2021年3月17日に各種メディアがコミュニケーションアプリ「LINE(ライン)」の個人情報管理体制について報じました。それを受けて、同サービスを運営するLINE社が個人情報保護委員会(内閣府の外局)の立入調査・指導を受けました。

LINEの場合、首相官邸がLINEを広報に活用していたり、自治体が行政サービス窓口として活用していたりと、行政利用も含めて影響は大きいです。これを踏まえて、本件の発覚の経緯と管理体制の課題を整理します。

LINEの個人情報管理体制関連対応の経緯と、規約修正内容について

今回の経緯については、LINE社の告知ページから抜粋します。

3月23日

  • 個人情報保護委員会への報告書を提出

  • 報道関係者向け説明会を実施

  • 中国での日本ユーザーの個人情報へのアクセスを遮断完了

  • 中国でのLINEのコミュニケーションに関連する機能・サービスに係る機能開発・保守業務や運用業務を終了

(中略)

3月29日

3月31日

  • 日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示

  • 「LINE ドクター」の画像データ、日本国内のサーバーへ全データの移管が完了

(中略)

4月19日

上記の経緯を見ると、報告書提出先が個人情報保護委員会・金融庁総務省の3者と範囲が広く、影響が大きいことがわかります。

続いて、3月31日に実施した「日本ユーザーを対象としたプライバシーポリシー改訂」について確認します。

LINE社の告知によると改訂後は日本の顧客のパーソナルデータを利用する可能性がある「具体的な国名・範囲」や、データ保管先の「具体的な国名」が明示されることになりました。まとめると以下の通りです。

5.パーソナルデータの提供:
■システムの開発や運用…主要な移転先:韓国、ベトナム
■カスタマーサポート(日本語除く)…主要な移転先:タイ、台湾、インドネシア、韓国、フィリピン

6.パーソナルデータの安全管理 /6.b.パーソナルデータの保管場所:
日本顧客のパーソナルデータを日本および韓国のデータセンターで保管

各項目で必ず「韓国」が対象に挙げられている理由は、LINE社の最終的な親会社が韓国IT企業のNAVER(ネイバー)社であるためです。

この点は、LINE社の2020年12月期 第3四半期報告書(Zホールディングスとの経営統合による上場廃止前)にも「当社グループの最終的な親会社は、韓国に所在し韓国取引所に上場しているNAVERであります。」という記載があること、更にZホールディングスとの経営統合に伴う吸収合併においても「本吸収合併の効力発生直後における当社及び NAVER らの保有する LINE の議決権割合を 50:50 とするための調整取引」が発生するという記載から判断可能です。

「LIMO[リーモ]の今日の記事へ」

個人情報が「海外のサーバーにある」ことを利用者はどうとらえるべきか

日本で運営されているサービスの個人データが「海外のサーバー」にあることを、利用者としてはどう捉えるべきでしょうか。

少し古い(2014年)資料ですが、一般社団法人 電子情報技術産業協会「IT サービス海外展開における留意点」を参考にしてみましょう。

この資料によると、日本法上においては、個人データを国外に移転させることそのものは規制がなく、個人データを「同一法人内で本店から支店に移動させる場合」であれば、規制を受けない、ということになるようです。

これを踏まえて個人情報保護委員会 「個人情報の保護に関する法律に基づく行政上の対応について」を確認すると、以下の通りです。

⑵ 法第 24 条の外国にある第三者への提供の制限
○「基準適合体制」については、一部改善を要する事項はあるものの、基準適合体制を整備するための措置が概ね講じられていた。
○「本人の同意」については、プライバシーポリシーにおいて、利用者の個人情報の利用目的(サービスの提供・改善、コンテンツの開発・改善、不正利用防止等)及び業務委託先の外国の第三者へ提供することが明記されており、利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い。

と記載されており、LINE社の個人情報の外国にある第三者への提供においては、社内体制・利用者向けの表示ともに、「改善は必要であるものの、大きな過失はない」旨が認定されていました。

行政サービスはどのように提供されるべきか

基本的には、ITサービスのデータが海外に存在していること自体は、社内管理体制がしっかり整えられている限りにおいては日本法上、問題になりません。したがって、LINE社の個人情報保護体制についても、当初の記載が曖昧な部分はあったにせよ、致命的な問題ではありません。

しかし、国や自治体が管轄している行政サービスを民間のITサービス上で扱う場合は話が変わります。

その行政サービスには、国民に関する情報(マイナンバー含む)や、国家機密が含まれている可能性も残ります。それらの情報を海外において良いかどうかについては、委託する国や自治体の方にこそ、慎重な判断が求められます。

先日のCOCOAの件にしても、今回のLINEの件にしても、発注側である国や自治体が、開発時の座組・データ管理体制について適切か「判断できていない」状況の方が大きな課題です。

発注側も受託側に任せきりにすることなく、

  • 機密情報/個人情報は国内のデータセンターで保存することを求める

  • 該当情報を扱える社員/スタッフの範囲を制限する方法の詳細提示を求める

など、必要な確認を能動的に行う必要があるでしょう。

参考資料