LINEは日本において利用者数が非常に多いチャットアプリです。プライベートなメッセージや重要な情報のやり取り、写真や動画の送信もここでしている方が多いです。しかしながら、2021年3月、LINEから個人情報の取扱いが適正ではないのでないかというニュースが世に出ました。この事件は国内の中小企業に関係のない話ではありません。個人情報保護に配慮した運営をしていなければ同様の事件を起こしてしまうおそれがあります。
ここでは事件の概要と問題点等を説明していますので、ぜひ参考にしてください。
目次
LINEによる個人情報関連の事件概要
事件内容を要約をすると、「LINEに入れていた個人のデータに、委託先である中国の企業がアクセスできていた」というものです。LINE株式会社が中国の孫会社に一部の業務を委託、トーク内容や画像、動画等への情報へアクセスする権限を付与していたことから、その委託先企業が閲覧できる状況にあったのです。
機能の開発を委託しており、このアクセス権限は、不具合の原因追及等を目的として与えられていました。この権限を使い、ユーザー同士で行う「通報」のモニタリングなどを実施していたのです。
なお、同社の発表によると「外部から不正アクセスを受けたり、情報漏洩をしてしまったり、ということはない」ということです。
さらに、特に重要度の高いユーザーの個人情報、例えば名前・メールアドレス・電話番号・LINE IDなど、それ単体で個人の特定ができるものに関しては国内サーバーで安全に管理されているとも公表されています。
そのため、金銭的被害が生じるなど、ユーザーに対する実害が発生するには至っていないとのことです。ただ、ユーザーに対する説明が不十分であったこと、不安を抱かせるような運用体制になっていたことなどから、同社から謝罪の意が述べられています。
プライバシー性の高い情報が漏洩してしまった、などという事件ではありませんが、ユーザーの信用を失いかねない問題ですし、事実、この問題を受けて2021年3月19日に総務省はLINEを使った行政サービスを停止しました。その上で全国の自治体に対し利用状況の調査要請なども出したため、一般に多くの人が知り、関心を持つ大きな事件となったのです。
個人情報保護法の観点から挙げられる問題点
今回の問題は、平成29年に施行された個人情報保護法の改正内容に絡んでいます。このときの施行では、新たに個人データの越境移転が規制対象になっています。
同法第24条に規定があります。
(外国にある第三者への提供の制限)
引用:e-Gov法令検索
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
- 個人データ:データベース等を構成し、用意に検索ができる状態になった個人情報
- 個人データの越境移転:この個人データを国外の第三者へ移転させること
原則として、第三者に提供する場合には本人の承諾が必要なのですが、事業に使うあらゆる情報に対して承諾を要したのでは円滑なビジネスができません。そこで例外規定として、委託先の企業に提供する場合、本人の同意が不要とされています(法23条5項1号)。
しかしながら、上記の法24条では、委託先企業への提供であっても、それが国外の第三者であれば本人の同意が必要と規定しているのです。
ただ、複雑なのがこの場合においても一定要件を満たすことでやはり例外的に同意が不要になるとも定められており、このケースにおいては同意が必要だったのかというところが問題の1つとして挙げられました。
もう1つ、本事件において明確に問題であったのは、「プライバシーポリシーへの記載が不十分」であったということです。
事業者は個人情報の利用目的に関してできる限り特定することを求められます。しかしLINE株式会社のプライバシーポリシーには外国の委託先企業にアクセス権限を与えていたことの目的等が明示されていませんでした。ほかにも、データ移転先として可能性がある国名の明示を行うべきだったのです。
個人情報保護に向けたLINE株式会社の今後の方針
この事件を受け、LINE株式会社は「中国からの完全アクセス遮断」「中国での業務終了」「トークデータの完全な国内への移転」を発表しています。
中国からのアクセスは同年3月23日から遮断され、トークデータの国内移転近々完遂するといわれています。
さらに、自治体向けコロナワクチン予約システムやLINE Pay等のサービスに関するデータの保存場所もすべて日本に移すなど、ユーザーが安心して利用できるように取り組んでいく旨発表されています。
この事件は、LINEという誰もが使うアプリの大元で発生したためこれだけ大事になりましたが、事件内容としてはどの企業にも起こり得るものです。
実際、よく検討せずプライバシーポリシーを策定している企業は多いです。大きな被害が生じる前に自社の運用やポリシーの見直しに取り組んでみてはいかがでしょうか。取り組み方法等に関して不明点がある場合には専門家に相談してみましょう。