なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:通信の秘密

1634668211929

1.LINEの個人情報・通信の秘密に関する不祥事が発覚
2021年10月18日に、LINEの個人情報の事件に関するZホールディングスの有識者委員会の最終報告書が公表されました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

朝日新聞の編集委員の峰村健司氏などによる2021年3月17日付のスクープ報道により、通信アプリ大手LINE(国内の月間利用者約8900万人・2021年9月現在)を運営するLINE社が、中国の関連会社にシステム開発やユーザーから通報を受けた投稿等に問題がないかどうかのチェックなどの業務を委託し、中国関連会社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことや、日本のユーザーの画像データ、動画データなどのすべての個人データがLINE社の韓国の関連会社のサーバーに保存されていることが発覚し、LINE社とその親会社のZホールディングス社には大きな社会的非難が起きました。
・【独自】LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞

■参考
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

このLINEの事件に関しては、日本の約8900万人の個人データが中国の関連会社からアクセス可能であったことや、日本のユーザーの膨大な個人データが韓国の関連会社のサーバーに保管されていたこと等が、国民の個人情報保護やプライバシー保護の問題だけでなく、政府与党の要人や大企業の経営陣などの挙動が海外に密かに知られてしまうリスクや、国家の機密や大企業などの営業秘密などが海外に漏洩してしまうリスクとして、「経済安全保障」という新しいリスクとして社会的な大きな注目を集めました。

このLINEの事件を受けて総務省など国の官庁や多くの自治体は、LINEを利用した行政サービスを中止する事態となりました。

このLINE事件に関しては4月23日付で個人情報保護委員会がLINE社に対して行政指導を実施し、4月26日付で総務省がLINE社に行政指導を実施しました。また、個人情報保護委員会・総務省・金融庁・内閣官房は4月30日付で、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定・公表しました。しかし個人情報保護委員会はプレスリリースで、現在もLINE社に対する調査は続行中であることを公表していました。
・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会
・LINE株式会社に対する指導|総務省
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

これに対してZホールディングス社はLINEの問題に関する有識者による調査委員会(「グローバルなデータガバナンスに関する特別委員会」、座長・宍戸常寿・東大教授(憲法・情報法))を設置し、調査を開始し、6月11日付で第一次報告書を公表しました。
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表

2.最終報告書
その後、2021年10月18日付でZホールディングス社の有識者委員会はLINEの事件に関する最終報告書を公表し、また同日、有識者委員会は座長の宍戸教授と川口洋委員(株式会社川口設計代表取締役)が記者会見を行いました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告|Zホールディングス

このブログでは、LINEの個人情報などに関する不祥事について何回か取り上げてきましたが、本ブログ記事では、この最終報告書を簡単にみてみたいと思います。

3.中国の関連会社について
本最終報告書20頁以下を読むと、LINE社の情報セキュリティ部門は、外部の法律事務所に委託して中国のリーガルリスクの検討を行っていたが、2015年頃に中国向けアプリサービスを中止したことを受け、法律事務所に委託して中国のリーガルリスクを検討することが中断したとされています。そのため、「中国の国民や法人は中国政府の情報活動に協力する法的義務がある」(中国国家情報法7条)との規定がある2017年に中国で制定された中国国家情報法のリーガルチェックがLINE社において会社組織として漏れていたとされています(本最終報告書20頁)。

ライン2
(Zホールディングス社サイトより)

また、本最終報告書によると、有識者委員会の技術部会がログなどから調査を行ったところ、中国の関連会社の職員によるシステムの保守・開発や通報を受けたメッセージや画像などの確認のために、日本のサーバーにアクセスした件数は、2021年3月23日にLINE社が行った個人情報保護委員会及び総務省への報告においては、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件、そのうちLINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるURLへのアクセスは32件としていたところ、その後の調査で、LINE社は、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件から139件に、LINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるページ(URL)へのアクセスについては32件から35件が確認されたとしています(本最終報告書24頁注18)。

ただし、ログは一部しか保管がされていなかったことや、ページ(URL)へのアクセスのログはあっても、そのアクセスで具体的にどのような操作を行ったかのログは残っていないこと等も、本最終報告書には記載されており(本最終報告書24頁)、これらのアクセスの数字がどこまで正確なのか不明であり、また中国関連会社の職員等が具体的にアクセスしたメッセージに対して中国当局の諜報活動に協力する等のために当該メッセージをコピー等して別の端末などに保存した等の行為があったか否かについては不明のままです。

また、法律事務所などによる詳細なリーガルチェックは中断していたものの、その期間中もLINE社の情報セキュリティ部門は、「中国に関するサイバーセキュリティリスクとして、例えば、Huaweiに代表される中国企業の製品利用に関わるリスクや、中国のハッカー集団による攻撃リスク等、中国企業や政府に絡んだサイバー攻撃のリスクを認識し、分析・対応」しており、中国にはサイバーセキュリティリスクがある旨を経営陣に報告していたが、経営陣はそのような中国のセキュリティリスクを経営上の課題として適切に取り上げ、対応をしていなかったと本報告書は記述しています(本最終報告書24頁)。

ところが、本最終報告書は、技術部会によるログのチェックなどから、「これらは、開発及び保守プロセスにおける正規の作業であるということが確認された。このことから、技術検証部会におけるこれらの調査による限り、調査対象期間(2020年3月19日から2021年3月19日)において、LINE China社から外部の組織に対して、LMPに関する情報の漏えいは認められなかった。」(本最終報告書24頁)との、「情報漏洩は発生していない」との結論を導き出していますが、これは不祥事に対する有識者委員会の報告書としてあまり正しくないのではないでしょうか。

ライン24
(Zホールディングス社サイトより)

ただし、情報セキュリティ部門からの中国のセキュリティ上のリスクの報告があったにもかかわらず経営陣が適切な対応をとらなかったことに関して、本最終報告書は「このように経営陣がLINE社に求められるガバメントアクセスのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判断する。」(本最終報告書26頁)としていることは正当な評価であると思われます。

この点、中国の国家情報法については、制定された2017年前後においては、日本のマスメディアなどもこれを大きく取り上げ、同法7条により中国の個人・法人が中国当局の諜報活動・情報活動に協力する義務があることは国・大企業の役職員などにおいて公知の事柄であったにもかかわらず、かつ、社内の情報セキュリティ部門からの報告・進言があったにもかかわらず、LINE社の経営陣がLINEのシステムの保守・開発や通報のあったメッセージなどの監視・モニタリングなどの業務の委託を中国関連会社に漫然と継続し、中国関連会社からの日本のサーバーへのアクセス権の見直しなどの対応を実施していなかったことは、LINE社の個人情報取扱事業者としての安全管理措置(個人情報保護法20条)や、委託先の監督(同法22条)の明確な違反であると思われます。

個人情報保護法

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

つまり、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」「8(別添)講ずべき安全管理措置の内容」「8-3 組織的安全管理措置」は、「(5)取扱状況の把握及び安全管理措置の見直し」として「個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。」と規定しています。

83組織的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-3 組織的安全管理措置」より)

また、同ガイドラインの「8-6 技術的安全管理措置」「(1)アクセス制御」として「担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。」と規定しており、LINE社の経営陣はこれらの安全管理措置を完全に怠っているからです。

84技術的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-6 技術的的安全管理措置」より)

4.韓国の関連会社について
また有識者委員会の第一次報告書でも、LINE社は日本の国・自治体に対して、「LINEの個人情報を扱う主要なサーバーは日本国内にある」との虚偽の説明を2013年、2015年、2018年の3回実施していたことを公表しましたが、今回の最終報告書も同様の記述をしています。

LINE社の公共政策・政策渉外部門の担当者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』旨の説明を国・自治体にしていたとされています。

しかしその理由について、本最終報告書は「本委員会による調査の範囲においては、公共政策・政策渉外部門の役職者が、上記の説明に反して、LINEアプリの画像や動画、ファイル(PDFなど)が韓国に保管されている事実を認識していたことを示す事実は確認されなかった」という不可解な結論を本文で示しています(本最終報告書46頁)。

しかし本最終報告書は同時に、脚注部分で、「公共政策・政策渉外部門の役職者のみが韓国サーバーに個人データが保存されていることを知らなかったとは考え難い」との委員の反対意見を付記しています(本最終報告書46頁注35)。

また、有識者委員会は、公共政策・政策渉外部門の役職者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の説明を国・自治体にしていたことの理由をLINE社の経営陣にヒアリングしたところ、出澤代表取締役社長CEO(ChiefExecutiveOfficer)をはじめとするLINE社の経営陣(取締役)は、いずれも画像、動画及びファイル(PDFなど)は韓国で保管されていると認識していた一方、このような説明が行われていた事実を認識していなかったと説明した。このほか、本委員会による調査の範囲においては、LINE社の経営陣が公共政策・政策渉外部門の役職員が当該説明を行っていたことについて関与した事実は認められなかった。と本文では結論づけられてしまっています(本最終報告書47頁)。

しかしこの点に関しても、本最終報告者は脚注部分で、「本委員会では、本文の結論に対し、以下のとおり反対意見があった。公共政策・政策渉外部門の役職員による「日本に閉じている」との説明は、本文記載のとおり、地方公共団体、中央省庁、政党等の公的機関に対し繰り返してなされたものであり、本委員会の委員の中にも直接これを耳にしたことがある者が複数名存在した。「日本に閉じている」という説明は、まさに公然と繰り返されていたと評価しうるのである。それにもかかわらず、LINE社の上級役員らがこの説明のことを知らなかったとは、およそ信じがたいところである。むしろ、上級役員らはこの説明を知っており、上級役員らの「韓国色を隠す」という意向・方針に沿ってこのような説明が繰り返されたと考えるのが自然である。との委員からの反対意見を付加しています(本最終報告書47頁注37)。

ライン47
(本最終報告書47頁注37より)

これは、ここ最近の10年、20年の日韓関係が冷え込んでいる状況から、LINE社が、LINEがもともと韓国のものであるという「韓国色」を明確にすると、日本の利用者・ユーザーからの不評を買い、LINEサービス利用の低下などの風評リスクが発生することを恐れたLINE社の経営陣や役職員達が、「韓国色隠し」を全社的に行っていた結果、日本の国・自治体や一般国民や企業などへの説明も、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」という趣旨の虚偽のものになってしまったと考えるのが自然なのではないでしょうか。

本最終報告書がこのように切り込み不足・踏み込み不足で、結果としてLINE社やZホールディングス社に有利となるような結論ばかりが目につくのは、この報告書のための調査や作成を行った委員会は外部の弁護士などによる第三者委員会ではなく、あくまでも有識者委員会であることの限界なのではないでしょうか。

現に、本有識者委員会の座長の宍戸常寿教授は、LINE社の傘下団体である一般財団法人 情報法制研究所(JILIS)参与であり、この有識者委員会の報告書は自然とLINE社やZホールディングスに忖度した内容となってしまっているのではないでしょうか。
・メンバー紹介|情報法制研究所

(なお、このように特定のIT企業と関係の深い情報法制研究所に、日本の著名な情報法や情報セキュリティの学者・研究者の先生方のほとんどが所属しておられる状況は、日本の情報法学の健全な発展や学問の自由(憲法23条)を阻害しないのか懸念が残ります。)

いずれにせよ、上でみた、中国の国家情報法によるセキュリティ上のリスクへの対応を漫然と放置していたことや、日本の国・自治体や国民・法人・ユーザーに対して「韓国色隠し」の虚偽の説明を行っていたこと等について、LINE社の出澤剛社長をはじめとする経営陣は今後、取締役の善管注意義務・忠実義務などの法的責任経営責任について、株主代表訴訟なども含めて、会社や株主、ユーザー・利用者、監督官庁・国民などから厳しく責任を追及されるのは必至であろうと思われます。(会社法355条、423条、429条、847条、民法644条など、江頭憲治郎『株式会社法 第7版』434頁、469頁)。

会社法
(忠実義務)
第355条 取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。

(役員等の株式会社に対する損害賠償責任)
第423条 取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。

民法
(受任者の注意義務)
第644条 受任者は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う。

5.LINEpayの問題
さらに、LINEpayについては、LINE社は資金決済法39条に基づき、資金移動業を行うための申請書類として、商号及び住所、資本金の額、「資金移動業の一部を第三者に委託する場合にあっては、当該委託に係る業務の内容並びにその委託先の氏名又は商号若しくは名称及び住所」(同法38条1項9号)などを金融庁・財務局に申請し、金融庁・財務局は登録簿(資金移動業者登録簿)に登録する必要があるところ、LINE社は韓国、台湾及びタイの子会社にも資金移動業を委託していたにもかかわらずその申請を怠っており、金融庁の登録簿と現実に齟齬が発生していたことが本最終報告書では明らかにされています(本最終報告書70頁)。

キャッシュレス決済の資金移動業という金融機関の業務に関する申請書類において、金融庁への申請漏れがあったということは、金融業としては重大なミスであり、金融庁・財務局はヒアリングや報告徴求立入検査などを実施し(資金決済法54条)、業務改善命令(同55条)などの行政処分をLINE社に対して発出すべき事態ではないでしょうか(堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁)。

こういったところにも、LINE社がベンチャー企業として急成長した企業にありがちなように、利益の追求や業務の拡大には熱心な一方で、コンプライアンスガバナンスなどをおろそかにしている傾向がみられます。

6.LINEヘルスケア・LINEドクターなどの問題
本年3月には、LINE社は韓国の関連会社のサーバーに保管されている日本のユーザーの画像データ・動画データなどの個人データを日本のサーバーに移動させる方針を発表しました。この点に関して、本最終報告書はおおむね予定通り進んでいるとしています(本最終報告書27頁)。

しかし、LINEヘルスケア・LINEドクターに関して本最終報告書を読んでみると、LINEヘルスケア・LINEドクター等に関連する決済関係の情報(医療機関名称、所在地、担当者氏名、決済情報等)が、現在でも、韓国のLINEグループの財務情報システムに保存されており、このデータに関しては日本に移転するか否か検討中となっています(本最終報告書71頁、72頁)。

ライン72
(Zホールディングス社サイトより)

医療に関連するデータがまだ韓国の関連会社のサーバーに残っていて、しかもLINE社は当該データを日本に移転させるか否か検討中としている点については、医療データはセンシティブな個人情報であることに鑑み、厚労省や個人情報保護委員会は、これらのデータも日本に移転させるように行政指導などを実施すべきではないでしょうか。

欧州のGDPR(EU一般データ保護規則)などでは、医療データ・健康データや生体データなど「特別カテゴリーの個人データ」(GDPR9条)として厳格な取扱いが要求され、クレジットカードなどの金融関連のデータ個人データの取扱の安全性を規定するGDPR32条により厳格な取扱いが要求されます。

これに対して日本は、平成27年の個人情報保護法の改正で思想・信条や病歴、犯罪歴などに関する「要配慮個人情報」(法2条3項)という用語を新設しました。しかし、最近のJR東日本の防犯カメラ・顔認証技術による犯罪歴のある人物や不審者などの監視の問題などに見れれるように、日本は医療データや金融データなどのセンシティブな個人データの企業などによる取扱に関して中央官庁の対応が非常に甘すぎるのではないかと強く懸念されます。

7.虚偽の報告の罰則の可能性?
今回の最終報告書では、中国などの委託先企業からのアクセス件数がこれまでの報告書よりさらに増加したことや、LINE社の出澤社長ら経営陣が「日本の個人データは日本にある」との国・自治体や国民・法人への3回の虚偽の説明に関して「関与していない」等と主張してる件などについて、個人情報保護法85条は、個人情報保護委員会が報告徴求や立入検査をした場合(法40条)に事業者が虚偽の報告や検査忌避などをした場合の罰則を規定しているところ、この罰則が発動されるのか個人的には気になるところです。

LINE社内のコンプライアンスやガバナンスが極めて低いレベルであることから、個人情報保護委員会による追加の報告徴求・立入検査や、追加の行政指導等は必至と思われますし、金融庁や厚労省等も少しは行政指導・行政処分を実施すべきではないかと一般国民としては考えます。

8.「通信の秘密」について
なお、本最終報告書も個人情報保護法や情報セキュリティに関する検討がほとんどで、憲法21条2項が明記し、電気通信事業法4条や同179条が罰則付きで明示する「通信の秘密」に関して、有識者委員会がほとんど検討を行っていないことが気になります。座長の宍戸教授などをはじめ、憲法・情報法の専門家の先生方が委員を務めておられるにもかかわらずです。

日本国憲法
第21条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

電気通信事業法
(秘密の保護)
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

【追記】 LINE社は、総務省に届出を行い通信事業を行っている電気通信事業者です(届出番号A-20-9913)。そのためLINE社は電気通信事業法が定める「通信の秘密」(法4条)などを遵守する義務を負っています。)

電気通信事業法4条の「通信の秘密」には、通信の内容や本文が保護対象となるのは当然として、宛先や差出人、通信をした年月日、通信の有無、電子メールやネットなどの場合にはヘッダー情報、メタデータなどの通信の外形的な事項も含まれるとされています。そして「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁)。

しかし、今回のLINEの事件については、中国の関連会社が日本のサーバーにアクセス可能であったことや、日本のユーザーの画像データ・動画データなどのすべてが韓国のサーバーに保存されていたこと等は、緊急避難、正当業務行為、本人の同意、のいずれにも該当せず、やはりLINE社の日本のユーザーの情報の雑然とした取扱いは、個人情報保護法上問題となるだけでなく、電気通信事業法の観点からも違法となり罰則などが適用されるべき状況なのではないでしょうか。

ところが、総務省が2021年4月26日付で行ったLINE社に対する行政指導においては、個人情報保護法上の安全管理措置や情報セキュリティなどに関する指導が行われている一方で、「通信の秘密」に関しては何故かほとんどスルーされています。
・LINEの通信の秘密の問題に対して総務省が行政指導を実施

総務省は、2021年9月30日にはインターネットイニシアティブ(IIJ)に対しては、通信の秘密侵害があったとして行政指導を実施していますが、LINE社に対しては通信の秘密侵害について行政指導等を実施しないことは、行政の公平性・中立性(憲法15条2項、国家公務員法96条1項)が害される不公平な状況なのではないでしょうか。
・株式会社インターネットイニシアティブに対する通信の秘密の保護及び個人情報の適正な管理に係る措置(指導)|総務省

(なお、本最終報告書はその他にも、警察等からの照会へのLINE社の対応や、LINE社と情報法制研究所(JILIS)との関係などについても調査・検討しているのは興味深いものがあります。)

面白かったらブックマークなどをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』87頁、218頁、220頁、227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁
・小向太郎・石井夏生利『概説GDPR』64頁、105頁
・江頭憲治郎『株式会社法 第7版』434頁、469頁
・堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」





























このエントリーをはてなブックマークに追加 mixiチェック

LINE
6月11日、ZホールディングスLINEの個人情報事件に関する有識者委員会(座長・宍戸常寿教授)第一次報告書の概要をサイトで公表しました。

・「グローバルなデータガバナンスに関する特別委員会」第一次報告受領について|Zホールディングス

この報告書の概要を大まかにみると、まず、「LINEの主要な個人情報は主に日本のサーバーに保管されている」とLINE社2013年、2015年、2018年の3回、日本の国・自治体関係者に説明していた点が報告書にありますが、これはやはり、非常に不適切だと思われます。

なおこの点、個人情報保護法40条は、個人情報保護委員会は事業者に対して報告を求め、また立入検査をすることができると規定していますが、この報告に虚偽があった場合や検査忌避があった場合などは罰則(両罰規定)が科されると規定されています(法85条)。

また、個人情報保護委員会だけでなく、総務省もLINE社に対して報告徴求などを実施していますが、電気通信事業法169条も虚偽の報告などに対して罰則規定を置いています。さらに金融庁もLINE社に報告徴求などを実施していますが、例えばQRコード決済などに関する資金決済法も、報告徴求に対する事業者の虚偽の報告などに対して罰則規定をおいています(法112条7号、8号)。

これらの罰則規定が今後、LINE社などに対して適用されるのか、大いに気になるところです。

また、LINE社の話を鵜呑みにしていた国・自治体側も、個人情報保護法制や、国の安全保障あるいは経済安全保障の観点から非常に問題があるのではないでしょうか。

LINE報告書01

この点、例えば行政機関個人情報保護法6条は、行政機関は「保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」と規定しています(安全確保措置)。

また、これも例えば総務省の「総務省の保有する個人情報等の適切な管理のための措置に関する訓令 」(総務省訓令第54号)38条は、業務委託について、適切な安全確保措置が実施できる事業者を書面などを求めて選定すること(1項)、目的外利用の禁止や秘密保持条項、再委託の制限、個人情報漏洩事故があった場合の対応などを盛り込んだ契約書による業務委託契約を締結すること(2項)、少なくとも年1回の委託先への実地検査を実施すること(3項)等などを規定しています。

しかし、LINEを情報提供サービスなどのために利用していた総務省や、各自治体は、LINE社としっかり業務委託契約書を締結し、年1回以上のLINE社への実地検査などを法令に基づいて実施していたのでしょうか?大いに疑問です。

つぎに、3月の朝日新聞等の報道を受けて、LINE社はプレスリリースを公表し、2021年6月までに韓国サーバーに保管されている画像・動画などの個人データを日本のサーバーに移動させる等と発表しました。

しかし、この点についても、さまざまな個人データの日本への移動が、LINE社のリリースに示されたスケジュールに対して遅延していることが明らかにされています。この点を、本報告書は「ユーザーファーストの意識が欠けている」と指摘しています。
LINE報告書02

この点は、新興のIT企業であるLINE社およびZホールディングスは、「ユーザー・顧客との約束を守ろうという意識」、ユーザー・顧客への説明責任や、>ガバナンスコンプライアンスの意識が企業として極めて低いのではないでしょうか。Yahoo!Japan社も、2004年の450万人分の個人情報漏洩を起こしたYahoo!BB個人情報漏洩事件など、3年から5年おきに不祥事を起こしている印象があります。

さらに、朝日新聞の峯村健司氏のスクープ報道のとおり、やはりLINE社の委託先の中国子会社の日本サーバーへのアクセスログ等は、中国等の開発者が具体的にどんな個人データにアクセスしたか等の記録が残っていないとのことです。アクセスログも保存されていても、1年間しか保存されていないとのことです。さらに中国等の開発者PC等は外部ネットに接続可能な状態であり、当該PC等の挙動のログなども残っていないと報告書は指摘しています。これはLINE社の安全管理措置が非常に不十分であったと言わざるを得ません。
LINE報告書03

加えて、報告書は、2016年ごろより、中国の国家情報法に関する議論が日本国内で高まっていたのに、LINE社がシステムの開発・保守などを中国で継続していた点も指摘しています。
LINE報告書04

この点も、わが国の国民約8600万人のアクティブ・ユーザーを持ち、国・自治体の情報発信業務や国民・市民からの相談業務、多数の日本企業の情報発信業務などを担っているLINE社は、日本の国民の個人情報保護や国・自治体や多くの企業の機密情報の保護に対する大きな責任を負っていること、日本の安全保障および経済安全保障に大きな責任を負っていることに対して、企業市民としてあまりにも無頓着だったのではないでしょうか。

なお、本報告書の概要をざっとみる限り、本事件で個人情報とともに問題となった、電気通信事業法4条憲法21条2項の定めるユーザーの「通信の秘密」に関しては、有識者委員会であまり議論がなされていないようですが、大丈夫なのでしょうか。

4月の総務省のLINE社に対する行政指導のプレスリリースも、個人情報に関しては問題視していますが、「通信の秘密」に関しては、まるでなかったかのようにしているわけですが。この点を、情報法の大御所である宍戸教授などの有識者委員会に大いに議論していただきたいと、一般の国民としては思っていたのですが。
LINE報告書03

また、本日のZ社のプレスリリースでは、有識者委員会の第一次報告書は概要のみが公表されており、報告書本文は公表されていないことも、やや不可思議な対応であると思われます。

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施











このエントリーをはてなブックマークに追加 mixiチェック

LINE
4月26日に総務省は、LINEに対する行政指導に関するプレスリリースを公表しました。

・LINE株式会社に対する指導|総務省

このリリースを読むと、委託先のアクセス権の設定に一部不明確な部分があったことや、モニタリングシステムの本人確認が厳格でないこと等の事実を総務省は認定してるのに、「「通信の秘密」侵害は認められなかった」と結論づけているのは、LINEに厳しい行政処分・行政指導を行わないでおこうという、性善説に立った結論ありきで物事が進められたようで疑問です。

リリースの文中には、「LINEからの報告書をみる限りでは」という表現もあるので、総務省はLINE社に対して立入検査すら実施しなかったようです。

また、画像・動画データのすべてが現在もLINE社の韓国の関連会社のサーバーに保存されていることについて、総務省の今回のプレスリリースはまったく触れていません。

「通信の秘密」(憲法21条2項)は、国民のプライバシー(憲法13条)や内心の自由(19条)、表現の自由(21条1項)に関連する重要な人権です。そのため、電気通信事業法は4条で「通信の秘密」を規定し、同179条はその侵害に対する罰則を用意しています。

この「通信の秘密」は、LINEでいえばトークなどのメッセージや画像データ・動画データなどの通信内容が保護対象となるのは当然として、メッセージの相手である友達などの通信の宛先、通信の日時、通信の有無、などの外形的事項も保護対象となるとされている幅広なものです。

LINEなどの電気通信事業者は、「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密の侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁)。

しかし、LINEの事件では、中国・韓国などに個人データが海外移転していたことについては、問題が発覚し、3月末にLINE社がプライバシーポリシーを改正する前は、プライバシーポリシーに明示されておらず、利用者の「本人の同意」があったとはいえません。

なんらかのアクシデントに対する緊急避難的対応として中国・韓国などに個人データが移転したという事実はないようですし、日本のユーザーのすべての画像データ・動画データを韓国に移転していたことが正当業務行為といえるのかも大いに疑問です(しかも画像データ・動画データには、個人の医療データ、金融データなどセンシティブ情報も含まれています。)。しかし、これらの論点についてLINE社からの説明はなく、今回の総務省のプレスリリースもこれらの問題に関してはまったく触れていません。

LINEの日本の利用者は8600万人を超えるそうで、個人だけでなく、国・自治体や大企業もさまざまな場面で利用を行っています。個人のプライバシーに関する情報とともに、企業の営業秘密・機微情報や、国などの安全保障にかかわる情報(例えば国の要人のスケジュールや移動・位置情報に関する情報等)もやり取りされている可能性があります。

総務省がLINE社に対して立入検査すら実施せずに、提出された報告書だけで性善説的な観点で行政指導を行い、事件を終わりにしようとしている点には、「通信の秘密」や個人情報保護法上の問題、情報セキュリティ上の問題だけでなく、国の安全保障の観点からも疑問を感じます。

■関連するブログ記事
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

■参考文献
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁















このエントリーをはてなブックマークに追加 mixiチェック

LINEヘルスケアトップ画面
LINEの3月31日付のプレスリリースによると、LINEは個人情報漏洩・通信の秘密侵害の問題を受けて、3月31日付でLINEプライバシーポリシーの個人データの海外への提供に関する部分(「5.パーソナルデータの提供」等)を一部改正したとのことです。

・日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示|LINE

ごく大まかにまとめると、LINEのプライバシーポリシーには次の3点が追記されたようです。

1.日本の利用者の個人データは今後も韓国・日本で保管する。

2.システム開発・運用のために韓国・ベトナムが個人データにアクセスする。

3.問い合わせ対応業務で、タイ・台湾・インドネシア・韓国・フィリピンが個人データにアクセスする。


LINE改正プラポリ3
LINE改正プラポリ2
LINE改正プラポリ1
(LINEのプレスリリースより)

まず気になるのは、センシティブ情報である医療データや金融データなどを含む日本の個人データを今後も韓国で保管するとしている点です。

今回の事件では、中国の委託先の問題が明らかになるとともに、韓国のネイバー社のサーバーに、日本のユーザーのすべての画像データ・動画データ等が保管されていることが発覚し、日本の大きな社会的注目を浴びたわけですが、LINEはこの点を改めるつもりはないようです。開き直りともとれる対応ですが、日本のユーザーや国・国会などの納得は得られるのでしょうか。

また、追記されたプレスリリースの文言を見ると、個人データの委託先などに対する安全管理上の管理監督(個人情報保護法20条、22条)を実施することについて、ごく概括的なことしか書かれていません。LINEはこれから考える方針なのでしょうか。今回のLINEの不祥事においては、個人データの海外への越境(法24条)の問題とならんで、個人データの社内における安全管理措置が尽くされているのか、委託先の監督における安全管理措置は尽くされていたのか、も重要な論点のはずです。

今回のプライバシーポリシー改正では、7か国の国が明記されました。多数の海外の企業に対して定期的な立入検査を行ったり、それらの企業に対してアクセス制御などを実施するのはかなりのワークロードのはずです。これら7つの国々の委託先・関連企業において、LINEが日本の自社なみの安全管理措置・委託先の監督を実施しているのか、これまで実施してきたのかも改めて問題となります。

さらに、個人情報保護法上の問題以外にも、今回のLINEの不祥事は、憲法が規定し、電気通信事業法が事業者向けに罰則つきで明示している、国民・利用者の「通信の秘密」を侵害しているおそれがありますが、LINEの今回のプレスリリースはこの点に関しても何も説明していません(憲法21条2項、電気通信事業法4条、179条等)。

加えて、LINEは今回の不祥事に関して、再発防止策、関係者の処分などを発表していませんが、これも現在、社内で検討中なのでしょうか。

なお現在、Zホールディングスは学者などを招いた有識者委員会を設置しているようです。しかしその有識者委員会が、もし万が一、LINEの不祥事の法的問題や再発防止策などを真正面から検討するのではなく、「今後の日本の個人情報保護法のあり方を提言する」的な方向で議論を行い、それを受けてLINEやZホールディングスの経営陣が、自らの法的責任をうやむやにしようとするのであれば、日本のLINEユーザーや国民、個人情報保護委員会、総務省、金融庁、厚労省などの国の監督官庁や神奈川県・大阪府などの自治体、国会などの理解は得られないのではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁




新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.はじめに
朝日新聞の3月17日の報道によると、通信アプリLINE(国内の月間利用者約8600万人)が、中国の関連会社にシステム開発を委託し、同社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことが発覚したとのことです。LINEは個人情報保護委員会に報告を行うとともに、第三者委員会を設置して調査を行うとのことです。このブログ記事では、本漏洩事故について、おもに個人情報保護法および電気通信事業法から検討してみたいと思います。

・LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞
■関連
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

2.事実の概要-漏洩したおそれのある個人情報
(1)中国の関連会社
朝日新聞によると、LINEはAIなどの開発を中国の関連会社に委託し、同社の技術者らが日本のLINEのサーバーに保管されている、利用者のLINEID、氏名、電話番号、メールアドレス、利用者の書き込み(「トーク」)などの個人情報・個人データにアクセスすることができたとされています。また、アクセス可能であった期間は2018年8月から2021年2月24日までだったとのことで、同社から少なくとも32回、サーバーへのアクセスが確認されているとのことです。朝日新聞3月17日の35面の記事によると、LINEは中国関連会社によるアクセスが「何の目的で、どのような情報にアクセスしていたか不明」であるとのことです。

(2)大連の業務委託
さらにLINEはタイムラインなどのサービスでの不適切な書き込みなどを監視する目的で、日本の通信業務代行会社に業務を委託し、同社が中国遼寧省の大連にある中国法人に業務を再委託していたとのことです。大連の中国法人も、業務のために日本のLINEのサーバーにアクセスし、トークや画像、動画などの監視業務を行っていたとのことです。

3.個人情報保護法
(1)個人情報保護法22条(委託先の監督)
個人情報保護法20条は、LINEなどの個人情報取扱事業者に対して、「個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定し、保有する個人データの漏洩、滅失または毀損の防止のために「安全管理措置」を講じなければならないと規定しています。この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「8-6 技術的安全管理措置」は、不要な個人データ等に従業員等がアクセスできないようにするなどの「アクセス制御」などの措置を実施するように事業者に求めています。

そして、同22条は、事業者が個人データの取扱を委託する場合には、その委託先において個人データの安全管理措置が講じられるように、当該委託先を監督しなければならないと規定しています(委託先の監督)。この委託元の委託先の監督の責任には、当然、再委託先の監督を行う責任も含まれます。

(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この点、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「3-3-4 委託先の監督(法第22条関係)」はつぎのように規定しています。

個人情報保護法ガイドライン(通則編)
3-3-4 委託先の監督(法第22条関係)
「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
(1)適切な委託先の選定
(2)委託契約の締結
(3)委託先における個人データ取扱状況の把握」

そして、「【委託を受けた者に対して必要かつ適切な監督を行っていない事例】」として、「事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」を挙げています。

LINEは、中国の関連会社などに自社の個人データの取扱の一部を委託していたわけですが、中国の関連会社からLINEの日本のサーバーへのアクセスが「何の目的で、どのような情報にアクセスしていたか不明」という状態であったのですから、委託先への監督が不十分であったとして、個人情報保護法22条に違反・抵触しているおそれがあるのではないでしょうか。

2014年のベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定し、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

個人情報保護法22条の委託先の監督は、いわば法20条の安全管理措置の委託先バージョンです。そのため、もしLINEの個人情報漏洩について利用者から損害賠償を求める民事訴訟が提起された場合、ベネッセ事件と同様に裁判所がLINEの安全管理措置の違背を認定し、損害賠償責任を認める可能性はあるのではないでしょうか。

(2)個人情報保護法24条(外国にある第三者への提供の制限)
つぎに、平成27年の法改正で新設された個人情報保護法24条は、外国にある第三者への提供の制限に関する規定を置いています。

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

すなわち、①提供先の第三者(=事業者など)が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合②提供先の事業者が所在する外国の個人情報保護法制が日本と同等の水準にあると認められる場合には、個人情報保護法23条1項各号のいずれかの提供方法(本人同意、オプトアウト、委託・合併・共同利用)で個人データを提供することができます。しかし、①②に該当しない場合は、③外国の第三者への提供を認める旨の本人の同意が必要となります(法24条)

この点、②の「外国の個人情報保護法制が日本と同等と認められる場合」の外国については、個人情報保護委員会が個人情報保護の観点や外交上の観点から、「ホワイトリスト方式」(日本版十分性認定)による規則を定めることとされており、この点、個人情報保護委員会は、2019年1月にEUおよびイギリスを、「外国の個人情報保護法制が日本と同等と認められる外国」に認定する規則を制定しています(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)。したがって、EUおよびイギリスではない中国、韓国は②には該当しません。

また、①「提供先の第三者が日本の個人情報保護法に基づくものと同様の措置を講じる体制を整備している場合」の「事業者が講じる体制」については、個人情報保護法ガイドラインは、APEC‐CBPRに適合している事業者であればこの要件を満たすとしていますが、LINEの件ではこの点は報道ではまだよくわかりません。(しかしこの点をLINE側が積極的にアピールしていない以上は、LINEの委託先・再委託先の事業者はこの要件を満たしていないと考えたほうよいのではないかと思われます。)

そうなると、NINEとしては、③の「外国の第三者への提供を認める旨の本人の同意」が必要となります(法24条)。

この点、LINEのプライバシーポリシーをみると、「5.パーソナルデータの提供」は、つぎのように、「当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。」と規定しています。

LINEプライバシーポリシー「パーソナルデータの提供」
(LINEプライバシーポリシーより)

・LINEプライバシーポリシー

法24条の③の「外国の第三者への提供を認める旨の本人の同意」の「外国」については、改正法の立案担当者は、「原則として国レベルで足りると解されているが、州レベルで差異が激しい場合は国名だけでなく州名もあげるべき」としており、最低限、国レベルの明示は必要であるとしています(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』143頁)。

したがって、プライバシーポリシーにおいて、中国の国名をあげずに「第三国」とのみしか標記していないNINEは、個人情報保護法24条に違反・抵触しているおそれがあります。

■追記(2021年3月26日)
この個人情報保護法24条の「外国」の国名の表示が必要か否かについては、次のブログ記事もご参照ください。

・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

すなわち、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、法24条の外国の国名を明示しなくてもよい場合の具体例を3つ例示しています。しかし、LINEはその3つの具体例のどれにも当てはまらないので、結論としてLINEはプライバシーポリシーで個人データの移転先の国名を明示することが必要であり、やはり個人情報保護法24条・個人情報ガイドラインQA9-2、9-3に抵触・違反しているものと思われます。

4.電気通信事業法など
LINEは電気通信事業者であり(届出電気通信事業者A-20-9913)、電気通信事業法上の責任を負っています。

憲法21条2項は「通信の秘密を規定し、これを受けて電気通信事業法4条通信の秘密の規定を置いています。また、同179条通信の秘密漏洩について罰則規定を置いています。さらに同28条、施行規則57条は、通信の秘密侵害に関する重大事故が発生した場合は、事業者は総務大臣に速やかな報告を行うとともに、30日以内に詳細な報告を行わなければならないと規定しています(業務の停止等の報告)。

この「通信の秘密」には、「通信の内容」だけでなく、「通信の外形的事項」(通信のメタデータ、通信の構成要素、通信データ)も含まれ、通信の送信者・受信者、宛先の住所・電話番号・メールアドレス、通信の個数や通信日時などが含まれるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決)。

今回の漏洩事故においては、「トーク」という「通信内容」とともに、「利用者のLINEID、氏名、電話番号、メールアドレス」などの「通信の外形的事項」に関する情報も漏洩したおそれがあるため、本漏洩事故は、電気通信事業法4条にも違反・抵触しているおそれがあります。

なお、電気通信事業法の「通信の秘密」に関しては、3月10日に総務省から楽天モバイルに対して行政指導が出されたばかりです。

・楽天モバイル株式会社に対する個人情報及び通信の秘密の保護の徹底に係る措置(指導)|総務省

さらに、LINEは信用スコア、融資、決済サービス、証券業、FX、仮想通貨、生命保険・損害保険などの事業も行っているため、LINEは金融庁に報告を行う必要があるものと思われます(「金融分野における個人情報保護に関するガイドライン」17条、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-6-1、6-6-1、保険業法100条の2、保険業法施行規則53条の8)。

また、LINEは、コロナに関するアンケート調査を2020年に複数回実施し、その結果を厚労省などに提供しています。また、近年LINEは、利用者が医者にLINEアプリで医療に関する相談などを行える事業(LINEヘルスケア)も展開しています。加えて、利用者が弁護士に相談を行える事業も実施しています。とくにコロナや医療に関する医療データ・傷病データは、個人情報のなかでもデリケートなセンシティブ情報(要配慮個人情報)です。

さらに、LINEは「LINEキャリア」などにおいて人材紹介ビジネスも行っているようです。履歴書・職務経歴書などをLINE上で作成して求人企業などに応募できるサービスや、LINE上でのユーザーの閲覧履歴・検索履歴などから求人企業とのマッチングなどを行っているようですが、2019年のリクナビ事件のように、就職活動・転職活動はこれもデリケートな個人情報保護やプライバシー保護が必要な分野です(職業安定法5条の4、厚労省指針通達平成11年第141号第4)。そのため、LINEは厚労省などに対しても報告を行う必要があると思われます。

(リクナビ事件に関する、厚労省および個人情報保護委員会の行政処分など)
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について|個人情報保護委員会
・募集情報等提供事業等の適正な運営について|厚生労働省
・「個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。|個人情報保護委員会

さらに、LINEがもし欧州に支店などを設置するなどして、欧州市民の個人データを取扱っていた場合は、GDPRに基づく迅速な報告が必要となります。

5.まとめ
この漏洩事故について、湯浅墾道・情報セキュリティ大学院大学副学長(情報法)は、「何の目的でどの情報にアクセスがあり、それがどの情報なのかをLINEが把握できていないのであれば、情報漏洩の恐れのある重大事故と言い得る」「政府や自治体はLINEとの連携の内容を再確認すべきだ。」と朝日新聞3月17日付の記事(35面)にコメントを寄せておられますが、まさにその通りであると思われます。

本漏洩事故は、日本の約8600万人のセンシティブな医療データ・金融データなどを含む個人情報・個人データおよび通信の秘密の漏洩事故であり、しかもその分野が情報通信、金融・保険、医療、雇用、国・自治体の行政サービスなどさまざまな分野におよぶという点で前例のない重大な個人情報漏洩事故です。

■追記(2021年3月17日20時)
朝日新聞の3月17日19時の続報によると、LINEはトークに投稿されたすべての画像・動画データ韓国の関連会社ネイバー(NAVER)のサーバーに保管していることがわかったとのことです。また、LINEもようやくプレスリリースを公表したようです。

・日本のLINE利用者の画像・動画全データ、韓国で保管|朝日新聞
・ユーザーの個人情報に関する一部報道について|LINE

個人情報保護法24条の「外国にある第三者への提供」の問題に、中国だけでなく韓国も加わったことになります。

しかし「すべて」の画像・動画データが韓国のサーバーにあるというのは驚きです。この画像・動画データには、当然、LINEヘルスケアや、厚労省が委託したコロナに関するアンケート調査などの日本国民の医療データ・傷病データなどのセンシティブ情報(要配慮個人情報)や、金融資産などに関するデリケートな個人情報も含まれているはずです。

上でみたように、LINEのプライバシーポリシーに、個人データの提供先に「韓国」が明示されていない以上、本人の同意は得られておらず、LINEは韓国のサーバーとの関係でも個人情報保護法24条に違反しているものと思われます。

また、上でもみたように、個人情報保護法20条および同ガイドラインは、個人情報取扱事業者に個人データのアクセス制御などの安全管理措置をとることを要求し、同22条は委託先の監督の義務を課しており、同ガイドラインは委託先がアクセス可能なデータは委託の目的から必要最低限にすること等を求めていますが、すべての画像・動画データが韓国のサーバーにあるというLINEの状況は、個人情報保護法20条、22条の安全管理および委託先の管理の法的義務を完全に逸脱したものであり違法です。

個人データの越境の問題は、通信の秘密、個人データ保護、プライバシー保護の問題であるとともに、企業の営業秘密や国の警察活動や安全保障・外交の問題でもあります。LINEの問題が今後どう進展してゆくか大いに注目されます。

■追記(2021年3月19日13時)
3月19日、NHKなどの報道によると、総務省は自省がLINEにより行っている行政サービス(意見募集や問い合わせ対応)を停止するとともに、全国の自治体に対して、LINEを使った行政サービスの利用状況を3月26日までに報告するよう求めることを決定したとのことです。また、政府は、内閣官房を含め、各省庁におけるLINEの利用状況の確認を始めたとのことです。さらに、個人情報保護委員会は現在、LINEに対して報告を求めている状況とのことです。

・LINEでの行政サービス停止 総務省|NHK

■追記(2021年3月20日)
3月19日、LINEに対して総務省は、個人情報、通信の秘密およびサイバーセキュリティ上の支障等に関して電気通信事業法166条1項に基づき報告徴収を行ったとのことです。また同日、個人情報保護委員会もLINEに対して、個人情報保護法40条に基づき報告徴収を行ったとのことです。さらに、ZホールディングスはLINEの問題について調査委員会を設置したとのことです。

・LINE株式会社に対する報告徴収|総務省
・第168回個人情報保護委員会を開催しました|個人情報保護委員会
・総務省 LINEに報告求める 中国の会社のアクセス問題で|NHK
・政府の個人情報保護委員会 LINEに報告求める|NHK
・外部有識者による、グローバルなデータガバナンスに関する特別委員会の開催のお知らせ|Zホールディングス

■追記(2021年3月21日)
3月21日付の朝日新聞の記事によると、LINEの個人データの中国や韓国の委託先・関連企業での違法・不当な取扱については、ヤフージャパンとLINEとの経営統合の話し合いの過程のなかで、遅くとも2021年1月には、ヤフージャパンも知るところとなったとのことです。
もしこれが事実であれば、LINEの経営陣だけでなく、経営統合のため動いていたヤフージャパンの経営陣や親会社のZホールディングスの経営陣の責任問題となるのではないでしょうか。
つまり、会社の経営陣は「取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない」という取締役の忠実義務の責任を負っています(会社法355条、民法644条)。この「法令」には個人情報保護法や電気通信事業法などはもちろん含まれます。そして、取締役に任務の懈怠などがあった場合は、その取締役は会社に対して損害賠償責任を負うこととなります(会社法423条)。このような事態となれば、LINEだけでなくヤフージャパンやZホールディングスは、株主からの株主代表訴訟を提起される法的リスクも負うことになります(会社法847条)。
なお、取締役の忠実義務に関しては経営判断の原則が問題となりますが、この経営判断も、あくまでも法令を遵守した上での経営者の経営上のリスクテイクなどの判断の是非が問題となるのであって、「違法な経営判断」が経営判断原則で合法化・正当化されるわけではありません(前田庸『会社法入門 第12版』412頁)。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

■追記(2021年3月31日)
個人情報保護委員会は3月26日に中間報告のプレスリリースを公表しました。それによると、LINEから報告書が提出されたものの、資料が不十分なため、個人情報保護法22条および24条について適法かどうかについて今後も調査を行うこと、中国からのアクセスが遮断されているかどうか引き続き監督を行うことなどが説明されています。また、報道によると、3月31日に個人情報保護委員会は、LINEとZホールディングスに対して立入検査を実施したとのことです。

・個人情報の保護に関する法律に基づく行政上の対応について(令和3年3月26日)|個人情報保護委員会
・LINEなどに立ち入り検査を実施 政府の個人情報保護委員会|NHK

■追記(2021年4月7日)
個人情報保護委員会の4月7日付のプレスリリースで公表されているLINEの個人情報に関する2回目の中間報告(「LINE(株)の個人情報の取扱いに関する対応について」)によると、個人情報保護委員会は現在もLINEの調査を継続中のようです。LINEの利用再開を開始した一部の官庁や自治体は、勇み足なのではないでしょうか。

・第171回 個人情報保護委員会|個人情報保護委員会

■追記(2021年4月23日)
4月23日、個人情報保護委員会は、LINE社に対して行政指導を行った旨のプレスリリースを発表しました。

・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会

・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施

リリースによると、個人情報保護委員会は、LINEの事件について、委託先の監督(法22条)の違反を認定した一方で、個人データの海外への移転に関する規制(法24条)については違反とは認定しなかったようです。法24条に関しては、現行法が大雑把にしか規定していないのでやむを得ないということなのでしょうか。なお、リリースによると、個人情報保護委員会のLINE社に対する立入検査は現在も続行中とのことです。

とはいえ、LINE社およびZホールディングスの経営陣は、個人情報保護委員会のプレスリリースの次のくだりを胸に刻み、大いに反省すべきではないでしょうか。

LINE社が委託等した個人情報は秘匿性が高く数量も多いことから、不適切な取扱が生じたときの影響も大きい。LINE社にはそれに応じた高い安全管理措置が必要

LINE行政指導1
LINE行政指導2

■追記(2021年4月26日)
4月26日、総務省はLINEに対する行政指導を行ったとのプレスリリースを発表しました。

・LINE株式会社に対する指導

・LINEの通信の秘密の問題に対して総務省が行政指導を実施

■追記(2021年4月30日)
内閣官房、個人情報保護委員会、金融庁、総務省は4月30日、「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を公表しました。

・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

同ガイドラインは国・自治体等の行政機関に対して、LINEサービスの利用について、①個人情報や機密情報に関する取扱いは原則禁止とし、相談業務サービスなどをLINE上で実施する場合にはLINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること等、②国・自治体等が個人アカウントで機密情報等を取扱うことの禁止、などを規定しています。
国・自治体のLINEガイドライン

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・前田庸『会社法入門 第12版』412頁

■関連するブログ記事
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEが個人情報漏洩事件に関し改正したプライバシーポリシーを読んでみた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ