無料通信アプリ「LINE」の利用者の個人情報がシステム管理を委託された中国企業から閲覧できる状態になっていたことや、韓国のデータセンターに画像・動画・LINE Payの取引情報などのデータが保管されていたことが2021年3月に明らかとなり、大きな波紋を呼んだ。
アプリを運営するLINE社によると、アプリのシステム管理を中国・上海にある関連会社に委託。委託先の関連会社の中国人技術者が、日本国内のサーバにある利用者の氏名や電話番号、メールアドレス、トークテキストの内容などにアクセスできる状態になっていた。2021年2月から3月にかけて、アクセスできないように設定を変更したという。
しかし、政府や自治体はLINEを通じて提供していた行政サービスを相次いで停止。個人情報の取り扱いについて、個人のユーザー間でも不安が広がるなど、その影響は大きい。
同社は「外部からの不正アクセスや情報漏えいが発生したということはない」としているが、今回のケースは法的に問題なかったのだろうか。個人情報法制にくわしい影島広泰弁護士に聞いた。
●現在の個人情報保護法の状況は?
——国内の個人情報を海外へ移転することに対する法的規制はどのようになってますか。
個人情報保護法により、個人データを海外に移転することができるのは、以下の4つのうちのいずれかの場合に限られます。
(1)移転先の企業が個人データを取り扱わない場合(IaaSやPaaSと呼ばれるクラウドサービスや、ストレージサービスなどを使う場合が典型)
(2)移転先の国が、個人情報保護委員会による認定を受けている国(EUと英国)の場合(海外移転の規制を受けず、国内の第三者への提供と同じになる)
(3)移転先の企業が、個人情報保護委員会が定める下記2つの体制を整備している場合(海外移転の規制を受けず、国内の第三者への提供と同じになる)
・移転先の企業がAPECのCBPR認証を受けている場合(CBPR認証に加盟しているのは、米国・シンガポール・韓国・メキシコ・カナダ・オーストラリア・台湾・フィリピン・日本)
・移転先の企業との間で、契約やグループ内規程などを締結し、日本の個人情報保護法を守らせている場合
(4)本人の同意がある場合
また、金融分野や医療分野などでは、ガイドラインなどによって、海外にデータを保管する際の安全管理のための措置が求められています。もっとも、海外に保管すること自体は禁止されていません。
——個人情報保護法の改正で、原則として移転先の国名などを明記することが求められるようになりますが、どのような背景・理由があるのでしょうか。
最近、諸外国において、データの国内での保存を義務付ける「データ・ローカライゼーション」や、民間のデータに対して政府が制限なくアクセスできるような「ガバメント・アクセス」が立法化される事例が増えています。
このような状況下で、個人情報が海外に移転されると、個人の権利利益に大きなリスクが生じます。
たとえば、ひとたび「データ・ローカライゼーション」が義務づけられている国に個人情報を移転してしまうと、そのデータを自由に消去することができなくなってしまうかもしれません。
他方で、信頼できる国との間では自由にデータを移転できるようにしてビジネスや社会的課題の解決を実現することも重要です。そのためには、海外への移転について、個人が信頼感を持つことができる状態にしなければなりません。
そこで、2022年4月1日に施行される改正個人情報保護法では、海外へ移転するときの本人への説明を強化するとともに、移転した後に事故が発生した場合などへの対応策を講じることが求められることになりました。
——具体的にはどのような対応策が求められているのでしょうか。
まず、外国で個人データを取り扱っている場合には、その外国の個人情報保護制度などをプライバシーポリシーなどで公表することになる予定です。
その上で、本人の同意を得て移転するのであれば(前記4)、「国名」、「その国の個人情報保護の制度(データ・ローカライゼーションやガバメント・アクセスの制度があるかなど)」、「提供先の企業における個人情報の保護体制」の3つを事前に説明することが求められることになります。
たとえば、「お客様の個人情報は、●●国にある第三者に提供されます。同国の個人情報保護法は■■という制度になっていますが、個人情報に政府が制限なくアクセスすることができます」といった説明をした上で、同意を得ることになります。
なお、同意ではなく、移転先の企業に契約などで体制を整備させて移転する場合には(前記3)、体制が整備されていることを継続的に確認したり、法制度が変わったり事故が発生した場合などには提供を停止する措置をとることなどが義務化されます。
●「LINE社に法令違反があったかどうか、現時点では断言できない」
——LINE社のプライバシーポリシーや、中国から国内のサーバにある個人情報にアクセスできるようにしていた点は、法的な責任に結びつくものなのでしょうか。
現時点では詳細は不明ですが、法令違反があったとは断言できないと考えます。
同意に基づいて海外にデータを提供する場合(前記4)、「同意に係る判断を行うために必要と考えられる適切かつ合理的な方法」で同意を得なければならないというルールがあります。個人情報保護委員会によれば、この「方法」には、国名を特定するか、提供する場面を特定する方法が含まれるとされています。
したがって、LINE社が、国名も場面も特定せずに同意を得ていたのであれば、同意が有効であったといえるかは問題となり得ます。
しかしながら、適切な契約やグループ内規程などがあれば、同意なく海外にデータを移転できますので(前記3)、この方法を用いて移転していたのであれば問題ありません。
●無料サービスの対価は利用者の「個人情報等」
——LINE利用者で、個人情報の取り扱いに不安を感じた人は少なくないと思われますが、今回の件をどう捉えればよいのでしょうか。
まず、SNSなどのサービスを提供するためには、莫大な費用がかかります。それを無料で利用できるということは、我々は何らかの「対価」を払っているということを理解する必要があります。公正取引委員会は、利用者は「個人情報等」という対価を提供していると考えています。典型的には、個人情報等を利用して、その人が興味を持ちそうな広告が表示されることで、無料で利用できているのです。
会社のプライバシーポリシーや、アプリの利用規約などは、読み飛ばしてしまう人が多いかもしれませんが、どんな情報が収集されてどのように利用されているのかが書かれています。よく読んでみることが必要だと思います。
他方、企業側としては、字が小さくて長く、分かりにくい規約ではなく、分かりやすく透明性を持った説明がますます求められるようになっていると理解すべきでしょう。
——たしかに、規約は「内容が難しい」「読むのが面倒」という印象を持っている人も少なくなさそうです。
また、インターネットでのデータのやりとりに国境がなく、海外のアプリも日常的に使って生活している現在、データの取り扱いをどう考えるべきかは非常に難しい問題です。大きく3つの問題があります。
(a)データを国内に保存することを義務にすべきか(狭い意味での「データ・ローカライゼーション」)
(b)データを海外に移転することを規制するか(広い意味での「データ・ローカライゼーション」)
(c)政府によるデータへのアクセス(「ガバメント・アクセス」)のリスクをどう考えるか
まず、(a)について、国内保存義務を広く課している国には、中国やロシアが当てはまります。個人情報や重要データは必ず国内に保存しなければならないとしています。
これに対し、日本・米国・EUには、そのような広範な国内保存義務はありません。国内保存義務を課すことは、自由な貿易に対する障壁であるというスタンスで、反対する立場をとってきました。
たとえば、日本が合意している環太平洋パートナーシップ(TPP)協定では、「いずれの締約国も、自国の領域において事業を遂行するための条件として、対象者に対し、当該領域においてコンピュータ関連設備を利用し、又は設置することを要求してはならない」という原則を定め、「公共政策の正当な目的を達成するため」に必要がある場合を除き、国内保存義務を課すことを禁止しています。
また、米国・メキシコ・カナダの自由貿易協定(USMCA)も、「いずれの締結国も、その領域でビジネスを行うための条件として、その締結国の領域内のコンピューティング施設を使用または配置することを対象者に要求してはならない」と定めています。
——データを国内に保存することを義務化している国は少数に留まっているのですね。データを海外に移転することを規制している国についてはどうでしょうか。
(b)については、多くの国が海外への移転に規制を設けています。ここでいう海外への移転には、データを物理的に海外に移転することだけではなく、国内にあるデータに海外からアクセスさせることも含まれます。
中国やロシアはもちろん、EUの個人情報保護法(一般データ保護規則〈GDPR〉)にも厳しい規制がありますし、日本の個人情報保護法においても前述のとおりの規制があり、2022年施行の改正法の下で更に規制が強化されます。
これに対し、米国には、国外移転についての特別な規制はありません。
——(a)では足並みの揃っていた日本・米国・EUも、(b)では違う対応なのですね。
(c)のガバメント・アクセスも複雑な問題です。
今回問題になったように、中国では、国家情報法やサイバーセキュリティ法により、政府が民間のデータに自由にアクセスできるようになっています。しかし、ガバメント・アクセスは中国だけの問題ではありません。
米国でも、外国情報監視法(FISA)に基づいて、外国情報活動監視裁判所の令状により政府が民間のデータにアクセスすることが認められています。欧州司法裁判所が、このような制度がある米国には自由にデータ移転してはならないという判決を出すほど、大きな問題となっています。
また、CLOUD法といって、海外に所在するデータについても、裁判所の令状があれば米国政府がアクセスすることができる制度も存在しています。
——情報法制については、とても「欧米」ではくくれない状況といえそうです。
日本でも、刑事訴訟法の下で、捜査などの際に捜査機関がデータへアクセスすることが行われています。
EUが2019年1月に日本を「十分な個人情報保護がある国」と認定し、EUから日本へ自由にデータ移転できることとなりましたが、その際の欧州委員会の決定でも、日本のガバメント・アクセスが主要な問題となっていました。
●「データの安全確保、冷静に検討していく必要がある」
——単に「データを国内に保存すればいい」というだけの話ではないということですね。
さらにいえば、外資規制を導入するのかも検討の対象となるでしょう。放送業界に外資規制があることは有名な話ですが、SNSなどのネット系の企業には、日本電信電話(NTT)を除き、外資規制はありません。
もし、これらの規制を全て満たす究極の形を作れば、外国の会社であるグーグルもフェイスブックもツイッターも使えず、データは必ず国内に保存して政府がそれに自由にアクセスすることを認めることになります。これが中国です。それでよいという人は少数派ではないかと思います。
もちろん、データの安全を確保することは、安全保障や国家機密保持の観点から必須といえるでしょう。どの分野にどのような規制を課すのか、どの国を信頼できる国と考えていくのかなど、冷静に検討していく必要があるように思います。
