見出し画像

デジタル社会における個人情報保護

Dirbato公式

国内だけで8,600万人の利用者を抱えるLINEが、2021年4月、個人情報管理の不備に関し、個人情報保護法に基づく行政指導を受けました。デジタル化に伴いグローバルな業務分担が促進され、企業はコストメリットを追求したグローバルな開発・運用体制を構築してきました。しかしながら、米中ハイテク摩擦をきっかけに、他国から個人情報を閲覧されることに対する問題点が改めて浮き彫りになりました。
本コラムでは、社会のデジタル化が促進する中で、個人情報保護のあるべき姿について直近の事案を踏まえて考察します。

LINE問題の経緯

2021年3月17日、複数メディアがLINEの個人情報管理に不備があると報じました。LINEは同日にプレスリリースにて、情報漏えいは発生していないものの、海外拠点で一部個人情報を扱っていることを認め、説明が不十分であったことを認めました。画像や動画を韓国のデータセンターで管理していること、開発や監視業務を中国で実施していることを明らかにするとともに、利用者の個人情報が中国からアクセスできるおそれがあったと説明しました。
2021年3月19日には、LINEを傘下に持つZホールディングスが、「LINE社におけるグローバルなデータガバナンス」を検証・評価する特別委員会の設置を発表しました。委員として、大学教授、法律事務所、セキュリティ専門企業が選出され、データガバナンスの検証・評価を開始しています。
2021年3月21日、LINEは記者会見にて、①中国の委託先からのアクセスを遮断、②韓国サーバーに保存している画像・動画を国内に移転、③海外の第三者への個人情報の提供について具体的に言及しなかったプライバシーポリシーを改訂の3つの施策を公表しました。
あわせて、LINEを利用している自治体向けの説明会、金融庁および総務省への報告書提出等、当局を対象とした対応も進めました。2021年4月23日時点で、政府はLINEに対して、中国の関連企業に対する監督体制等に不備があったと判断し、処罰につながるおそれのある是正勧告ではなく、行政指導する方針を固めました。
当初は政府も懸念を示しており、重大な問題に発展することが考えられましたが、約1ヶ月の短期間で事案を収束させるに至りました。LINEあるいはZホールディングスのリスクマネジメント部門が事態の収拾に動いた事は想像に難くありません。当該組織の危機管理における対処が非常に迅速かつ的確で、参考にすべきところが多々あると感じました。

第三者提供と越境移転規制

今回の事案において、海外企業に業務を委託する際の個人情報の取り扱いが大きな論点となっています。さらに、最近の日本の対外政策もあり、中国、韓国というキーワードだけで過剰に反応していることも考えられます。ここでは、法的枠組みの中で一体何が問題であったのか改めて整理します。
メディアの報道から利用者が抱いた懸念としては、①アクセス可能な中国から個人情報が漏れたのではないか、②韓国等の海外データセンターに個人情報があること自体が不安、といった2点ではないでしょうか。これらの不安を解消するため、図1に示す施策をLINEは打ち出しています。個人情報取り扱い業務の国内への移管、プライバシーポリシーに国名を記載することが主な対応方針となっています。

画像1

各国の個人情報保護の法制度において、海外企業への業務委託について、「第三者提供規制」、「越境移転規制」が重要なポイントになります。
「第三者提供規制」とは、企業が保有する個人情報を保有企業以外の第三者に提供することを指し、原則として本人の同意がない限り提供はできません。個人情報の提供だけでなく、個人情報を閲覧できる権限も含めて第三者提供に含めて考える必要があります。
「越境移転規制」とは、制度が不十分な国へ個人情報を移転し、侵害が起きる事態を防ぐため、個人情報の越境移転を規制しています。
個人情報を取り扱う業務を海外企業に委託するにあたって、まずは「第三者提供規制」の内容を確認する必要があります。

・第三者への個人情報の提供
第三者への個人情報の提供は、原則として本人同意が必要だが、委託の場合は本人同意は原則(1)として不要(法23条5項1号)。 

(1)の原則に対し、次の例外に当てはまるかが問題となります。

・海外にある第三者への委託
「海外にある第三者」を委託先として個人情報を提供する場合、原則として本人同意が必要(法24条)。

通常は、海外にある第三者への個人情報提供についてプライバシーポリシーに記載し、法24条が定める同意を取ることとなります。さらに、海外にある第三者への委託の場合であったとしても、次の条件を満たせば本人同意が不要となります。

・同意不要となるための法が定める基準
海外にある第三者への委託であっても、法が定める以下のいずれかの例外を満たせば、本人同意は不要。(法24条括弧書き、法23条)
1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則で定める国にある場合(EU、英国のみが該当)
2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
3)法第23条第1項各号に該当する場合(生命・財産の保護、法令に基づく場合等)

したがって、今回の事案では中国の関連企業への業務委託であり、関連企業として国内と同等の基準に適合する体制を整備していることから、基準に適合すると考えられます。そのため、中国で個人情報を取り扱うことに関して、本人同意は必要ないと判断できます。仮に、本人同意が必要という場合であったとしても、現行法では、海外にある第三者への個人情報提供について、プライバシーポリシーに国名を明示する義務は定められていませんでした。しかしながら、2022年の改正法施行により、国名の明示が必須となることから、結果的にLINEは先んじてプライバシーポリシーの見直しを行ったことになります。改正法施行により、企業はプライバシーポリシーに従来以上具体的な記載を行い、同意取得することになりますが、その具体的内容と粒度については、現在検討中のガイドラインで示される予定です。

画像2

海外の個人情報保護の状況

個人情報保護に関わる法制度は各国で違いがあるため、グローバル展開する企業は進出先の個人情報保護を遵守するための技術的・運用的対策の妥当性について、躊躇することをしばしば耳にします。ここでは、代表的なEU、米国カリフォルニア州、日本、そして中国の個人情報保護の状況について取り上げます。

画像3

EUは、GDPR(General Data Protection Regulation:一般データ保護規則)が2018年に施行され、一番厳しい個人情報保護法であるとされています。EUの居住者に商品・サービスを提供する企業は、本拠地を置く国とは無関係に、GDPRを遵守する必要があります。GDPRは、企業の管理・説明責任を強く求めており、違反企業に対して、最大で連結売上高の4%、または2千ユーロ(約26億円)の制裁金を科す非常に厳しい罰則規程を設けています。
米国は、連邦法としての包括的な個人情報保護法は存在しません。企業による自主規制を基本としつつ、FTC法(連邦取引委員会法:Federal Trade Commission Act)で述べている「不公正・欺瞞的行為または慣行」に消費者の個人情報侵害が含まれると解釈することで担保しています。グローバルな個人情報保護の動きにあわせる形で、CCPA(カリフォルニア州消費者プライバシー法:California Consumer Privacy Act )が2020年に施行されました。①小規模企業はCCPAの対象外、②プライバシーポリシーの定期更新、削除・開示請求の権利行使の具体化、がCCPAの大きな特徴となっています。他の個人情報保護の法制度とは異なり、かなり具体的な対策に踏み込んだ対応をCCPAは要求しています。
日本は、2005年に個人情報保護法が施行され、3年毎の更新を踏まえて、2022年に改正個人情報保護法が施行されます。①個人情報に対する意識の高まり、②技術革新を踏まえた個人情報保護と利活用のバランス、③越境データの流通増大に伴う新たなリスクへの対応等の観点を踏まえた改正が行われます。図3に示す4項目を意識した上で、2022年施行に向けて、企業は対策を行う必要があります。

画像4

中国は、2017年施行のサイバーセキュリティ法等に部分的に個人情報に関する記載があり、それに従う形で個人情報保護を行ってきました。しかしながら、ようやく2020年に個人情報保護法草案が公表されました。中国の個人情報保護法草案はEUのGDPRと多くの類似点を持つとされています。注目点としては、①政府が強く関与する越境移転の制約が明記されていること、②同意に対する厳しい制約を設けて本人の権利を保障していること、③データの国内保存義務を課すこと、といった特徴的な法制度となっています。また、個人情報保護法草案 第43 条には、「いかなる国家及び地区であっても、個人情報保護の側面において中華人民共和国に対し偏見を持って禁止し、制限し又はその他類似の措置を講じていれば、中華人民共和国は、実際の状況に基づき、当該国家又は地区に対し相応の措置を講じることができる。」とあり、中国政府の強い関与を垣間見ることができます。さらに、2018年施行の国家情報法により、中国の国家情報活動機構から情報活動の協力を求められた場合は協力する義務を負うという情報保護を逸脱する行為を強制する枠組みが制定されています。

再考を迫られるデジタル化とBPO

デジタル庁の設立、行政サービスのデジタル化等「行政DX」を積極的に推進しているさなかに、今回の事案によって、デジタル化に潜む個人情報の取り扱いに関する不安が露呈しました。LINEに置き換わる行政の情報発信ツールを新たに開発するとしても、国民に浸透する点で懸念があります。例えば、厚労省主導で進めてきた新型コロナウイルス接触確認アプリ「COCOA」のダウンロード数は2,000万件程度に留まっています。8,600万ユーザーを抱えるLINEは単なる情報発信ツール以上の価値を持つことは明らかです。個人情報の取り扱いに関する不安感により、推進中の様々な「行政DX」の進捗に大きく影響してくることが懸念されます。
さらに大きなインパクトとして、BPO(Business Process Outsourcing)の再考を迫られるのではないかというおそれがあります。中国の大連に1998年に設立したDLSP(Dalian Software Park:大連ソフトウェアパーク)に、日本企業のBPOは大きく依存し、かつ成長してきました。現在、約300社のBPO関連企業がDLSPに入居しており、そのうち約2割を日系企業が占めています。DLSPでは、銀行、クレジットカード、保険の金融コールセンターやデータエントリー業務、IT機器の設定・故障のサポート業務を担っています。具体的には、顧客の入金・支払確認、住所変更等の各種手続き、IT機器の設定内容の確認を行っています。これらはいずれも個人情報やIT環境に関わる情報を閲覧することが前提の業務となります。単にプライバシーポリシーへの国名の記載、管理体制の整備によって、個人情報保護に対応できるのか、または中国への越境移転を禁止すべきなのか、今後の議論を要するところです。
実際、政府の個人情報保護委員会が調査に乗り出し、経団連と新経済連盟の加盟企業等に対して、現状把握を進めようとしています。今回の調査で実態をつかみ、2022年4月施行の改正個人情報保護法のガイドラインへ反映されることが考えられます。

まとめ

個人情報保護の新しい動きとして、国際間協調を目指したCBPR(Cross Border Privacy Rules:APEC越境プライバシールールシステム)の取組みが行われています。CBPRは、企業等の越境個人情報の保護に関して、APECプライバシー原則への適合性を認証するシステムであり、米国、カナダ、メキシコ、日本の4カ国が参加しています。CBPRあるいはGDPRの十分性認定等の国際間協調を目指した個人情報保護の取組みが、今後の大きな潮流になることが期待されます。

執筆者 桐生 健一
株式会社Dirbato
コンサルティンググループ シニアマネージャー

DXセキュリティ・ポリシーの策定、数千台規模のシステムの脆弱性評価・改善プロセス構築、サイバーセキュリティリスク評価プラットフォームの事業化検討を担当。
趣味はナチュラル・ワイン。

この記事が気に入ったらサポートをしてみませんか?