弁護士が解説、LINEの個人情報「漏えい」事案から読み解く海外サービスとの付き合い方
LINEの情報管理体制が大きく報じられた。特に「中国のスタッフが日本ユーザーの個人情報を閲覧できる」「画像情報が全て韓国のサーバに保管されている」といった点が問題視されたが、今後も類似の問題が発生する可能性は続く。企業はこのような海外サービスとどう付き合うべきか。
本記事は2021年4月28日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
サマリー
- 外国におけるデータの取扱いに関するポイント
- 越境データ移転のルール
- 安全管理措置および業務委託に伴う個人データの取扱いの委託と監督
- 本事案を検討するうえでのその他の論点
- 個人情報取得時の情報提供
- 取り扱うデータの性質を踏まえたプライバシーに関する論点
- パブリックアクセス、ガバメントアクセスに係る論点
- 電気通信事業、重要インフラに関する論点
- 事案発覚時の情報発信のあり方と、各社が再確認すべき実務上の対応
- LINE事案では「漏えいはない」との言い切りや不明瞭な説明が厳しい追及につながっている
- 本事案から各社が再確認すべき実務上の対応
- 事案発生時の社内の連携のあり方
- 本事案を端緒として法務担当者がとるべき対応
2021年3月、LINE株式会社が提供する無料通信アプリ「LINE」について、中国関連企業のスタッフが日本国内のサーバにあるユーザーの個人情報へアクセスできる状態であったことが報道されました※1。また同社の公表情報※2では「主要なサーバは日本のデータセンターに集約」されている旨が説明されていた一方、「トーク」に投稿された全ての画像と動画が韓国内のサーバに保管されていることも併せて報じられました※3。
本稿では、個人情報の取り扱いをはじめとして本事案から考えるべき論点や、データを扱うサービスの提供企業が再確認すべき実務上の対応について、三浦法律事務所 日置巴美弁護士が解説します。
本事案に関する主なプレスリリース(執筆時点)
3月17日 | LINE株式会社「ユーザーの個人情報に関する一部報道について」 |
---|---|
3月19日 | LINE株式会社「Zホールディングスにおける、外部有識者による、グローバルなデータガバナンスに関する特別委員会の設置について」 |
3月23日 | LINE株式会社「個人情報保護委員会からの個人情報の取扱い等に係る報告および当社における今後の方針について」 |
3月26日 | LINEヘルスケア株式会社「当社の提供サービス「LINE ドクター」におけるデータ管理体制について」 |
3月31日 | LINE株式会社「日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示」 |
4月6日 | Zホールディングス株式会社「グローバルなデータガバナンスに関する特別委員会 - Zホールディングス株式会社」 |
4月23日 | LINE株式会社「当社に対する個人情報保護委員会からの指導および当社の改善策について」 |
4月26日 | LINE株式会社「当社に対する総務省からの指導および当社の改善策について」 |
4月27日 | LINE株式会社「「LINE」アプリの通報機能における説明文言の誤表示に関するお詫びおよび該当の説明文言の修正について」 |
1.外国におけるデータの取り扱いに関するポイント
ポイント
- 外国におけるデータの取り扱いについては、個人情報保護法24条の適用を前提とした検討を進めることとなる。LINE株式会社が公表している資料からは、同条の本人の同意の取得による対応がうかがわれる
- 令和2年改正個人情報保護法では、本人の同意を根拠に個人データを外国にある第三者へ移転する場合、移転先の国名、当該外国における個人情報の保護に関する制度等に関する情報を提供しなければならないとされている
- 外国にある第三者への個人データの提供の場合、本人から同意を取得すべき場合にこれを怠ると個人情報保護法24条に違反することとなる。本来個人データを提供し、取得させることができない第三者への提供は、漏えい等と評価される
- 委託先等において個人データにアクセスすることが認められない者がこれを取り扱っており(閲覧等を含む)、安全管理措置義務等に違反する状態である。利用目的との関係で不要な取り扱いであり、また、不適切な第三者提供であるとして、漏えい等と評価される
2021年3月17日以降、LINE株式会社が提供する無料通信アプリ「LINE」のデータの取り扱いについては多くの報道がなされています。また、個人情報保護委員会、総務省をはじめとした「LINE」のサービスに適用され得る法令の所管官庁等による報告徴収がなされているところ、これと並行して同社は自ら検討を進め、対応が行われています※4。法令順守やプライバシーリスクの観点から精査すべき事実については、同社のプレスリリースを踏まえたとしても、今後明らかにされる点が残っているように思量します。
そして、同年4月23日、個人情報保護委員会は、個人情報保護法41条に基づく指導を行い※5、また、同月26日、総務省は電気通信事業法に基づく報告徴収を受けて指導を行っています※6。これらの指導内容については公表されていますが、事実関係の詳細についてまで記載されているものではありません。このため、各法令について確認すべき事実、それを前提とする適法・違法の別等、確定的なことは言えないものの、外国におけるデータ取り扱いに関する論点は提示されていると考えています。
そこで以下では、同社のプレスリリースを中心にすでに明らかになっている事実関係を前提として、個人情報保護委員会および総務省の指導に係る公表文書を踏まえつつ、個人情報保護に関するいくつかの論点をあげていきます。またその中で、データを取り扱うサービスを提供する企業が注意するべきポイントを説明します。
調査・指導の対象となる事実
個人情報保護委員会
前提事実について詳細な記載はない。
なお、報告徴収に係る公表資料等より、外国(中国)の事業者への業務委託に係る個人情報の取り扱い状況について確認を行ったことは明らかとされている。
総務省
日本のサーバにある利用者の個人情報へのアクセスが可能となっていた事案。なお、再委託先企業LINE China(Shanghai LINE Digital Technology Limited. Dalian Branch)の従業員による、社内システムの1つであるモニタリング支援システム(LMP:LINE Monitoring Platform)に対するアクセスが対象に含まれる。
指導内容
個人情報保護委員会
(1)個人データの取扱いを委託する場合には、法22条に基づき委託先に対する必要かつ適切な監督を行う義務があるところ、法20条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、例えば次のような手法により必要かつ適切な監督を行うこと。
(2)LINEサービスの提供に関してメッセージ等の個人情報を取得する場合には、取得する個人情報の範囲を分かりやすく通知するとともに、通知内容が適切に表示されているか確認する体制を整備すること。
総務省
(1)社内システムに関する安全管理措置等に関する事項
- 社内システムへのアクセスを通じた利用者の個人情報や通信の秘密に該当する情報の漏えいが生じることのないよう、その万全を図るため、社内システムへのアクセス管理の強化徹底を図ること
- 内部向けシステムであるLMPの開発プロセスにおいて、権限管理やセキュリティチェックが適切に実施されていないケースがあったと認められることを踏まえ、LMPに限らずシステム開発全般について、適切な開発プロセスの下で実施されるよう確保することにより、利用者の個人情報および通信の秘密に該当する情報の漏えいが生じることのないよう、その万全を図る観点から、開発プロセスおよび開発組織のガバナンスの在り方を見直し、その強化を図ること
- 社内システムからの利用者の個人情報および通信の秘密に該当する情報の漏えいの防止に万全を期す上でリスク評価が十分ではなかったと認められることを踏まえ、社内システムに関するリスク評価等を行い、これらの情報の適切な取扱いに係る透明性・アカウンタビリティの向上を図ることにより、利用者からの信頼の確保に努めること
(2)トーク履歴等の通報機能使用に際して、利用者に示される文言が想定していたものと異なっていたケースがあったことを踏まえ、通信の秘密に関する情報の適切な取扱いを確保する観点から、トーク履歴の通報を行った際に、貴社に提供される情報の範囲、提供された情報の利用目的について利用者が分かりやすく理解できるようにするための措置を講じること。また、提供された情報が当該利用目的の範囲内で適切に取り扱われることを確保するための措置を講じること。
その他留意点
個人情報保護委員会
外国にある第三者への提供制限について「基準適合体制」と「本人の同意」について取り上げており、前者については一部改善を要するとしつつ、おおむね措置が講じられていると評価。他方、後者については、プライバシーポリシーにおいて、利用者の個人情報の利用目的(サービスの提供・改善、コンテンツの開発・改善、不正利用防止等)および業務委託先の外国の第三者へ提供することが明記されており、利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難いとし、正面から評価するような記載はされていない。
総務省
LMPへのアクセスのうち、特に通信の秘密又は個人情報に該当する可能性のある情報を含みうるLINEメッセンジャーに係るものおよび捜査機関対応業務従事者用システムに対するアクセスに関するものであり、貴社からの報告に基づく限りにおいては、通信の秘密の侵害又は個人情報の漏えい等があった旨は確認できなかったとされているが、アクセスのあった情報に通信の秘密等が含まれていないと評価されたのか等、評価の前提となる事実は不明。
1-1.越境データ移転のルール
「個人情報の保護に関する法律」(平成15年法律第57号。以下「個人情報保護法」または単に「法」といいます)は、日本の個人情報取扱事業者が外国にある第三者に個人データを提供することについて、原則として、外国にある第三者に対して個人データを提供することを認める旨の同意を本人から得ることを求めます(法24条)。
このルールでは、以下のケースは「外国にある第三者」から除くとされています。
法24条が適用されない場合
- 個人の権利利益を保護するうえで我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める外国にある第三者に個人情報を提供する場合
- 個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者である第三者に個人情報を提供する場合
上記の場合、日本国内の第三者への提供と同様の規定(法23条)が適用されることとなります。また、個人情報保護法上「第三者」に該当しないとされる委託に伴う個人データの提供(同条5項1号)を行うなど、本人の同意を要しない形で整理することが認められます。
本件の場合、中国および韓国は個人情報保護委員会規則が定める外国ではありませんので、LINE株式会社が「現状の課題認識」として「中国で個人情報にアクセスする業務を実施」、「トーク上の画像・動画などを国外で保管」および「プライバシーポリシーで国名を明示せず」という3つの問題を挙げていること※7からすると、同社において法24条の適用を前提とした検討が進められていることがうかがわれます。
では、外国にある第三者に個人データを提供する場合の同意取得についてはどのようなポイントがあるでしょうか。また、外国にある第三者に対して自己の個人データを提供することを認めたと言い得る、本人がその是非を判断し得る合理的かつ適切な方法とは、どのようなものでしょうか。
(1)同意の取得のために提供すべき情報の内容
個人情報取扱事業者は、法24条が設けられた趣旨に鑑み、基本的には、外国にある第三者に個人データを提供することを明確にしなければなりません。
では、常に提供先の国名を明示することが求められるのでしょうか。この点について、個人情報保護委員会のQ&A ※89-2、9-3では、次のように解説されています。
A9-2(一部抜粋)
事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければなりません。この方法には、提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法、実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)、国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法などが含まれ得ます。
A 9-3(一部抜粋)
(実質的に本人からみて提供先の国名等を特定できる方法について)例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供することは、当該国の記載がなくても、実質的に本人からみて提供先の国名を特定できるものと考えられます。
このように、個人の権利利益保護の要請を満たしつつ、多様かつ複雑なサービス展開と国内外を問わないインフラ構築・利用が進んでいく中でのデータ取り扱いの実態を反映する形で、必ずしも提供先の国名を明示する必要はないとされています。国名などを特定しないこととする場合は、提供可能性のある国・地域や、具体的な提供場面を特定することによって、本人が意図しない外国にある第三者への個人データの提供がなされないようにする必要があります。このとき、必ずしも個人データに含まれる項目などを明示することは求められていませんが、本人の判断に資するよう、併せて説明することが望ましいところです。
なお、この点に関して、令和2年改正後の個人情報保護法(以下「令和2年改正法」といいます)では、本人の同意を根拠に個人データを外国にある第三者へ提供する場合、提供先の国名、当該外国における個人情報の保護に関する制度などに関する情報を提供しなければならないとされました(令和2年改正法24条2項、施行規則11条の3)。国名が特定できない場合は、特定できない旨およびその理由、ならびに国名に代わる本人に参考となるべき情報の提供が求められています(施行規則11条の3第3項)。上記の通り、同意の有効性のために必要な情報を提供する必要があるところ、個別事案ごとに判断されていた事項について明確化する側面があるといえます。
(2)同意取得の態様・方法
個人情報保護法は、同意取得の方法について、様式を指定しません。このため、本人の意向を確認できている限り、口頭、書面(電磁的記録を含みます)のいずれでも差し支えなく、また、メールや、ウェブサイト上で設けられたチェックボックスにチェックを入れるなど多様な方法が選択できます。ただし、本人の意向を確認したと言い得るためには、同意の有効性を担保し得る方法をそれぞれ検討し、決定する必要があります。
したがって、事業の性質および個人情報の取り扱い状況に応じて、本人が同意に係る判断をなし得る合理的かつ適切な方法を考えることとなります。
ECサイトやスマホアプリでよく見かける方法としては、利用規約とプライバシーポリシーを表示し、チェックボックスを設けてチェックを入れてもらうものがあります。本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法を選択することがポイントになりますので、以下のような点が重要な要素として挙げられます。また、同意事項をピックアップして、チェックボックスの直上にて明示するなどの工夫をすることが一案です。
規定にアクセスしやすいUI
例:リンク先を複数回チェックしないと見られないなど、自身に適用される規定がわかりづらい方式は避け、対象となる規定のみスクロールして見られるようにする
説明の容易さ
例:長い利用規約やプライバシーポリシーの中に法定の同意事項が含まれているような、読み手に負荷をかける規定とせず、簡潔な文章とする
令和2年改正法によって新たに求められるルールとして、個人関連情報を個人データとして取得する旨の同意の取得があります(同法26条の2)。その取得方法について方向性を示している個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」(令和2年11月20日)は、同意の対象は異なるものの、外国にある第三者へ個人データを提供する際の同意取得の方法についても、本人の意向を確認するという点は共通しており、参考となります※9。
仮に、本人から同意を取得すべき場合にこれを怠ったとすると、外国にある第三者への個人データの提供の場合は法24条に違反することとなります。また、仮に法23条によって規律されるケースであっても、委託先に対して自社の特定する利用目的の範囲を超えた取り扱いを許容するような場合は、同条1項の違反となります。このようなケースは、本来個人データを提供し、取得させることができない第三者への提供となるため、漏えい等と評価されるものであることに注意してください。
1-2.安全管理措置および業務委託に伴う個人データの取り扱いの委託と監督
個人情報取扱事業者は、個人情報保護法上、個人データの取り扱いについて、漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(法20条)。
また、個人情報の取り扱いの全部または一部を委託する場合、安全管理が図られるよう、委託先に対して必要かつ適切な監督を行わなければなりません(法22条)。委託先の監督については、例えば、外国にある第三者への個人データの提供を行うこととして、本人から同意を得ているとしても、その義務を免れるものではありません。基本的には個人情報取扱事業者が自ら行うのと同等の保護が担保されるよう、監督する必要があります。
LINE事案について、LINE株式会社が課題として挙げる「中国で個人情報にアクセスする業務を実施」「トーク上の画像・動画などを国外で保管」および「プライバシーポリシーで国名を明示せず」という3点は、ただちに個人情報保護法における安全管理上の問題を生じるものではありません。これら3点が、具体的な個人情報の取り扱い実態の中でどう評価されるか、総合して考える必要があります。安全管理のために具体的にどのような措置を講ずるか、どのような水準を保つかは、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模および性質、個人データの取り扱い状況(取り扱う個人データの性質および量を含みます)、個人データを記録した媒体の性質などに起因するリスクに応じて、必要かつ適切な内容とすべきものとされています※10。
本事案では、中国での個人情報の取り扱いおよびトーク上の画像・動画などの国外での保管の実態を踏まえ、上記の要素から必要な措置を検討することとなります。また、本事案のように問題が生じたときなどにも、同様の要素から評価されることとなります。主なポイントとして、以下の事由が考えられます。
ポイント
- アクセス制御が適切になされていること
- 不正アクセスなどを防止する措置が講じられていること(技術的安全管理措置)
- 1、2が講じられ、機能するような体制を整備して運用しており、また、内部規程(具体的な取扱いなどルールおよび懲戒)を策定して適切な対応がなされていること(組織的安全管理措置)
委託先の監督については、法律上要求される、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うことが求められます。このため、(1)適切な委託先の選定、(2)委託契約の締結※11、(3)委託先における個人データ取り扱い状況の把握※12によって、安全管理を確保することとなります。そして、当然のことながら、委託する業務内容に対して必要のない個人データを提供しないようにすることが求められます。
まず、データの取扱い実態が複雑なケース(例:業務内容ごとに委託先があり、また、再委託が認められ、総体として1つの利用がなされる場合)では、委託元において全体を把握したうえで、個人データの取扱いを含む業務内容を明確化するとともに、業務を実行する能力・体制を保持し、かつ、安全管理上のリスクが低い委託先を選定することが肝要です。
そして、実態の複雑さにかかわらず、契約においては、例えば、個人データを取り扱う従業員の範囲を限定し、また、限定されるように規定することや、必要なアクセス制御を講じることを求めると規定することが考えられます。また、併せてモニタリングなどが行われ、定期的な報告を得られるよう規定することも検討すべきところです(モニタリングや調査については、委託元が直接行う方法と、委託先を通じて行う方法が考えられますが、このあたりは規定の趣旨を実現し得る方法を選択することとなります)※13。
このような対応を行い、実際に運用することによって、仮に個人データそのものの取り扱いを要する業務であるとして、当初適切に設定したアクセス権限であったとしても、業務遂行上そのような権限が不要となった委託先社員のアクセス権限を取り消すことなどにより、安全管理を図るとともに、適切な監督を実施し得るものと考えられます※14。
もしも、上記に問題があり、個人データにアクセスすることが認められない者がこれを取り扱っている(閲覧などを含みます)のであって、安全管理措置義務等に違反するような状態である場合、利用目的との関係で不要な取り扱いであり、また、不適切な第三者提供であるとして、漏えい等として評価されるものであることに留意してください。
2.本事案を検討するうえでのその他の論点
ポイント
- 個人情報取得時の情報提供については様式が定まっていないため、適正な取得と評価されるように各社がそれぞれ検討、対応を行う必要がある
- 「LINE」を通じた行政サービス、ヘルスケアサービスに対して不安の声が上がっていることから、本事案について、プライバシーリスクの問題としても整理する必要がある
- 外国にあるサーバを利用することに伴って、個人データを含むデータが越境移転する場合、当該外国の政府がデータにアクセスする法令が存在することなどから、パブリックアクセス、ガバメントアクセスの問題をはらむと考えられる
- LINE株式会社は電気通信事業者に該当し、通信の秘密を含む電気通信事業に関する問題がある。また、電気通信事業者として重要インフラ事業者等にあたることから、安全保障の観点を含めた検討が加えられる可能性がある
本稿「1.外国におけるデータの取り扱いに関するポイント」では、LINE株式会社の事案を念頭に、外国におけるデータの取り扱いに関する個人情報保護法上のポイントを解説しました。同事案に関連する論点としては、指導にある個人情報取得時の情報提供のほか、以下の4点があると考えます。
- 取り扱うデータの性質を踏まえたプライバシーに関する論点
- パブリックアクセス、ガバメントアクセスに係る論点
- 電気通信事業、重要インフラに関する論点
- インテリジェンスの論点
これらは企業として対応する範囲を超えた問題をはらみますが、今後のLINE事案をめぐる議論を読み解き、ルール・環境整備を検討するうえでの視座として有用であると考えられます。以下では、個人情報取得時の情報提供の点とともに、1.から3.について簡単にコメントします※15。
2-1.個人情報取得時の情報提供
個人情報保護法は、取得に関して適正な取得を義務付ける他、要配慮個人情報の取得の同意を除いて特段の制限を設けていません。このため、何を取得するのかの詳細を説明することなど、取得のための様式が定まっていないため、適正な取得と評価されるように各社がそれぞれ検討、対応を行っていく必要があります。
個人情報保護委員会は、上述の指導において、個人情報取得時の情報提供について問題としていますが、本事案では、メッセージなどの個人情報が含まれることから、そのセンシティビティに鑑みて判断がなされている可能性があります。とはいえ、様式がない中では、一定程度、上記の対応検討にあたり参考となると考えられます。取得する個人情報の範囲をわかりやすく通知するとともに、通知内容が適切に表示されているか確認する体制の整備などを含め、検討、対応を進めることが望ましいところです。
2-2.取り扱うデータの性質を踏まえたプライバシーに関する論点
例えば「LINE」を通じた行政サービス、ヘルスケアサービスに対して、不安の声が上がっています。個人情報保護法上は1と関連し得るポイントではありますが、企業においては、プライバシーリスクの問題としても整理する必要があります※16。すなわち、ユーザーが懸念する点を把握・分析するなど、法令順守という枠を超えた「プライバシーガバナンス」を実施するということです。LINE株式会社が国内にデータを保存することについても、このような観点から検討された側面があると考えています。
2-3.パブリックアクセス、ガバメントアクセスに係る論点
外国にある企業に業務委託を行い、また、外国にあるサーバを利用することに伴って、個人データを含むデータが越境移転する場合、「パブリックアクセス」や「ガバメントアクセス」の問題があることが考えられます。
とはいえ、当該外国の政府がデータにアクセスする法令が存在するなど、当該外国における規制の対象(業種、データの性質など)、アクセスの要件、手続きの有無、アクセスが実行される可能性の高低を踏まえて、企業が契約でリスクヘッジすることには限界があります。また、仮に、このような問題があることについて本人に情報提供がなされたとしても、個人が判断し、その責任を負うことでよいのかという疑問があります。諸外国の動向や、今後の国内の議論が待たれるところです。
2-4.電気通信事業、重要インフラに関する論点
LINE株式会社は、電気通信事業法(昭和59年法律第86号)における電気通信事業者に該当します。このため、電気通信事業者のセキュリティ、通信の秘密(電気通信事業法4条)※17との関係において、課題を整理する必要があります。
総務省は、上述の指導において、LINE株式会社の報告に基づく限り、通信の秘密の侵害等については確認できなかった※18としていますが、アクセスのあった情報に通信の秘密等が含まれていないと評価されたのか等、評価の前提となる事実は不明であるため、各社がこれを参考に検討する事項は限られます。少なくとも、ビジネス上のデータ利活用のみならず、業務委託に伴う問題でもあることに注意が必要です。そして、電気通信事業者をはじめとして、通信の秘密にかかる問題が発生し得ることを改めて認識する端緒とはなったと考えられます。
また、総務省の本事案に係る指導においては、社内システムに関する安全管理措置等や利用者に対する説明に一部不十分な点があるとしつつ「貴社が提供する電気通信役務の利用者は約8,600万人に上っており、多くの利用者が多様な用途で利用していることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、個人情報や通信の秘密の保護等に係る支障の発生の防止に万全を期すために必要な措置を講じることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる」として、電気通信事業の特性に留意した措置が求められています。
また、サイバーセキュリティ基本法において、情報通信は「重要インフラ分野」とされ、電気通信事業者は重要インフラ事業者等に該当します※19。このため、政府においては、安全保障の観点を含めた検討が加えられる可能性があります。
3.事案発覚時の情報発信のあり方と、各社が再確認すべき実務上の対応
ポイント
- LINE株式会社の対応については、プレスリリースで「漏えいはない」としつつ、簡潔・明瞭な説明がなされているとは言い難い点から、厳しい追及を受けやすくなっている側面がある
- 発生した事案については全社で取り組むべき課題である前提で、経営層が責任をもって対応することが肝要であり、関係部署が連携して課題に取り組みうる体制整備等も必要となる
3-1.LINE事案では「漏えいはない」との言い切りや不明瞭な説明が厳しい追及につながっている
一般に、ウェブサイトでの問題提起や報道を端緒として、SNSで情報が拡散され、また、国会で取り上げられることなどによって、事案が社会問題化するケースが見受けられます。プレスリリースには、何らかの被害が発生し、拡大し得る場合を想定して二次被害防止の観点から必要な情報を提供するもののほか、レピュテーションリスクの観点から発信するもの、企業姿勢を示す観点から発信するものがあり得ます。
いずれの場合も、発信までのスピード感は重要ではありますが、調査段階においては事実関係が確定しないため、あいまいさが残ることがあります。また、調査段階で再度※20法的整理がなされるところ、必要な事実が出そろわないことがあります。そのため、提供する情報の精査と説明の仕方には注意が必要です。速報であるとしても、その後、事実関係に変化があると信頼を失いかねず、また、提供する情報によって誤解や不安を生じさせるおそれがありますので、慎重な判断が求められます。
そして、事実関係を整理し、情報提供する際には、透明性の確保のみならず、問題とその対策を併せて明示することが肝要です。
その他、第三者委員会を設置し、事実関係の整理、対策を検討するなどの方法がとられることがあります。これは、問題を起こした企業が自ら調査することなどによって適切な対応がなされないことを避け、また、透明性・客観性を確保することにより対応の妥当性を担保するという側面があります。このとき、第三者委員会を設置する趣旨に鑑み、委員の構成は、第三者性が担保されるように注意する必要があります。
現時点でのLINE株式会社による対応に関していえば、そのスピードは別として、最初のプレスリリースで「漏えいはない」と言い切っている点※21、他方で簡潔・明瞭な説明がなされているとは言い難い点は、問題の所在をあいまいにするなどにつながり、上述のプレスリリースの意義からは評価できないと感じています。また、これによって、官庁などからの厳しい追及を受けやすくなっているように思います。
3-2本事案から各社が再確認すべき実務上の対応
データの保管を含む処理やセキュリティのあり方は、上記1、2で説明したとおり、個人情報保護法のみならず、プライバシー、業規制、安全保障等の問題をはらむ複雑な問題です。まずは、今後の各省の動静に注意し、実務に影響するようなガイドラインの変更等がなされないか確認しておく必要があります。
企業としては、データの利活用が多様化する中、法令順守を前提とし、経済合理性の観点とセキュリティリスクの高低を踏まえてバランスを図ることが引き続き求められます。さらに、プライバシーリスクについては、ユーザーとの対話が重要となると考えます。
上記1であげた個人情報保護法に関する観点は、現行法の下で個人情報を事業に利用するすべての企業に関わる問題です。初動として、自社で取り扱うデータの把握が必要であり、実態調査・データの棚卸しを行うことが有益です。その中で、自社以外が関与するデータ取り扱いの洗い出し、その取り扱いの適法性を精査することが考えられます。
同意取得については、個人情報の取り扱いを規定している自社の利用規約やプライバシーポリシーについて、同意取得の態様・方法を見直す必要があるのかを判断する必要があります。令和2年改正法への対応が予定される場合は、この点も併せて精査していくことがよいと考えます。
安全管理については、業務委託に伴う個人情報取り扱いの委託にあたって締結している契約について、その内容が法に合致するか、監督を実施し得るものとなっているか、そして、契約に従うなどして監督を実施しているかをチェックし、疑義がある場合は、運用を含めて見直しを行っていくこととなります。具体的な措置、求められる水準は個社ごとに異なりますが、システム・セキュリティ関連部署等とも連携し、必要な措置が講じられるようにすることが肝要です。
また、場当たり的な対応を続けることによって、不適切・違法なデータの取り扱いがなされるリスクは高まります。このため、プライバシーガバナンスの実施を含め、この機会に検討されることが望まれます。検討にあたっては、総務省、経済産業省「DX 時代における 企業のプライバシーガバナンスガイドブック ver1.0」(2020年8月)が参考となります。
3-3.事案発生時の社内の連携のあり方
個人情報を含むデータの取り扱いについては、前述のとおり、法務のみならず、システム・セキュリティ部署のほか、経営企画、事業部等さまざまな部署が関係し、これらが連携して取り組むべき課題が多くあります。プレスリリースの発信を要する場合、企業の姿勢を示す観点からは広報が関与するでしょう。個別の問題に関する情報についてはお客さま相談室などが保有していることもあります。
事案が発生した場合には、全社として取り組むべき課題であるという前提で、経営層が責任をもって対応することが肝要であり、関係する部署が連携して課題に取り組みうる体制整備等も必要です。法務担当者の役割としては、上記3−2で触れた実態調査の結果を得て、法的整理を踏まえて事実関係を担当役員にインプットし、アジェンダを設定して取り組みを実施するような対応が考えられます。
4.本事案を端緒として法務担当者がとるべき対応
社会問題化する事案は、突発的な問題が発生したというケースよりも、そこに至るまでの問題がいくつもあるケースが圧倒的に多いと考えています。新規事業の企画から実施に至るまでの局面ごとに必要な判断がなされるところ、その中に課題がなかったか。また、システム開発、データの取り扱いを含むサービスの利用またはデータの保管方法(外国のベンダーやサーバを利用することを含みます)といった事業ベースを超えた取り組みについて、見落としがないか。そのような問題に取り組み、法令順守やプライバシーリスクに対処して、データ主体である本人にとって安心な環境でデータを利活用するためには、プライバシーガバナンスに全社で取り組むことが有益です。
関係する部署の担当者がそれぞれ注意を払い、必要と考える対応を提案しても、他部署、経営者層によるその提案の評価の仕方が異なること、また、複数の提案に対する評価がばらつくことがあることから、社会問題化のリスクが生まれやすいように思われます。データの利用、セキュリティ、そしてプライバシーについて、これらを担当する役員を決め、当該役員の傘下に責任者を設けること、担当部署を横ぐしで機能させ得る部署を設け、または担当部署が連携できる仕組みを設けること、これらを前提とした事前チェック・対処が機能し得る内部規程・ガイドラインを策定することが肝要です。また、このような取り組みは、残念ながら問題が発生した場合にも、プレスリリース対応を含め、迅速かつ適切な対処を実現しやすくすると考えています。その他、第三者委員会のような中立の第三者による助言機能を設けることも有益です。
法務担当の皆さまは、近年社会問題化したデータ利用のケースを見て、自社の取り組みや日々のリーガルチェックに不安を覚えることがあったのではないでしょうか。全社的な取り組みを進めるための端緒は企業ごとの文化によって異なるため一概に何から着手すればよいとは言えませんが、少なくともデータを積極的に利活用することを企図する場合は、近年の社会問題化したケースとその問題点およびベストプラクティスとして参照される事例を含む他社の取り組みについて社内に共有しておくことや、個人情報保護研修(特に役員向け)の内容を見直すなどして全社的な取り組みにつなげていくことも1つの案だと思います。
本事案の報道やSNS等での反応を見て懸念を抱く法務担当の皆さまにおいては、リスク、コストおよび実現可能性という観点から優先順位付けを行い、(1)法令違反となる恐れのあるデータ利用の把握と対処、(2)全社的な取り組みという順に着手、対応されることがよいのではないかと思います。
編集部注
1.朝日新聞デジタル「LINEの個人情報管理に不備 中国の委託先が接続可能」(2021年3月17日、2021年4月12日最終確認)
2.LINE株式会社「データセキュリティ」(2017年9月13日、2021年4月12日最終確認)
3.朝日新聞デジタル「日本のLINE利用者の画像・動画全データ、韓国で保管」(2021年3月17日、2021年4月12日最終確認)
4.総務省「LINE株式会社に対する報告徴収」(令和3年3月19日)
LINE株式会社「個人情報保護委員会からの個人情報の取扱い等に係る報告および当社における今後の方針について」
5.個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(2021年4月23日)
6.総務省「LINE株式会社に対する指導」(2021年4月26日)
7.LINE株式会社「LINEのグローバルデータガバナンスの現状と今後の方針について」(2021年3月23日、2021年4月8日最終閲覧)
8.個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(2017年2月16 日、2020年9月1日最終更新)
9.なお、個人情報保護委員会の本事案に係る指導においては、法24条の同意取得についてはその対象としてないものの、「利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い」としており、特定の容易さを含めた正面からの評価はないように思われます。また、違法か否かという基準ではなく、適正さを担保するという観点から、同意取得の方法について検討することが望ましいことは言うまでもありません。
10.個人情報保護委員会・前掲注8)A7-1
11.委託契約には、当該個人データの取り扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取り扱い状況を委託元が合理的に把握することを盛り込むことが望ましいとされています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2016年11月、2021年1月一部改正))。
12.委託先における委託された個人データの取り扱い状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査したうえで、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいとされています(個人情報保護委員会・前掲注11))。
13.従業員モニタリングについては、就業規則の規定や、具体的な状況を踏まえたプライバシーリスクの観点等、別途整理すべき事項があることに留意してください。
14.個人情報保護委員会の本事案に係る指導においても、アクセス権限付与の必要性および範囲の組織的検討と必要な技術的安全管理措置を講ずること、不正閲覧等防止のためアクセスしたデータの適切な検証を可能とするログの保存・分析などの組織的安全管理措置を講ずること等の指摘があります。
15.インテリジェンスの論点については、例えば政府要人に係る諜報活動のようなものがあげられます。
16.個人情報保護法は、データの性質に関して「要配慮個人情報」を定義して、個人情報に加重した取り扱いを求めます。しかし、取得に係る本人の同意取得を要求する(法17条2項)こと、オプトアウト手続きによる第三者提供の対象から除外する(法23条2項)ことというルールがあるものの、その性質を理由として、外国にデータを移転することは禁止されず、安全管理上データを外国のサーバに保管することが直ちに制限されるというルールはありません。
17.「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」(同法4条1項)と規定され、電気通信事業者であるか否かに関わらず、何人も通信の秘密を侵害してはならないとされています。
18.LMP(LINE Monitoring Platform:社内システムの1つであるモニタリング支援システムの略称)へのアクセスのうち、特に通信の秘密または個人情報に該当する可能性のある情報を含みうるLINEメッセンジャーに係るものおよび捜査機関対応業務従事者用システムに対するアクセスに関するものを対象とする。
19.サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る第4次行動計画」(第4次行動計画)」(2017年4月18日、2020年1月30日改定)参照
20.ビジネス実施当初に法的整理がなされるため、再評価が行われることとなります。
21.LINE株式会社「ユーザーの個人情報に関する一部報道について」(2021年3月17日、2021年4月12日最終確認)
本記事は2021年4月28日のBUSINESS LAWYERS「LINEの個人情報・データ管理事案から考える、外国でのデータの取扱いと事案発生時の対応のあり方を日置巴美弁護士が解説」をキーマンズネット編集部が一部編集の上、転載したものです。
© BUSINESS LAWYERS
関連記事
- 弁護士が解説、個人情報「不適切利用事件」の問題点は何だったのか
個人情報を「ただ厳重に守っているだけ」では、グローバルビジネスから取り残されてしまう。しかし一方で、持ち主が不利益を被るような使い方をされてはいけない。過去に起きた事件の「何がまずかったのか」を、弁護士が解説する。 - 弁護士が解説する「GitHub事件」の法的責任、エンジニアの問題と管理者の課題とは?
2021年1月、クラウドサービス「GitHub」に三井住友銀行やNTTデータ子会社など複数社のシステムに関するソースコードが公開されていることが発覚した。「GitHub事件」と呼ばれる当該事案の背景やエンジニアが問われる法的責任、類似事案の防止策を弁護士が解説する。 - 「リクナビ事件」を再び起こさないために 個人情報保護法改正のポイントを弁護士が解説
2019年12月、リクナビによる内定辞退率の販売問題が、個人情報の保護と活用を両立させる仕組みの在り方を社会に問いかけた。リクナビ事件も背景に2020年6月に公布された改正個人情報保護法のポイントを、弁護士が解説する。