なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:峯村砲

1634668211929

このブログ記事の概要
本年3月に個人情報の問題が発覚したLINE社は、10月の有識者委員会の最終報告書を受けて個人情報の安全管理や委託先の監督、社内のコンプライアンスやガバナンスの強化を誓ったはずであるが、再び委託先の職員がGitHubへのLINEPayの個人情報漏洩事故を起こしたことは、個人情報保護法、資金決済法、ベネッセ個人情報漏洩事件判決等や、コンプライアンス、ガバナンスとの関係で非常に問題である。

1.LINE Pay の約13万人の決済情報がGitHub上に公開されていたことが発覚
2021年12月6日のITmediaニュースなどの報道や、LINE社のプレスリリースによると、通信アプリ大手LINE社の決済サービスLINE Payについて、約13万人分のアカウントの決済情報などの個人データが、LINE社の業務委託先の関連会社の従業員により、ソフトウェア開発のプラットフォームサイトのGitHub上で公開されていたことが発覚したとのことです。
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE

(関連記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密

2.事案の概要
LINE社のプレスリリースによると、LINE Payのポイント付与漏れの調査について、LINE社からグループ会社に調査の業務委託を行ったところ、当該調査を行うためのプログラムおよび対象となる決済に関する情報を、委託先のグループ会社の従業員が、GitHub上にアップロートし公開状態にしてしまい、それが閲覧できる状態になっていたとのことです。

公開状態になった情報のアカウント数は、133484件で、うち日本国内は51543アカウント、残り約8万件は海外のユーザーのアカウントであるとのことです。そして公開状態になった決済情報等の期間は2020年12月26日から2021年4月2日まで、そしてこれらの決済情報等が公開状態になっていた期間は、2021年9月12日から2021年11月24日までであったそうです。

また、公開状態になっていた情報は、対象ユーザーの識別子(LINEのアプリケーション内でユーザーを識別するためにプログラムにより自動的に割り当てられた識別子)、加盟店管理情報、キャンペーン情報であり、このキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれるとのことです。(氏名、住所、クレジットカード番号などの漏洩は確認されていない。)

そしてこの公開状態になっていた決済情報等に対しては、LINE社の調査の結果、11件の外部からのアクセスが確認されたとのことです。

2021年11月24日に、LINE社のモニタリング業務でGitHub上に決済情報等が公開されていることが発覚し、同日、LINE社はGitHub上の当該情報の削除を行い、11月30日にアクセス状況などの調査を完了し、同社は12月6日に、情報が漏洩したユーザーに対して通知を実施したとのことです。

3.検討
(1)個人情報保護法
今回GitHub上に公開状態となった、ユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などは、「個人に関する情報であって」、「当該情報…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるので、個人情報(個人情報保護法2条1項1号)に該当し、個人データです(同法2条6項)。とくにユーザー識別子はそれ自体は数字や英数字などの羅列にすぎないとしても、LINE社内の顧客の個人情報データベースで名寄せすれば、容易にユーザー識別子から特定の個人を識別できるので個人情報・個人データに該当します(個人情報保護法ガイドラインQ&A1-15など)。

(なお、ユーザー識別子がかりにLINE社内の顧客個人データベースと容易に照合できず、個人情報に該当しない場合であったとしても、2022年4月から施行される令和2年改正個人情報保護法で新設された「個人関連情報」(法26条の2)には該当することになります(佐脇紀代志『一問一答令和2年個人情報保護法』62頁)。)

そのため、LINE社は自社が保有する個人データについて、漏えい、滅失又はき損の防止などのために安全管理措置を講じることが要求されます(同法20条)。また、個人情報保護法は、個人情報を取扱う事業者に対して、自社の社内の安全管理措置だけでなく、安全管理措置の一環として、従業員の監督(同法21条)と委託先の監督(同法22条)を実施することを要求しています。

そして、個人情報保護委員会・金融庁「金融分野における個人情報の保護に関するガイドライン」(平成29年2月)8条は安全管理措置に関して金融機関は組織的安全管理措置・人的安全管理措置・技術的安全管理措置を講じなければならないとしています。また、同ガイドライン10条は委託先の監督について規定しています。

本年3月に、①LINE社の日本国内のLINEの個人情報が中国の委託先からアクセス可能であったことや、②日本国内のLINEの画像データ・動画データなどがすべてLINE社の韓国の関連会社のサーバーに保存されていたこと等が発覚し、大きな社会的問題となりましたが、今回の事件においても、LINE社は個人データの安全管理のうち、委託先への監督の部分が非常に弱く、問題が多いように見受けられます。また、委託先からのアクセス制御などが十分でないこともLINE社の抱える問題のように思われます。

この点、「金融分野における個人情報の保護に関するガイドライン」8条は、金融機関の事業者は、①組織的安全管理措置において、業務の委託に関して規程を整備することを要求し、また、②技術的安全管理措置においては、委託先や従業員などに適切なアクセス制御を行うことを要求しています。さらに、③同ガイドライン10条(委託先の管理)は、金融機関の事業者は、(a)委託先が個人データに関して適切な安全管理措置を講じることができるか、立入検査を行うなどして、あらかじめ十分に確認することや、(b)業務委託契約において個人データの取扱や、目的外利用の禁止、漏洩事故発生時の対応などを明記し、(c)定期的に立入検査を実施して委託先の安全管理の状況を確認することなどを規定しています。

今回の事件では、LINE社がポイント付与漏れの調査をグループ会社に委託したとのことですが、当該グループ会社が個人データの安全管理を十分に実施できる体制にあることを、LINE社の個人データ管理責任者などが委託先の選定基準などの規程に基づき十分にチェックしたのか、個人データ保護責任者などがあらかじめ当該グループ会社を立入検査するなどして、現場の安全管理の状況を十分確認したのかなどが問われると思われます。

また、ポイント付与漏れの調査のために、13万件のユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などの個人データをそのままグループ会社に提供する方法に問題がなかったのか、また今回のポイント付与漏れの調査のために、①グループ会社の従業員がGitHubなど外部のネットワークにアクセスすることが必要だったのか、②GitHubなど外部のネットワークへのアクセスを遮断する環境にすべきだったのではないか、③グループ会社のポイント付与漏れの調査を行う従業員へのLINE社の個人データを扱うサーバーのアクセス権設定は適切だったのか、などが問題になると思われます。

なお、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」は、個人データの漏洩などの事故が発生した場合には、①事件の原因などの調査を行い、②再発防止策などを策定・実施し、③被害を受けた個人に対して連絡を行い、④類似事案の発生や二次被害の発生を防止するために記者会見やプレスリリースなどで漏洩事故を公表するとともに、⑤個人情報保護委員会や監督官庁などに報告することを求めています。

この点、今回の個人情報漏洩事故においては、プレスリリースによると、LINE社は事故原因の調査や事故の状態のリカバリー、被害を受けた顧客への通知などは実施したようですが、個人情報保護委員会や総務省、金融庁・財務局などの監督官庁への報告を実施したのかは不明であり、この点もし実施していないなら報告を実施すべきであると思われます。(個人情報保護委員会は、報告徴求や立入検査などを行い、行政指導などを実施する権限があります(同法40条~42条)。

(2)資金決済法
LINE Payのサービスを提供しているLINE社は、資金決済法上の前払式支払手段発行者に該当します。そして資金決済法21条は利用者の個人データの保護のための安全管理措置を講じること、同法21条の2は委託先への監督を実施することを求めています。

また、前払式支払手段に関する内閣府令44条以下は、これも前払式支払手段を実施する事業者の安全管理措置や委託先の監督に関して、委託先に関してあらかじめ安全管理を十分に実施できる委託先を選定することや、委託後も定期的に立入検査を実施することなどを規定しています。加えて、金融庁の「事務ガイドライン(第三分冊:金融会社関係)」のなかの「 5.前払式支払手段発行者関係」も、委託先への監督について、委託先における個人データへのアクセス権設定などに関して詳細な規定が置かれています(前払ガイドラインⅡ-2ー3ー1)。なお同ガイドラインは、前払式支払手段の発行者の業務委託先を財務局または金融庁に届け出ることを求めています。

さらに、資金決済法は、財務局または金融庁は、前払式支払手段発行者およびその委託先に対して、報告徴求や立入検査を実施する権限(同法24条)と、業務改善命令などを発出する権限(同法25条)を規定しています(堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁)。

(3)守秘義務
金融機関は、金融機関と顧客との間に成立した取引関係に関連して金融機関が知り得た情報(顧客の財産状況、預金残高の出入り、債務残高など)を正当な理由なく第三者に漏洩してはならない義務を負っており、これが金融機関の守秘義務です。

預金残高や債務残高などの情報は、顧客の経済的信用にかかわるとくにデリケートな情報であり、これらは顧客の社会的信用やプライバシーに係る重要な情報であるからです。

金融機関が正当な理由なく顧客の決済情報などを漏洩した場合、当該金融機関は不法行為に基づく損害賠償責任(民法709条)を負う可能性があります(西尾信一『金融取引法 第2版』18頁)。

そのため、LINE社は今回の事件で、顧客から民事上の訴訟を提起される法的リスクがあります。

(4)裁判例-Yahoo!BB顧客情報漏洩事件(大阪地裁平成18年5月19日判決)・ベネッセ個人情報漏洩事件(最高裁第二小法廷平成29年10月23日判決)
(a)Yahoo!BB顧客情報漏洩事件

2004年2月に発覚したYahoo!BB顧客情報漏洩事件では、ヤフー株式会社等が「Yahoo!BB」の名称でADSLのインターネット接続サービスを提供していたところ、約450万人分の個人情報漏洩が発生しました。ヤフー等は社外から社内サーバーのメンテナンス作業を実施するためにリモートメンテナンスサーバーを設置していたところ、ヤフー等のメンテナンス作業の委託先企業の社員が、リモートアクセスのために付与されていたユーザーID・パスワードを用いて顧客個人情報サーバーにアクセスし、顧客個人情報を不正に取得するなどしていました。

これに対して個人情報が漏洩した顧客などがプライバシー侵害などを理由に提起した本訴訟では、裁判所は、「電気通信事業者における個人情報保護に関するガイドラインや個人情報保護法における安全管理措置の規定を踏まえると、ヤフー等は、電気通信事業者として、顧客個人情報への不正なアクセスや当該情報の漏洩の防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。」「ヤフー等のリモートアクセスの管理体制は、(略)極めて不十分であったと言わざるを得ず、ヤフー等は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反した」として、ヤフー等に対して不法行為に基づく損害賠償責任(一人あたり5000円)を認めています(山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁)。

(b)ベネッセ個人情報漏洩事件
また、2014年に発覚したベネッセ個人情報漏洩事件も、ベネッセの業務委託先の社員がベネッセの顧客個人情報データベースに不正にアクセスし、約3500万件の個人情報を持ち出した事件でしたが、顧客がプライバシー侵害を理由としてベネッセに提起した民事の損害賠償請求訴訟において、大阪高裁平成28年6月29日判決が「本件漏えいによって、控訴人が迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として顧客側の主張を斥けたのに対して、その上告審の最高裁第二小法廷平成29年年10月23日判決は、「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(略),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる」として、審理を大阪高裁に差戻し、これを受けた差戻審の大阪高裁令和元年11月20日判決は、ベネッセの安全管理措置違反によるプライバシー侵害により、顧客が不法行為に基づく損害を被ったとして、ベネッセの損害賠償責任を認める判決を出しています(損害額一人あたり1000円)。

すなわち、ベネッセ個人情報漏洩事件においては、大阪高裁が、個人情報漏洩事故により顧客が単に「不快感や不安感」を抱いただけではプライバシー侵害による不法行為責任は成立しないとしたのに対して、最高裁は、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いただけでもプライバシー侵害による不法行為は成立するとしています。

このように、Yahoo!BB顧客情報漏洩事件においては、裁判所は、個人情報を取扱う事業者に安全管理措置違反(個人情報保護法20条など)があり顧客の個人情報が漏洩した場合、プライバシー侵害による不法行為に基づく損害賠償責任が事業者側に発生するとしています。そして、ベネッセ個人情報漏洩事件の最高裁は、事業者の個人情報漏洩により、顧客に迷惑電話がかかってくるようになったであるとか、クレジットカードなどが不正に使用され金銭的損害が発生したなどの個別具体的な損害が発生していなくても、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いたのであればプライバシー侵害による不法行為責任は成立するとしています。

そのため、今回のLINE社のGitHub上への個人情報漏洩事件も、LINE社の安全管理措置違反(個人情報保護法20条)、委託先の監督の違反(同法22条)によりGitHub上に約13万件の個人情報が漏洩してしまったのであり、この事件により「不快感や不安感」を抱いた顧客がLINE社を相手にプライバシー侵害を理由とする不法行為による損害賠償請求訴訟を提起した場合、LINE社に損害賠償の支払いを命じる判決がでる可能性も無きにしもあらずなのではないでしょうか。

4.まとめ
LINE社に関しては、本年3月に朝日新聞の峯村健司氏等が、LINE社の委託先の中国企業が同社の日本国内の個人データにアクセス可能であったり、韓国のLINEの関連会社のサーバーに日本国内のLINEのすべての画像データ・動画データなどが保存されていることをスクープし、LINEを行政サービスに利用していた総務省などの官庁や地方自治体などが当該サービスを一時中断するなど、大きな社会問題となりました。その後、4月下旬に個人情報保護委員会および総務省はLINE社に対して行政指導を実施し、4月30日には内閣官房・個人情報保護委員会・金融庁・総務省は「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。

そして、10月18日には、ZホールディングスのLINEの個人情報の問題に関する有識者委員会は最終報告書を公表しました。この報告書は、①2017年に制定された中国の国家情報法についてLINE社が法務部門などによる詳細な検討を怠っていたこと、しかし情報セキュリティ部門が同法のリスクを経営陣に報告していたのに、LINE社の経営陣は中国の国家情報法の問題を経営上の課題として取り上げず、適切な対応を怠ったこと②LINE社の公的部門への渉外担当部門が日本の国・自治体に対して合計3回、「日本国内のLINEの個人データは日本国内のサーバーにある」と虚偽の説明を行っていたことは、LINE社の経営陣がLINEはもともと韓国製のものであるという事実を隠す「韓国隠し」のために組織ぐるみで実施されたと考えるのが自然である等と、③LINE社の個人情報の取扱が杜撰なだけでなく、LINE社の経営陣がコンプライアンスやガバナンスの面で非常に大きな問題を抱えていたことを明らかにしています。
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

LINE社とZホールディングス社は、この10月の有識者委員会の最終報告書を受けて、LINE社のコンプライアンスやガバナンスに大きな問題があり、その改善に取り組むとの意思を表明したはずでしたが、今回のGitHubにおける13万件の個人情報漏洩事故の発覚は、「またか」という感があります。とくに中国の個人情報の件で大きな問題であった、委託先の監督(個人情報保護法22条)の部分が、今回のGitHubの事故でも問題であったことは、LINE社とZホールディングス社にとっては大きな課題なのではないでしょうか。LINE社は、約8800万人の日本国内のユーザーが利用するデジタル・プラットフォーム事業者として、これ以上ユーザーの信頼を裏切らないためにも、真摯な対応を行うべきではないでしょうか。

なお、2021年1月には、三井住友銀行やNEC、NTTデータなどのシステムのソースコードを、システム開発会社の従業員がGitHub上にアップロードしてしまう事件が発生しました。GitHubの取扱をどのようにすべきか、日本の企業のシステム開発部門や法務部門、経営陣などは真剣に検討する必要があるかもしれません。

このブログ記事が面白かったら、ブックマークやいいねをお願いします!

■参考文献
・佐脇紀代志『一問一答令和2年個人情報保護法』62頁
・堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁
・西尾信一『金融取引法 第2版』18頁
・山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁
・岡村久道『個人情報保護法 第3版』218頁、227頁
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)































このエントリーをはてなブックマークに追加 mixiチェック

東京ワクションのアイコン
(東京都「TOKYOワクション」サイトより)


このブログ記事の概要

東京都LINEを利用したコロナワクチン啓発のための「TOKYOワクション」は、東京都個人情報保護条例違反し、また、2021年4月30日付の内閣官房・個人情報保護委員会・金融庁・総務省の「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」などにも違反している。

具体的には、同ガイドラインは、国・自治体がLINEの行政サービスで国民の個人情報や機微情報を取扱う場合には、(1)監督官庁のセキュリティーポリシーに適合することと、(2)LINE社以外の事業者にシステムを構築させ、当該システム上で個人情報・機微情報の保存などをすることを要求しているところ、東京都の「TOKYOワクション」は、(1)(2)のどちらも満たしておらず、同ガイドラインに違反している。

そのため、東京都の「TOKYOワクション」は、個人情報保護法制や情報セキュリティの観点から非常に問題である。

1.東京都の「TOKYOワクション」政策
東京都は、2021年10月15日付のプレスリリース「新型コロナウイルスワクチン接種促進キャンペーン「TOKYOワクションアプリ」を開始します」によると、都民の新型コロナワクチンの接種を促進するために、「TOKYOワクション」という施策を11月1日から開始したようです。
・新型コロナウイルスワクチン接種促進キャンペーン「TOKYOワクションアプリ」を開始します|東京都(2021年10月15日付)

このプレスリリースによると、この「TOKYOワクション」とは、「1.TOKYOワクションアプリ特設ホームページでの情報発信、2.スマートフォンアプリ(LINEアプリ)を活用した接種記録の登録と特典の提供」を内容とするものであるそうです。

つまり一言でいうと、この東京都の「TOKYOワクション」とは、都民のコロナワクチン接種を促進すると同時に、ワクチン接種済の住民に協賛企業からの特典等を提供することにより協賛企業の売上をアップさせる「町おこし」のために、コロナワクチンの接種を受けた都民がLINEの「TOKYOワクション」に「友達登録」し、運転免許証などの「本人確認書類」と医療機関や自治体などが発行したワクチンの「接種済証」等の画像をLINEの「TOKYOワクション」にアップロードし、当該画像を確認した東京都の事務局がワクチン登録済の住民として登録し、当該住民は「TOKYOワクション」のワクチン接種済の登録画面を提示して、「TOKYOワクション」の協賛企業(イオングループの飲食店など)から特典を受けられるという施策であるそうです。
・TOKYOワクション 公式サイト|東京都

しかし、LINEについては本年3月に個人情報と通信の秘密に関する不祥事が発覚し、また本年9月も渋谷区がLINEとeKYCにより住民票の写しの申請を行うスキームを導入しようとしたところ、総務省から技術的な安全が確保されていないとダメ出しが行われたばかりですが、この東京都の「TOKYOワクション」は、個人情報保護法や情報セキュリティの観点から大丈夫なのでしょうか?

そこで東京都ウェブサイトに設置された「TOKYOワクション」サイトをみると、「TOKYOワクション」サイトは、たしかに大きく4つの機能があるようです。
・TOKYOワクション|東京都

つまり、「1.ワクチンを知る」として、「そもそも予防接種とは何か」等のコロナワクチンに関するQAが用意されており、つぎに「2.ワクチンを接種する」として、ワクチン接種に関連する注意事項などのQAが用意されています。さらに、「3.TOKYOワクションアプリに登録する」という項目と、「4.ワクションに協賛する」という項目がありますが、とくにこの3番目の「3.TOKYOワクションアプリに登録する」が法的あるいは情報セキュリティ的に大丈夫なのか気になります。

2.LINEの「TOKYOワクション」の仕組み
そこで、不肖・私めが人柱として、スマホのLINEの「TOKYOワクション」に友達登録をしてみました。すると次のようなトップ画面が出てきました。
東京ワクションのLINEの画面

そしてこの画面左下の「アプリを開く」を押すと、「LINEで応募 TOKYOワクション キャンペーン概要」という説明ページが現れました。そこでこの「キャンペーン概要」の説明ページを読み進めてゆくと、「情報の取り扱いについて」という記述が現れました。
キャンペーンの概要1
キャンペーンの概要2

そこでこの「情報の取り扱いについて」を読むと、「本キャンペーンは東京都が主催するものであり、LINE社の「LINEで応募」機能を利用しています。」となっています。そして、「「LINEで応募」機能のサービス提供のために、本キャンペーンへの参加状況等の情報をLINE社が取得し、当該情報は東京都に提供されます(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)。」と説明されています。そして「LINE社は本キャンペーンへの参加状況等から応募者の「ワクチン接種の事実」の情報を取得し、LINE社は応募者の「ワクチン接種の事実」の情報を「LINEで応募」の機能提供に利用し、東京都はLINE社から提供された応募者の「ワクチン接種の事実」の情報を、本キャンペーンの実施および「TOKYOワクション」LINE公式アカウントからの当キャンペーンに関する情報の案内に利用し、さらに東京都は個人が特定できない形で、応募者の居住地・年齢の統計情報を特典提供者に提供する場合があります。」と説明されています。

「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」の概要

①本キャンペーンは東京都が主催するものであり、LINE社の「LINEで応募」機能を利用する。

②「LINEで応募」機能のサービス提供のために、本キャンペーンへの参加状況等の情報をLINE社が取得し、当該情報は東京都に提供されます(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)。

③LINE社は本キャンペーンへの参加状況等から応募者の「ワクチン接種の事実」の情報を取得し、LINE社は応募者の「ワクチン接種の事実」の情報を「LINEで応募」の機能提供に利用する。

④東京都はLINE社から提供された応募者の「ワクチン接種の事実」の情報を、本キャンペーンの実施および「TOKYOワクション」LINE公式アカウントからの当キャンペーンに関する情報の案内に利用する。

⑤東京都は個人が特定できない形で、応募者の居住地・年齢の統計情報を特典提供者に提供する。

この「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」を読むと、東京都の「TOKYOワクション」は、LINE社の「LINEで応募」機能を利用して実施するとされています。そして、この「TOKYOワクション」キャンペーンにより協賛企業から特典を受けたりLINEポイントを受けるために、ワクチン接種済の都民がLINEの「TOKYOワクション」に友達登録しLINE社は当該都民を「LINEアカウント認証」を行い、当該都民はLINEの「TOKYOワクション」に運転免許証などの本人確認書類の画像と、医療機関や自治体が発行したワクチンの「接種済証」等の画像をスマホのカメラ機能で読み取り、LINEの「TOKYOワクション」に当該画像をアップロードするとなっています。そしてLINE社は「TOKYOワクション」に登録した都民のLINEアカウント情報や、本人確認書類の画像とワクチンの接種済等の書類の画像を東京都に提供するとなっています。

(なお、「情報の取り扱いについて」には、「(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)」とのかっこ書きがありますが、「TOKYOワクション」サイトの説明を読むと、LINE社から「TOKYOワクション」に登録した都民のアカウント情報や本人確認書類とコロナワクチンの接種記録の情報をもとに東京都当局(あるいはその委託先企業)が原則24時間以内に情報を確認し、登録したワクチン接種済で「TOKYOワクション」に申し込んだ住民の情報をデータベースに登録し、協賛企業から店頭で特典を受けるための証明画面などを提供するとされているので、LINE社が本人確認書類とコロナワクチンの接種記録の情報をスマホのLINEアプリから収集し、東京都に当該情報を提供しないと東京都は「TOKYOワクション」の住民の確認と特典提供などのためのデータベースに登録できないので、このこのかっこ書きは虚偽か間違いではないかと思われます。)

■追記(2021年11月3日)
この「情報の取り扱いについて」の「(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)」とのかっこ書きに関する私の上の説明について、ネット上で「認証しているだけなので技術的に正しくない」とのご指摘をいただきました。

上でも書いたとおり、東京都の公式サイトの説明では、利用者は本人確認書類とコロナワクチン接種済の証明書をスマホのカメラで撮影し、この2つの画像をLINEアプリにアップロードせよとなっています。そして、つぎに「登録内容をTOKYOワクション事務局が確認後、「LINEで応募」アカウントより登録完了の通知を行います。*原則として24時間以内に通知します。登録が集中した場合、お時間をいただくことがあります。」と説明されています。
本人確認1
本人確認2

登録内容をTOKYOワクション事務局が確認後、登録完了の通知を送ります」とあり、また「*原則として24時間以内に通知します。登録が集中した場合、お時間をいただくことがあります。」とも記載されていることから、LINEアプリにアップロードされた本人確認書類とワクチン接種済証の画像が、LINE社サーバーに送信され、LINE社サーバーから東京都事務局に提供され、東京都事務局の職員等が目視で、あるいはAIなどで登録の確認を行っているのではないかと私は思いました。

しかし、この点指摘をいただいたので、ある情報システムの専門家の方に質問したところ、東京都のこの公式サイトの説明が正しいかどうかあやしくLINEアプリ上で本人確認書類とワクチン接種済証の画像を認証していて、LINE社のサーバーには本人確認書類とワクチン接種済証の画像が送信されず、東京都の事務局にも本人確認書類とワクチン接種済証の画像は提供されていない可能性もあるとのご回答をいただきました。そしてどちらが正しいかは、システムの仕様書を見ないとわからないとのことでした。

3.LINEをこのような用途に利用して大丈夫なのか?
この「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」に基づく東京都とLINE社の「TOKYOワクション」にはいくつかの疑問がわきます。つまり、まず第一は、都民・国民のセンシティブな個人データであるコロナワクチン接種に関する個人情報をLINE等で東京都などが取り扱ってよいのかという問題第二に、本年9月に渋谷区で問題になった、渋谷区のLINEにより本人確認手段の「eKYC」を利用した住民票の写し交付申請は総務省から「技術的に安全を確保できない」として違法と判断されたわけですが(現在、渋谷区は総務省に対して訴訟を提起中)、東京都のこの「TOKYOワクション」のLINEを利用した本人確認とワクチン接種済の確認は法的に大丈夫なのか?という問題、さらに第三にこのような用途に自治体である東京都がLINEを利用してよいのか?という問題、などが個人情報保護法的に、あるいは情報セキュリティ的に大丈夫なのかという疑問がわきます。

4.都民・国民のセンシティブな個人データであるコロナワクチン接種に関する情報の取扱いについて
東京都の個人情報保護条例4条2項は、「実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例(以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。」と規定しています。

東京都個人情報保護条例

(収集の制限)
第4条 実施機関は、個人情報を収集するときは、個人情報を取り扱う事務の目的を明確にし、当該事務の目的を達成するために必要な範囲内で、適法かつ公正な手段により収集しなければならない。

2 実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例(以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。

つまり、東京都個人情報保護条例は、センシティブな個人情報である、「思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報」については原則、収集を禁止しています。

この点、民間企業などに対する一般法である個人情報保護法2条3項は、要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。」と定義しています。

この「病歴」とは「病気に罹患した経歴を意味するもの、または特定の病歴を示したものなどが該当する」とされており(岡村久道『個人情報保護法 第3版』89頁)、また、「その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」に関する個人情報保護法施行令2条2項「本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果」と規定し、同施行令2条3項は「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。」と規定しているので、国民がコロナワクチンの接種を受けたという情報は、個人情報・個人データに該当することは当然としても、個人情報保護法上の「要配慮個人情報」には該当しないということになってしまっています。(これは正直、法律の不備ではないかと思われます。コロナワクチンなどの「予防接種」も、厚労省などが準備し接種を奨励するコロナワクチンを、コロナの予防のために医師や看護師などの問診を受けた上で医師または看護師の注射によるワクチン接種という医療行為が行われるのですから、「予防接種」も、施行令2条3項の医師などの「指導」・「診療」・「調剤」と同等に、要配慮個人情報とすべきではないでしょうかうか。)

とはいえ、ある個人が新型コロナワクチン接種を受けた、あるいは受けないという事実は、国民・個人の自分はコロナワクチン接種を受ける/受けないという、自らの生命のあり方や医療に関する自己決定権(憲法13条)や、自分はコロナワクチン接種を受ける/受けないという、個人の思想・良心などの内心の自由(憲法19条)や、宗教的な理由でワクチン接種を受けない個人にとっては信仰の自由(憲法20条)などに直結する極めてセンシティブな個人情報・個人データです。

とくにコロナワクチン接種を受けないとの判断をした個人のワクチン接種に関する個人情報・個人データは、「本人に対する不当な差別、偏見その他の不利益」が生じるおそれのある情報であると思われ、東京都や厚労省などの国・行政は、コロナワクチン接種に関する接種を受けた/受けていないとの情報、接種の年月日・時間、接種を受けた場所・医療機関、接種を受けたコロナワクチンの種類・メーカー名・シリアル番号などは、要配慮個人情報に準じたセンシティブな個人情報として、国や自治体などは特に厳格な取扱いが必要であると思われます。

5.本人確認の問題
渋谷区のLINEによる住民票の写し交付申請の事例は、渋谷区から委託を受けたBot Express社がLINE上に住民票の写し交付申請のためのチャットボットのアプリを準備し、スマホのカメラ機能で申請者の本人確認書類に添付された顔写真から顔写真の画像データを取得し、また、同じくスマホのカメラ機能で申請者本人の顔の画像データを取得し、これらの画像データをAIが照合して本人確認を行うという「eKYC」と呼ばれる本人確認の手法が、「なりすまし」のリスクを防止できないとして総務省から違法と指摘されたものです。

つまり、市区役所窓口などにおける市や区の職員による対面の本人確認と異なり、渋谷区のLINEによる申請スキームでは、申請者が本人確認書類を偽造するなどして「なりすまし」をして申請を行うリスクが回避できないので、官民のさまざまな手続きにおいて公的な本人確認書類として重要な役目を果たす住民票の写しの交付のためには、「eKYC」だけでは足りず、電子証明書などの利用も必要であるというのが総務省の見解です。
・「総務省は常識を逸脱」 渋谷区と総務省が対立の“住民票LINE交付”巡り、技術提供会社が国を提訴|ITmediaニュース

この点、今回の東京都の「TOKYOワクション」における本人確認は、渋谷区の事例と異なり、運転免許証などの本人確認書類の画像データはスマホのカメラ機能でLINE社が取得し東京都に提供されるものの、渋谷区のように申請者本人の現実の顔画像をスマホアプリで収集するプロセスが存在しません。

東京都は、LINE社によるアカウント認証で本人確認を補っていると主張するかもしれませんが、そもそもLINEのアカウントを利用者・国民が開設する際には、携帯電話番号やメールアドレスなどによる本人確認が行われるだけであり、LINE社のアカウント認証は非常に弱い本人確認といえます。

そのため、この東京都の「TOKYOワクション」の本人確認は、渋谷区のLINEによる住民票の写し交付申請の「eKYC」方式よりも脆弱な本人確認であり、悪意のある第三者による「なりすまし」のリスクを回避できないので、情報セキュリティの観点から問題なのではないでしょうか。

また、東京都の個人情報保護条例(東京都個人情報の保護に関する条例)7条は、第1項が「実施機関は、保有個人情報を取り扱う事務の目的を達成するため、保有個人情報を正確かつ最新の状態に保つよう努めなければならない。」と規定し、同条2項は「実施機関は、保有個人情報の漏えい、滅失及びき損の防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と規定し、民間企業向けの一般法である個人情報保護法19条と同等の「個人データの内容の正確性の確保」と、個人情報保護法20条の安全管理措置と同様の、「適正管理措置」を東京都の各行政機関・部局は講じなければならないと規定しています。
東京都個人情報保護条例

(適正管理)
第7条 実施機関は、保有個人情報を取り扱う事務の目的を達成するため、保有個人情報を正確かつ最新の状態に保つよう努めなければならない。
 実施機関は、保有個人情報の漏えい、滅失及びき損の防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。

したがって、東京都が「TOKYOワクション」においていい加減な本人確認を行うことは、東京都個人情報保護条例7条1項および2項に抵触する違法・不当なものであると思われます。

さらに、「eKYC」方式による本人確認は、上の総務省の見解のように、第三者による「なりすまし」を防止できないため、金融機関が自社の口座開設など、自社が「なりすまし」によるリスクを負いきれる場面だけに利用されるものです。

この点、東京都の「TOKYOワクション」は、都民・国民のコロナワクチン接種というセンシティブな個人情報に扱うものであり、また、協賛企業から店舗での特典や、LINE社の「LINEポイント」の提供などを協賛企業やLINE社に求める仕組みであり、東京都のみが「なりすまし」が発生した場合のリスクを負いきれないスキームとなっています。

もし「なりすまし」を受けて偽造した「TOKYOワクション」のワクチン接種済の証明画面の提示などにより特典などを提供した協賛企業やLINE社などは、当該特典の相当額の損害賠償を東京都に請求することになり、杜撰な本人確認のスキームを導入していた東京都は、協賛企業に対する支援金だけでなく、その損害賠償請求に応じて損害額相当の金銭を支払わねばならない法的リスクを負うことになります(民法415条、709条)。

したがって、東京都は「TOKYOワクション」を一旦中止し、本人確認の方法などについて再検討を行うべきではないでしょうか。

6.東京都はこのような用途にLINEを利用してよいのか?
LINE社の通信アプリLINEは、2021年3月に朝日新聞の峯村健司氏などによるスクープ記事で、中国の関連会社に日本のユーザーのLINEの個人データへのアクセス権を付与していた問題や、日本のユーザーの画像データ・動画データなどの個人データのすべてを韓国の関連会社のサーバーに保管していた問題などが発覚し、個人情報保護法20条の安全管理措置の違反や同22条の委託先の監督の違反、憲法21条2項や電気通信事業法4条が定める「通信の秘密」を侵害していることが、「経済安全保障」という概念とともに大きな社会問題となりました。
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

この事件を受けて、個人情報保護委員会と総務省は同年4月にLINE社に対して行政指導を実施しました。そして、同年4月30日付で内閣官房・個人情報保護委員会・金融庁・総務省「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

この「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」は、国・自治体の行政機関に対して、LINEによる行政サービスにおいては、原則、機密情報や個人情報などのやり取りは禁止とし、原則、国・自治体からの国民への単なる広報などに用途を限るものとして、おおむね、つぎの3点を規定しています。
内閣官房・個人情報保護委員会・金融庁・総務省「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」(2021年4月30日)の概要

①個人情報や機密情報に関する取扱いは原則禁止とする。

相談業務サービスなどをLINE上で実施する場合には、大前提として各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要であり、その上で、LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること。

④国・自治体等が個人アカウントで機密情報・個人情報等を取扱うことは禁止。


今回の東京都の「TOKYOワクション」におけるLINEの利用は、この「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の「②相談業務サービスなどをLINE上で実施する場合には、大前提として各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要であり、その上で、LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること。」が問題になると思われます。

この点、「各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要」の点に関しては、「TOKYOワクション」が、都民・国民のコロナワクチンの接種という医療に関する個人データを取扱うものであるため、厚労省の「医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)」などへの合致が要求されると思われます。そこで厚労省の同ガイドラインをみると、「6.11.外部と個人情報を含む医療情報を交換する場合の安全管理」(77頁以下)「③「なりすまし」の危険性への対応」(79頁)において、医療関係の個人データを扱う情報システムについては、「なりすまし」のリスクを防止するために、公開鍵方式共有鍵方式等の確立された認証の仕組み」や「電子署名」を導入することが求められています。

ところが上でみたように、東京都の「TOKYOワクション」は、LINE経由で住民・国民の本人確認を行う際に、本人確認書類の画像をスマホのカメラ機能で収集し、LINE社のLINEアカウント認証を利用しているだけであり、公開鍵方式などや電子署名などの「なりすまし」防止のための仕組みを導入していないため、「各政府機関・地方公共団体等のセキュリティポリシーへの合致」に違反しています。

また、東京都の「TOKYOワクション」サイトやLINEの「TOKYOワクション」の「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」などを読む限り、東京都は「TOKYOワクション」について、都民・国民のコロナワクチン接種というセンシティブな個人情報・個人データを取扱うにもかかわらず、LINE社の「LINEで応募」機能で都民のコロナワクチン接種に関する個人データを取扱うこととし、「LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること」を実施していないようです。

このように、東京都の「TOKYOワクション」は、内閣官房・個人情報保護委員会・金融庁・総務省の「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」に完全に違反しています。

7.まとめ
したがって、東京都の「TOKYOワクション」のスキームは、東京都個人情報保護条例に違反し、情報セキュリティの観点からも問題があり、さらに「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」に違反した、違法・不当なものです。

個人情報保護委員会や総務省などは、東京都に対して報告徴求や立入検査などを行うとともに、東京都に対して「TOKYOワクション」を中止する等の対応を行うべきではないでしょうか。

(なお、この東京都の「TOKYOワクション」サイトに掲載されているプライバシーポリシー(個人情報保護方針)も、「個人情報」の定義が明らかに間違っていたり、「個人情報の利用目的」の明示がなかったり、個人情報の開示・訂正・利用停止などの請求の手続きがまったく規定されていない等、個人情報保護法制的にツッコミどころ満載です。東京都の「TOKYOワクション」の担当部署は、厚労省のCOCOAの担当部署やデジタル庁などのように、個人情報保護法制や情報セキュリティの素人の人々の集まりなのでしょうか・・・。)
・「TOKYOワクション」の個人情報保護方針|東京都

面白かったらブックマークなどをお願いします!

■関連する記事
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」





























このエントリーをはてなブックマークに追加 mixiチェック

1634668211929

1.LINEの個人情報・通信の秘密に関する不祥事が発覚
2021年10月18日に、LINEの個人情報の事件に関するZホールディングスの有識者委員会の最終報告書が公表されました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

朝日新聞の編集委員の峰村健司氏などによる2021年3月17日付のスクープ報道により、通信アプリ大手LINE(国内の月間利用者約8900万人・2021年9月現在)を運営するLINE社が、中国の関連会社にシステム開発やユーザーから通報を受けた投稿等に問題がないかどうかのチェックなどの業務を委託し、中国関連会社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことや、日本のユーザーの画像データ、動画データなどのすべての個人データがLINE社の韓国の関連会社のサーバーに保存されていることが発覚し、LINE社とその親会社のZホールディングス社には大きな社会的非難が起きました。
・【独自】LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞

■参考
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

このLINEの事件に関しては、日本の約8900万人の個人データが中国の関連会社からアクセス可能であったことや、日本のユーザーの膨大な個人データが韓国の関連会社のサーバーに保管されていたこと等が、国民の個人情報保護やプライバシー保護の問題だけでなく、政府与党の要人や大企業の経営陣などの挙動が海外に密かに知られてしまうリスクや、国家の機密や大企業などの営業秘密などが海外に漏洩してしまうリスクとして、「経済安全保障」という新しいリスクとして社会的な大きな注目を集めました。

このLINEの事件を受けて総務省など国の官庁や多くの自治体は、LINEを利用した行政サービスを中止する事態となりました。

このLINE事件に関しては4月23日付で個人情報保護委員会がLINE社に対して行政指導を実施し、4月26日付で総務省がLINE社に行政指導を実施しました。また、個人情報保護委員会・総務省・金融庁・内閣官房は4月30日付で、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定・公表しました。しかし個人情報保護委員会はプレスリリースで、現在もLINE社に対する調査は続行中であることを公表していました。
・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会
・LINE株式会社に対する指導|総務省
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

これに対してZホールディングス社はLINEの問題に関する有識者による調査委員会(「グローバルなデータガバナンスに関する特別委員会」、座長・宍戸常寿・東大教授(憲法・情報法))を設置し、調査を開始し、6月11日付で第一次報告書を公表しました。
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表

2.最終報告書
その後、2021年10月18日付でZホールディングス社の有識者委員会はLINEの事件に関する最終報告書を公表し、また同日、有識者委員会は座長の宍戸教授と川口洋委員(株式会社川口設計代表取締役)が記者会見を行いました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告|Zホールディングス

このブログでは、LINEの個人情報などに関する不祥事について何回か取り上げてきましたが、本ブログ記事では、この最終報告書を簡単にみてみたいと思います。

3.中国の関連会社について
本最終報告書20頁以下を読むと、LINE社の情報セキュリティ部門は、外部の法律事務所に委託して中国のリーガルリスクの検討を行っていたが、2015年頃に中国向けアプリサービスを中止したことを受け、法律事務所に委託して中国のリーガルリスクを検討することが中断したとされています。そのため、「中国の国民や法人は中国政府の情報活動に協力する法的義務がある」(中国国家情報法7条)との規定がある2017年に中国で制定された中国国家情報法のリーガルチェックがLINE社において会社組織として漏れていたとされています(本最終報告書20頁)。

ライン2
(Zホールディングス社サイトより)

また、本最終報告書によると、有識者委員会の技術部会がログなどから調査を行ったところ、中国の関連会社の職員によるシステムの保守・開発や通報を受けたメッセージや画像などの確認のために、日本のサーバーにアクセスした件数は、2021年3月23日にLINE社が行った個人情報保護委員会及び総務省への報告においては、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件、そのうちLINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるURLへのアクセスは32件としていたところ、その後の調査で、LINE社は、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件から139件に、LINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるページ(URL)へのアクセスについては32件から35件が確認されたとしています(本最終報告書24頁注18)。

ただし、ログは一部しか保管がされていなかったことや、ページ(URL)へのアクセスのログはあっても、そのアクセスで具体的にどのような操作を行ったかのログは残っていないこと等も、本最終報告書には記載されており(本最終報告書24頁)、これらのアクセスの数字がどこまで正確なのか不明であり、また中国関連会社の職員等が具体的にアクセスしたメッセージに対して中国当局の諜報活動に協力する等のために当該メッセージをコピー等して別の端末などに保存した等の行為があったか否かについては不明のままです。

また、法律事務所などによる詳細なリーガルチェックは中断していたものの、その期間中もLINE社の情報セキュリティ部門は、「中国に関するサイバーセキュリティリスクとして、例えば、Huaweiに代表される中国企業の製品利用に関わるリスクや、中国のハッカー集団による攻撃リスク等、中国企業や政府に絡んだサイバー攻撃のリスクを認識し、分析・対応」しており、中国にはサイバーセキュリティリスクがある旨を経営陣に報告していたが、経営陣はそのような中国のセキュリティリスクを経営上の課題として適切に取り上げ、対応をしていなかったと本報告書は記述しています(本最終報告書24頁)。

ところが、本最終報告書は、技術部会によるログのチェックなどから、「これらは、開発及び保守プロセスにおける正規の作業であるということが確認された。このことから、技術検証部会におけるこれらの調査による限り、調査対象期間(2020年3月19日から2021年3月19日)において、LINE China社から外部の組織に対して、LMPに関する情報の漏えいは認められなかった。」(本最終報告書24頁)との、「情報漏洩は発生していない」との結論を導き出していますが、これは不祥事に対する有識者委員会の報告書としてあまり正しくないのではないでしょうか。

ライン24
(Zホールディングス社サイトより)

ただし、情報セキュリティ部門からの中国のセキュリティ上のリスクの報告があったにもかかわらず経営陣が適切な対応をとらなかったことに関して、本最終報告書は「このように経営陣がLINE社に求められるガバメントアクセスのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判断する。」(本最終報告書26頁)としていることは正当な評価であると思われます。

この点、中国の国家情報法については、制定された2017年前後においては、日本のマスメディアなどもこれを大きく取り上げ、同法7条により中国の個人・法人が中国当局の諜報活動・情報活動に協力する義務があることは国・大企業の役職員などにおいて公知の事柄であったにもかかわらず、かつ、社内の情報セキュリティ部門からの報告・進言があったにもかかわらず、LINE社の経営陣がLINEのシステムの保守・開発や通報のあったメッセージなどの監視・モニタリングなどの業務の委託を中国関連会社に漫然と継続し、中国関連会社からの日本のサーバーへのアクセス権の見直しなどの対応を実施していなかったことは、LINE社の個人情報取扱事業者としての安全管理措置(個人情報保護法20条)や、委託先の監督(同法22条)の明確な違反であると思われます。

個人情報保護法

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

つまり、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」「8(別添)講ずべき安全管理措置の内容」「8-3 組織的安全管理措置」は、「(5)取扱状況の把握及び安全管理措置の見直し」として「個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。」と規定しています。

83組織的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-3 組織的安全管理措置」より)

また、同ガイドラインの「8-6 技術的安全管理措置」「(1)アクセス制御」として「担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。」と規定しており、LINE社の経営陣はこれらの安全管理措置を完全に怠っているからです。

84技術的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-6 技術的的安全管理措置」より)

4.韓国の関連会社について
また有識者委員会の第一次報告書でも、LINE社は日本の国・自治体に対して、「LINEの個人情報を扱う主要なサーバーは日本国内にある」との虚偽の説明を2013年、2015年、2018年の3回実施していたことを公表しましたが、今回の最終報告書も同様の記述をしています。

LINE社の公共政策・政策渉外部門の担当者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』旨の説明を国・自治体にしていたとされています。

しかしその理由について、本最終報告書は「本委員会による調査の範囲においては、公共政策・政策渉外部門の役職者が、上記の説明に反して、LINEアプリの画像や動画、ファイル(PDFなど)が韓国に保管されている事実を認識していたことを示す事実は確認されなかった」という不可解な結論を本文で示しています(本最終報告書46頁)。

しかし本最終報告書は同時に、脚注部分で、「公共政策・政策渉外部門の役職者のみが韓国サーバーに個人データが保存されていることを知らなかったとは考え難い」との委員の反対意見を付記しています(本最終報告書46頁注35)。

また、有識者委員会は、公共政策・政策渉外部門の役職者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の説明を国・自治体にしていたことの理由をLINE社の経営陣にヒアリングしたところ、出澤代表取締役社長CEO(ChiefExecutiveOfficer)をはじめとするLINE社の経営陣(取締役)は、いずれも画像、動画及びファイル(PDFなど)は韓国で保管されていると認識していた一方、このような説明が行われていた事実を認識していなかったと説明した。このほか、本委員会による調査の範囲においては、LINE社の経営陣が公共政策・政策渉外部門の役職員が当該説明を行っていたことについて関与した事実は認められなかった。と本文では結論づけられてしまっています(本最終報告書47頁)。

しかしこの点に関しても、本最終報告者は脚注部分で、「本委員会では、本文の結論に対し、以下のとおり反対意見があった。公共政策・政策渉外部門の役職員による「日本に閉じている」との説明は、本文記載のとおり、地方公共団体、中央省庁、政党等の公的機関に対し繰り返してなされたものであり、本委員会の委員の中にも直接これを耳にしたことがある者が複数名存在した。「日本に閉じている」という説明は、まさに公然と繰り返されていたと評価しうるのである。それにもかかわらず、LINE社の上級役員らがこの説明のことを知らなかったとは、およそ信じがたいところである。むしろ、上級役員らはこの説明を知っており、上級役員らの「韓国色を隠す」という意向・方針に沿ってこのような説明が繰り返されたと考えるのが自然である。との委員からの反対意見を付加しています(本最終報告書47頁注37)。

ライン47
(本最終報告書47頁注37より)

これは、ここ最近の10年、20年の日韓関係が冷え込んでいる状況から、LINE社が、LINEがもともと韓国のものであるという「韓国色」を明確にすると、日本の利用者・ユーザーからの不評を買い、LINEサービス利用の低下などの風評リスクが発生することを恐れたLINE社の経営陣や役職員達が、「韓国色隠し」を全社的に行っていた結果、日本の国・自治体や一般国民や企業などへの説明も、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」という趣旨の虚偽のものになってしまったと考えるのが自然なのではないでしょうか。

本最終報告書がこのように切り込み不足・踏み込み不足で、結果としてLINE社やZホールディングス社に有利となるような結論ばかりが目につくのは、この報告書のための調査や作成を行った委員会は外部の弁護士などによる第三者委員会ではなく、あくまでも有識者委員会であることの限界なのではないでしょうか。

現に、本有識者委員会の座長の宍戸常寿教授は、LINE社の傘下団体である一般財団法人 情報法制研究所(JILIS)参与であり、この有識者委員会の報告書は自然とLINE社やZホールディングスに忖度した内容となってしまっているのではないでしょうか。
・メンバー紹介|情報法制研究所

(なお、このように特定のIT企業と関係の深い情報法制研究所に、日本の著名な情報法や情報セキュリティの学者・研究者の先生方のほとんどが所属しておられる状況は、日本の情報法学の健全な発展や学問の自由(憲法23条)を阻害しないのか懸念が残ります。)

いずれにせよ、上でみた、中国の国家情報法によるセキュリティ上のリスクへの対応を漫然と放置していたことや、日本の国・自治体や国民・法人・ユーザーに対して「韓国色隠し」の虚偽の説明を行っていたこと等について、LINE社の出澤剛社長をはじめとする経営陣は今後、取締役の善管注意義務・忠実義務などの法的責任経営責任について、株主代表訴訟なども含めて、会社や株主、ユーザー・利用者、監督官庁・国民などから厳しく責任を追及されるのは必至であろうと思われます。(会社法355条、423条、429条、847条、民法644条など、江頭憲治郎『株式会社法 第7版』434頁、469頁)。

会社法
(忠実義務)
第355条 取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。

(役員等の株式会社に対する損害賠償責任)
第423条 取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。

民法
(受任者の注意義務)
第644条 受任者は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う。

5.LINEpayの問題
さらに、LINEpayについては、LINE社は資金決済法39条に基づき、資金移動業を行うための申請書類として、商号及び住所、資本金の額、「資金移動業の一部を第三者に委託する場合にあっては、当該委託に係る業務の内容並びにその委託先の氏名又は商号若しくは名称及び住所」(同法38条1項9号)などを金融庁・財務局に申請し、金融庁・財務局は登録簿(資金移動業者登録簿)に登録する必要があるところ、LINE社は韓国、台湾及びタイの子会社にも資金移動業を委託していたにもかかわらずその申請を怠っており、金融庁の登録簿と現実に齟齬が発生していたことが本最終報告書では明らかにされています(本最終報告書70頁)。

キャッシュレス決済の資金移動業という金融機関の業務に関する申請書類において、金融庁への申請漏れがあったということは、金融業としては重大なミスであり、金融庁・財務局はヒアリングや報告徴求立入検査などを実施し(資金決済法54条)、業務改善命令(同55条)などの行政処分をLINE社に対して発出すべき事態ではないでしょうか(堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁)。

こういったところにも、LINE社がベンチャー企業として急成長した企業にありがちなように、利益の追求や業務の拡大には熱心な一方で、コンプライアンスガバナンスなどをおろそかにしている傾向がみられます。

6.LINEヘルスケア・LINEドクターなどの問題
本年3月には、LINE社は韓国の関連会社のサーバーに保管されている日本のユーザーの画像データ・動画データなどの個人データを日本のサーバーに移動させる方針を発表しました。この点に関して、本最終報告書はおおむね予定通り進んでいるとしています(本最終報告書27頁)。

しかし、LINEヘルスケア・LINEドクターに関して本最終報告書を読んでみると、LINEヘルスケア・LINEドクター等に関連する決済関係の情報(医療機関名称、所在地、担当者氏名、決済情報等)が、現在でも、韓国のLINEグループの財務情報システムに保存されており、このデータに関しては日本に移転するか否か検討中となっています(本最終報告書71頁、72頁)。

ライン72
(Zホールディングス社サイトより)

医療に関連するデータがまだ韓国の関連会社のサーバーに残っていて、しかもLINE社は当該データを日本に移転させるか否か検討中としている点については、医療データはセンシティブな個人情報であることに鑑み、厚労省や個人情報保護委員会は、これらのデータも日本に移転させるように行政指導などを実施すべきではないでしょうか。

欧州のGDPR(EU一般データ保護規則)などでは、医療データ・健康データや生体データなど「特別カテゴリーの個人データ」(GDPR9条)として厳格な取扱いが要求され、クレジットカードなどの金融関連のデータ個人データの取扱の安全性を規定するGDPR32条により厳格な取扱いが要求されます。

これに対して日本は、平成27年の個人情報保護法の改正で思想・信条や病歴、犯罪歴などに関する「要配慮個人情報」(法2条3項)という用語を新設しました。しかし、最近のJR東日本の防犯カメラ・顔認証技術による犯罪歴のある人物や不審者などの監視の問題などに見れれるように、日本は医療データや金融データなどのセンシティブな個人データの企業などによる取扱に関して中央官庁の対応が非常に甘すぎるのではないかと強く懸念されます。

7.虚偽の報告の罰則の可能性?
今回の最終報告書では、中国などの委託先企業からのアクセス件数がこれまでの報告書よりさらに増加したことや、LINE社の出澤社長ら経営陣が「日本の個人データは日本にある」との国・自治体や国民・法人への3回の虚偽の説明に関して「関与していない」等と主張してる件などについて、個人情報保護法85条は、個人情報保護委員会が報告徴求や立入検査をした場合(法40条)に事業者が虚偽の報告や検査忌避などをした場合の罰則を規定しているところ、この罰則が発動されるのか個人的には気になるところです。

LINE社内のコンプライアンスやガバナンスが極めて低いレベルであることから、個人情報保護委員会による追加の報告徴求・立入検査や、追加の行政指導等は必至と思われますし、金融庁や厚労省等も少しは行政指導・行政処分を実施すべきではないかと一般国民としては考えます。

8.「通信の秘密」について
なお、本最終報告書も個人情報保護法や情報セキュリティに関する検討がほとんどで、憲法21条2項が明記し、電気通信事業法4条や同179条が罰則付きで明示する「通信の秘密」に関して、有識者委員会がほとんど検討を行っていないことが気になります。座長の宍戸教授などをはじめ、憲法・情報法の専門家の先生方が委員を務めておられるにもかかわらずです。

日本国憲法
第21条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

電気通信事業法
(秘密の保護)
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

【追記】 LINE社は、総務省に届出を行い通信事業を行っている電気通信事業者です(届出番号A-20-9913)。そのためLINE社は電気通信事業法が定める「通信の秘密」(法4条)などを遵守する義務を負っています。)

電気通信事業法4条の「通信の秘密」には、通信の内容や本文が保護対象となるのは当然として、宛先や差出人、通信をした年月日、通信の有無、電子メールやネットなどの場合にはヘッダー情報、メタデータなどの通信の外形的な事項も含まれるとされています。そして「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁)。

しかし、今回のLINEの事件については、中国の関連会社が日本のサーバーにアクセス可能であったことや、日本のユーザーの画像データ・動画データなどのすべてが韓国のサーバーに保存されていたこと等は、緊急避難、正当業務行為、本人の同意、のいずれにも該当せず、やはりLINE社の日本のユーザーの情報の雑然とした取扱いは、個人情報保護法上問題となるだけでなく、電気通信事業法の観点からも違法となり罰則などが適用されるべき状況なのではないでしょうか。

ところが、総務省が2021年4月26日付で行ったLINE社に対する行政指導においては、個人情報保護法上の安全管理措置や情報セキュリティなどに関する指導が行われている一方で、「通信の秘密」に関しては何故かほとんどスルーされています。
・LINEの通信の秘密の問題に対して総務省が行政指導を実施

総務省は、2021年9月30日にはインターネットイニシアティブ(IIJ)に対しては、通信の秘密侵害があったとして行政指導を実施していますが、LINE社に対しては通信の秘密侵害について行政指導等を実施しないことは、行政の公平性・中立性(憲法15条2項、国家公務員法96条1項)が害される不公平な状況なのではないでしょうか。
・株式会社インターネットイニシアティブに対する通信の秘密の保護及び個人情報の適正な管理に係る措置(指導)|総務省

(なお、本最終報告書はその他にも、警察等からの照会へのLINE社の対応や、LINE社と情報法制研究所(JILIS)との関係などについても調査・検討しているのは興味深いものがあります。)

面白かったらブックマークなどをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』87頁、218頁、220頁、227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁
・小向太郎・石井夏生利『概説GDPR』64頁、105頁
・江頭憲治郎『株式会社法 第7版』434頁、469頁
・堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」

































このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

LINEヘルスケアトップ画面
LINEの3月31日付のプレスリリースによると、LINEは個人情報漏洩・通信の秘密侵害の問題を受けて、3月31日付でLINEプライバシーポリシーの個人データの海外への提供に関する部分(「5.パーソナルデータの提供」等)を一部改正したとのことです。

・日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示|LINE

ごく大まかにまとめると、LINEのプライバシーポリシーには次の3点が追記されたようです。

1.日本の利用者の個人データは今後も韓国・日本で保管する。

2.システム開発・運用のために韓国・ベトナムが個人データにアクセスする。

3.問い合わせ対応業務で、タイ・台湾・インドネシア・韓国・フィリピンが個人データにアクセスする。


LINE改正プラポリ3
LINE改正プラポリ2
LINE改正プラポリ1
(LINEのプレスリリースより)

まず気になるのは、センシティブ情報である医療データや金融データなどを含む日本の個人データを今後も韓国で保管するとしている点です。

今回の事件では、中国の委託先の問題が明らかになるとともに、韓国のネイバー社のサーバーに、日本のユーザーのすべての画像データ・動画データ等が保管されていることが発覚し、日本の大きな社会的注目を浴びたわけですが、LINEはこの点を改めるつもりはないようです。開き直りともとれる対応ですが、日本のユーザーや国・国会などの納得は得られるのでしょうか。

また、追記されたプレスリリースの文言を見ると、個人データの委託先などに対する安全管理上の管理監督(個人情報保護法20条、22条)を実施することについて、ごく概括的なことしか書かれていません。LINEはこれから考える方針なのでしょうか。今回のLINEの不祥事においては、個人データの海外への越境(法24条)の問題とならんで、個人データの社内における安全管理措置が尽くされているのか、委託先の監督における安全管理措置は尽くされていたのか、も重要な論点のはずです。

今回のプライバシーポリシー改正では、7か国の国が明記されました。多数の海外の企業に対して定期的な立入検査を行ったり、それらの企業に対してアクセス制御などを実施するのはかなりのワークロードのはずです。これら7つの国々の委託先・関連企業において、LINEが日本の自社なみの安全管理措置・委託先の監督を実施しているのか、これまで実施してきたのかも改めて問題となります。

さらに、個人情報保護法上の問題以外にも、今回のLINEの不祥事は、憲法が規定し、電気通信事業法が事業者向けに罰則つきで明示している、国民・利用者の「通信の秘密」を侵害しているおそれがありますが、LINEの今回のプレスリリースはこの点に関しても何も説明していません(憲法21条2項、電気通信事業法4条、179条等)。

加えて、LINEは今回の不祥事に関して、再発防止策、関係者の処分などを発表していませんが、これも現在、社内で検討中なのでしょうか。

なお現在、Zホールディングスは学者などを招いた有識者委員会を設置しているようです。しかしその有識者委員会が、もし万が一、LINEの不祥事の法的問題や再発防止策などを真正面から検討するのではなく、「今後の日本の個人情報保護法のあり方を提言する」的な方向で議論を行い、それを受けてLINEやZホールディングスの経営陣が、自らの法的責任をうやむやにしようとするのであれば、日本のLINEユーザーや国民、個人情報保護委員会、総務省、金融庁、厚労省などの国の監督官庁や神奈川県・大阪府などの自治体、国会などの理解は得られないのではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁




新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ