなどが説明されています。また、報道によると、3月31日に個人情報保護委員会は、LINEとZホールディングスに対して立入検査を実施したとのことです。

・個人情報の保護に関する法律に基づく行政上の対応について(令和3年3月26日)|個人情報保護委員会
・LINEなどに立ち入り検査を実施 政府の個人情報保護委員会|NHK

■追記(2021年4月7日)
個人情報保護委員会の4月7日付のプレスリリースで公表されているLINEの個人情報に関する2回目の中間報告(「LINE(株)の個人情報の取扱いに関する対応について」)によると、個人情報保護委員会は現在もLINEの調査を継続中のようです。LINEの利用再開を開始した一部の官庁や自治体は、勇み足なのではないでしょうか。

・第171回 個人情報保護委員会|個人情報保護委員会

■追記(2021年4月23日)
4月23日、個人情報保護委員会は、LINE社に対して行政指導を行った旨のプレスリリースを発表しました。

・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会

・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの海外への移転に関する規制(法24条)については違反とは認定しなかったようです。法24条に関しては、現行法が大雑把にしか規定していないのでやむを得ないということなのでしょうか。なお、リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。

とはいえ、LINE社およびZホールディングスの経営陣は、個人情報保護委員会のプレスリリースの次のくだりを胸に刻み、大いに反省すべきではないでしょうか。

LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要

LINE行政指導1
LINE行政指導2

■追記(2021年4月26日)
4月26日、総務省はLINEに対する行政指導を行ったとのプレスリリースを発表しました。

・LINE株式会社に対する指導

・LINEの通信の秘密の問題に対して総務省が行政指導を実施

■追記(2021年4月30日)
内閣官房、個人情報保護委員会、金融庁、総務省は4月30日、「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を公表しました。

・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

同ガイドラインは国・自治体等の行政機関に対して、LINEサービスの利用について、①個人情報や機密情報に関する取扱いは原則禁止とし、相談業務サービスなどをLINE上で実施する場合にはLINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること等、②国・自治体等が個人アカウントで機密情報等を取扱うことの禁止、などを規定しています。
国・自治体のLINEガイドライン

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・前田庸『会社法入門 第12版』412頁

■関連するブログ記事
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ