このブログ記事の概要
本年3月に個人情報の問題が発覚したLINE社は、10月の有識者委員会の最終報告書を受けて個人情報の安全管理や委託先の監督、社内のコンプライアンスやガバナンスの強化を誓ったはずであるが、再び委託先の職員がGitHubへのLINEPayの個人情報漏洩事故を起こしたことは、個人情報保護法、資金決済法、ベネッセ個人情報漏洩事件判決等や、コンプライアンス、ガバナンスとの関係で非常に問題である。
1.LINE Pay の約13万人の決済情報がGitHub上に公開されていたことが発覚
2021年12月6日のITmediaニュースなどの報道や、LINE社のプレスリリースによると、通信アプリ大手LINE社の決済サービスLINE Payについて、約13万人分のアカウントの決済情報などの個人データが、LINE社の業務委託先の関連会社の従業員により、ソフトウェア開発のプラットフォームサイトのGitHub上で公開されていたことが発覚したとのことです。
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
(関連記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
2.事案の概要
LINE社のプレスリリースによると、LINE Payのポイント付与漏れの調査について、LINE社からグループ会社に調査の業務委託を行ったところ、当該調査を行うためのプログラムおよび対象となる決済に関する情報を、委託先のグループ会社の従業員が、GitHub上にアップロートし公開状態にしてしまい、それが閲覧できる状態になっていたとのことです。
公開状態になった情報のアカウント数は、133484件で、うち日本国内は51543アカウント、残り約8万件は海外のユーザーのアカウントであるとのことです。そして公開状態になった決済情報等の期間は2020年12月26日から2021年4月2日まで、そしてこれらの決済情報等が公開状態になっていた期間は、2021年9月12日から2021年11月24日までであったそうです。
また、公開状態になっていた情報は、対象ユーザーの識別子(LINEのアプリケーション内でユーザーを識別するためにプログラムにより自動的に割り当てられた識別子)、加盟店管理情報、キャンペーン情報であり、このキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれるとのことです。(氏名、住所、クレジットカード番号などの漏洩は確認されていない。)
そしてこの公開状態になっていた決済情報等に対しては、LINE社の調査の結果、11件の外部からのアクセスが確認されたとのことです。
2021年11月24日に、LINE社のモニタリング業務でGitHub上に決済情報等が公開されていることが発覚し、同日、LINE社はGitHub上の当該情報の削除を行い、11月30日にアクセス状況などの調査を完了し、同社は12月6日に、情報が漏洩したユーザーに対して通知を実施したとのことです。
3.検討
(1)個人情報保護法
今回GitHub上に公開状態となった、ユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などは、「個人に関する情報であって」、「当該情報…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるので、個人情報(個人情報保護法2条1項1号)に該当し、個人データです(同法2条6項)。とくにユーザー識別子はそれ自体は数字や英数字などの羅列にすぎないとしても、LINE社内の顧客の個人情報データベースで名寄せすれば、容易にユーザー識別子から特定の個人を識別できるので個人情報・個人データに該当します(個人情報保護法ガイドラインQ&A1-15など)。
(なお、ユーザー識別子がかりにLINE社内の顧客個人データベースと容易に照合できず、個人情報に該当しない場合であったとしても、2022年4月から施行される令和2年改正個人情報保護法で新設された「個人関連情報」(法26条の2)には該当することになります(佐脇紀代志『一問一答令和2年個人情報保護法』62頁)。)
そのため、LINE社は自社が保有する個人データについて、漏えい、滅失又はき損の防止などのために安全管理措置を講じることが要求されます(同法20条)。また、個人情報保護法は、個人情報を取扱う事業者に対して、自社の社内の安全管理措置だけでなく、安全管理措置の一環として、従業員の監督(同法21条)と委託先の監督(同法22条)を実施することを要求しています。
そして、個人情報保護委員会・金融庁「金融分野における個人情報の保護に関するガイドライン」(平成29年2月)8条は安全管理措置に関して金融機関は組織的安全管理措置・人的安全管理措置・技術的安全管理措置を講じなければならないとしています。また、同ガイドライン10条は委託先の監督について規定しています。
本年3月に、①LINE社の日本国内のLINEの個人情報が中国の委託先からアクセス可能であったことや、②日本国内のLINEの画像データ・動画データなどがすべてLINE社の韓国の関連会社のサーバーに保存されていたこと等が発覚し、大きな社会的問題となりましたが、今回の事件においても、LINE社は個人データの安全管理のうち、委託先への監督の部分が非常に弱く、問題が多いように見受けられます。また、委託先からのアクセス制御などが十分でないこともLINE社の抱える問題のように思われます。
この点、「金融分野における個人情報の保護に関するガイドライン」8条は、金融機関の事業者は、①組織的安全管理措置において、業務の委託に関して規程を整備することを要求し、また、②技術的安全管理措置においては、委託先や従業員などに適切なアクセス制御を行うことを要求しています。さらに、③同ガイドライン10条(委託先の管理)は、金融機関の事業者は、(a)委託先が個人データに関して適切な安全管理措置を講じることができるか、立入検査を行うなどして、あらかじめ十分に確認することや、(b)業務委託契約において個人データの取扱や、目的外利用の禁止、漏洩事故発生時の対応などを明記し、(c)定期的に立入検査を実施して委託先の安全管理の状況を確認することなどを規定しています。
今回の事件では、LINE社がポイント付与漏れの調査をグループ会社に委託したとのことですが、当該グループ会社が個人データの安全管理を十分に実施できる体制にあることを、LINE社の個人データ管理責任者などが委託先の選定基準などの規程に基づき十分にチェックしたのか、個人データ保護責任者などがあらかじめ当該グループ会社を立入検査するなどして、現場の安全管理の状況を十分確認したのかなどが問われると思われます。
また、ポイント付与漏れの調査のために、13万件のユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などの個人データをそのままグループ会社に提供する方法に問題がなかったのか、また今回のポイント付与漏れの調査のために、①グループ会社の従業員がGitHubなど外部のネットワークにアクセスすることが必要だったのか、②GitHubなど外部のネットワークへのアクセスを遮断する環境にすべきだったのではないか、③グループ会社のポイント付与漏れの調査を行う従業員へのLINE社の個人データを扱うサーバーのアクセス権設定は適切だったのか、などが問題になると思われます。
なお、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」は、個人データの漏洩などの事故が発生した場合には、①事件の原因などの調査を行い、②再発防止策などを策定・実施し、③被害を受けた個人に対して連絡を行い、④類似事案の発生や二次被害の発生を防止するために記者会見やプレスリリースなどで漏洩事故を公表するとともに、⑤個人情報保護委員会や監督官庁などに報告することを求めています。
この点、今回の個人情報漏洩事故においては、プレスリリースによると、LINE社は事故原因の調査や事故の状態のリカバリー、被害を受けた顧客への通知などは実施したようですが、個人情報保護委員会や総務省、金融庁・財務局などの監督官庁への報告を実施したのかは不明であり、この点もし実施していないなら報告を実施すべきであると思われます。(個人情報保護委員会は、報告徴求や立入検査などを行い、行政指導などを実施する権限があります(同法40条~42条)。
(2)資金決済法
LINE Payのサービスを提供しているLINE社は、資金決済法上の前払式支払手段発行者に該当します。そして資金決済法21条は利用者の個人データの保護のための安全管理措置を講じること、同法21条の2は委託先への監督を実施することを求めています。
また、前払式支払手段に関する内閣府令44条以下は、これも前払式支払手段を実施する事業者の安全管理措置や委託先の監督に関して、委託先に関してあらかじめ安全管理を十分に実施できる委託先を選定することや、委託後も定期的に立入検査を実施することなどを規定しています。加えて、金融庁の「事務ガイドライン(第三分冊:金融会社関係)」のなかの「 5.前払式支払手段発行者関係」も、委託先への監督について、委託先における個人データへのアクセス権設定などに関して詳細な規定が置かれています(前払ガイドラインⅡ-2ー3ー1)。なお同ガイドラインは、前払式支払手段の発行者の業務委託先を財務局または金融庁に届け出ることを求めています。
さらに、資金決済法は、財務局または金融庁は、前払式支払手段発行者およびその委託先に対して、報告徴求や立入検査を実施する権限(同法24条)と、業務改善命令などを発出する権限(同法25条)を規定しています(堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁)。
(3)守秘義務
金融機関は、金融機関と顧客との間に成立した取引関係に関連して金融機関が知り得た情報(顧客の財産状況、預金残高の出入り、債務残高など)を正当な理由なく第三者に漏洩してはならない義務を負っており、これが金融機関の守秘義務です。
預金残高や債務残高などの情報は、顧客の経済的信用にかかわるとくにデリケートな情報であり、これらは顧客の社会的信用やプライバシーに係る重要な情報であるからです。
金融機関が正当な理由なく顧客の決済情報などを漏洩した場合、当該金融機関は不法行為に基づく損害賠償責任(民法709条)を負う可能性があります(西尾信一『金融取引法 第2版』18頁)。
そのため、LINE社は今回の事件で、顧客から民事上の訴訟を提起される法的リスクがあります。
(4)裁判例-Yahoo!BB顧客情報漏洩事件(大阪地裁平成18年5月19日判決)・ベネッセ個人情報漏洩事件(最高裁第二小法廷平成29年10月23日判決)
(a)Yahoo!BB顧客情報漏洩事件
2004年2月に発覚したYahoo!BB顧客情報漏洩事件では、ヤフー株式会社等が「Yahoo!BB」の名称でADSLのインターネット接続サービスを提供していたところ、約450万人分の個人情報漏洩が発生しました。ヤフー等は社外から社内サーバーのメンテナンス作業を実施するためにリモートメンテナンスサーバーを設置していたところ、ヤフー等のメンテナンス作業の委託先企業の社員が、リモートアクセスのために付与されていたユーザーID・パスワードを用いて顧客個人情報サーバーにアクセスし、顧客個人情報を不正に取得するなどしていました。
これに対して個人情報が漏洩した顧客などがプライバシー侵害などを理由に提起した本訴訟では、裁判所は、「電気通信事業者における個人情報保護に関するガイドラインや個人情報保護法における安全管理措置の規定を踏まえると、ヤフー等は、電気通信事業者として、顧客個人情報への不正なアクセスや当該情報の漏洩の防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。」「ヤフー等のリモートアクセスの管理体制は、(略)極めて不十分であったと言わざるを得ず、ヤフー等は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反した」として、ヤフー等に対して不法行為に基づく損害賠償責任(一人あたり5000円)を認めています(山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁)。
(b)ベネッセ個人情報漏洩事件
また、2014年に発覚したベネッセ個人情報漏洩事件も、ベネッセの業務委託先の社員がベネッセの顧客個人情報データベースに不正にアクセスし、約3500万件の個人情報を持ち出した事件でしたが、顧客がプライバシー侵害を理由としてベネッセに提起した民事の損害賠償請求訴訟において、大阪高裁平成28年6月29日判決が「本件漏えいによって、控訴人が迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として顧客側の主張を斥けたのに対して、その上告審の最高裁第二小法廷平成29年年10月23日判決は、「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(略),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる」として、審理を大阪高裁に差戻し、これを受けた差戻審の大阪高裁令和元年11月20日判決は、ベネッセの安全管理措置違反によるプライバシー侵害により、顧客が不法行為に基づく損害を被ったとして、ベネッセの損害賠償責任を認める判決を出しています(損害額一人あたり1000円)。
すなわち、ベネッセ個人情報漏洩事件においては、大阪高裁が、個人情報漏洩事故により顧客が単に「不快感や不安感」を抱いただけではプライバシー侵害による不法行為責任は成立しないとしたのに対して、最高裁は、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いただけでもプライバシー侵害による不法行為は成立するとしています。
このように、Yahoo!BB顧客情報漏洩事件においては、裁判所は、個人情報を取扱う事業者に安全管理措置違反(個人情報保護法20条など)があり顧客の個人情報が漏洩した場合、プライバシー侵害による不法行為に基づく損害賠償責任が事業者側に発生するとしています。そして、ベネッセ個人情報漏洩事件の最高裁は、事業者の個人情報漏洩により、顧客に迷惑電話がかかってくるようになったであるとか、クレジットカードなどが不正に使用され金銭的損害が発生したなどの個別具体的な損害が発生していなくても、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いたのであればプライバシー侵害による不法行為責任は成立するとしています。
そのため、今回のLINE社のGitHub上への個人情報漏洩事件も、LINE社の安全管理措置違反(個人情報保護法20条)、委託先の監督の違反(同法22条)によりGitHub上に約13万件の個人情報が漏洩してしまったのであり、この事件により「不快感や不安感」を抱いた顧客がLINE社を相手にプライバシー侵害を理由とする不法行為による損害賠償請求訴訟を提起した場合、LINE社に損害賠償の支払いを命じる判決がでる可能性も無きにしもあらずなのではないでしょうか。
4.まとめ
LINE社に関しては、本年3月に朝日新聞の峯村健司氏等が、LINE社の委託先の中国企業が同社の日本国内の個人データにアクセス可能であったり、韓国のLINEの関連会社のサーバーに日本国内のLINEのすべての画像データ・動画データなどが保存されていることをスクープし、LINEを行政サービスに利用していた総務省などの官庁や地方自治体などが当該サービスを一時中断するなど、大きな社会問題となりました。その後、4月下旬に個人情報保護委員会および総務省はLINE社に対して行政指導を実施し、4月30日には内閣官房・個人情報保護委員会・金融庁・総務省は「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。
そして、10月18日には、ZホールディングスのLINEの個人情報の問題に関する有識者委員会は最終報告書を公表しました。この報告書は、①2017年に制定された中国の国家情報法についてLINE社が法務部門などによる詳細な検討を怠っていたこと、しかし情報セキュリティ部門が同法のリスクを経営陣に報告していたのに、LINE社の経営陣は中国の国家情報法の問題を経営上の課題として取り上げず、適切な対応を怠ったこと、②LINE社の公的部門への渉外担当部門が日本の国・自治体に対して合計3回、「日本国内のLINEの個人データは日本国内のサーバーにある」と虚偽の説明を行っていたことは、LINE社の経営陣がLINEはもともと韓国製のものであるという事実を隠す「韓国隠し」のために組織ぐるみで実施されたと考えるのが自然である等と、③LINE社の個人情報の取扱が杜撰なだけでなく、LINE社の経営陣がコンプライアンスやガバナンスの面で非常に大きな問題を抱えていたことを明らかにしています。
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス
LINE社とZホールディングス社は、この10月の有識者委員会の最終報告書を受けて、LINE社のコンプライアンスやガバナンスに大きな問題があり、その改善に取り組むとの意思を表明したはずでしたが、今回のGitHubにおける13万件の個人情報漏洩事故の発覚は、「またか」という感があります。とくに中国の個人情報の件で大きな問題であった、委託先の監督(個人情報保護法22条)の部分が、今回のGitHubの事故でも問題であったことは、LINE社とZホールディングス社にとっては大きな課題なのではないでしょうか。LINE社は、約8800万人の日本国内のユーザーが利用するデジタル・プラットフォーム事業者として、これ以上ユーザーの信頼を裏切らないためにも、真摯な対応を行うべきではないでしょうか。
なお、2021年1月には、三井住友銀行やNEC、NTTデータなどのシステムのソースコードを、システム開発会社の従業員がGitHub上にアップロードしてしまう事件が発生しました。GitHubの取扱をどのようにすべきか、日本の企業のシステム開発部門や法務部門、経営陣などは真剣に検討する必要があるかもしれません。
このブログ記事が面白かったら、ブックマークやいいねをお願いします!
■参考文献
・佐脇紀代志『一問一答令和2年個人情報保護法』62頁
・堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁
・西尾信一『金融取引法 第2版』18頁
・山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁
・岡村久道『個人情報保護法 第3版』218頁、227頁
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス
■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
