全2822文字
PR

 LINEが海外拠点で「LINEアプリ」利用者の個人情報を扱っていた問題が2021年3月17日に明らかになり、政府が実態調査に乗り出した。この波紋が海外拠点で個人情報を取り扱っている企業にも広がっている。

2021年3月22日の会見で謝罪した出沢剛社長(中央)らLINE幹部
2021年3月22日の会見で謝罪した出沢剛社長(中央)らLINE幹部
(撮影:日経クロステック)
[画像のクリックで拡大表示]

 問題が明らかになった2日後の2021年3月19日、政府の個人情報保護委員会はLINEに対して管理体制の「報告徴収」を発した。さらにその後、経団連や新経済連盟の加盟企業などに対しても海外拠点での個人情報の取り扱い状況を聞く調査に乗り出した。個人情報保護法違反の疑いがあれば行政処分も検討する。

 法律事務所などへの企業からの問い合わせも増えているという。個人情報保護法制に詳しい三宅法律事務所の渡辺雅之弁護士は「LINEアプリをビジネスで使う企業から利用を継続すべきかという問い合わせに加えて、海外拠点で顧客データを取り扱う企業から行政の動きや対応策などに関する相談が増えている」と話す。

 企業法務に携わる専門家が危惧するのは、現行法では適法な個人情報の取り扱いさえ問題視されかねない論調が広がっている点だ。例えばLINEの問題では、同社がプライバシーポリシーに具体的な国名を明記しないまま海外に個人データを移転する可能性を記述していたことを問題視する報道が相次いだ。

 しかし、現行の個人情報保護法は、海外で個人情報を取り扱う場合でも本人の同意が不要な「条件」を明示しており、日本企業の多くはこの条件を満たしているとされる。渡辺弁護士は、LINEの問題で政府や報道機関が検証すべきは「有効な本人同意だったかよりも、個人情報管理の体制を適切に構築・運営できていたかという『データガバナンス』だ」と指摘する。

 LINEの問題を受けて、「日本で集めた個人情報は国内で取り扱うのが鉄則だ」といった論調も強まっている。だがこれまで日本は個人情報保護法制において、「個人情報保護に関する法整備が同様に進んだ国や地域の間では、個人情報を含むデータを自由に移転できるようにする政策を推進してきた」(牛島総合法律事務所の影島広泰弁護士)。

 仮に、データの海外移転を制限する「データローカライゼーション規制」を推し進めるべきだとの議論が政府内などで始まると、これまでの政策がいきなり真逆に振れることになる。誤解や不安が広がるなか、企業は現行法に沿って、何と確認し、どんな対策を取るべきなのか。

本人の同意は「最終手段」として検討

 個人情報の海外移転について、個人情報保護法は第24条で次のような旨を規定している。「海外の第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない」。24条はこれと同時に、本人同意が不要となる幾つかの「例外」を明示している。

海外で個人情報を取り扱う場合に検討すべき体制整備。多くの日本企業は一般的に上から順に検討する
海外で個人情報を取り扱う場合に検討すべき体制整備。多くの日本企業は一般的に上から順に検討する
(出所:牛島総合法律事務所の影島広泰弁護士)
[画像のクリックで拡大表示]

 1つが「日本と同水準の個人情報保護制度を持つ外国」の企業に移転する場合だ。個人情報保護委員会が規則において国を個別に指定していて、具体的にはGDPR(一般データ保護規則)の導入地域である欧州連合(EU)と英国である。

 もう1つの例外が、委託先の海外企業が十分な個人情報保護の体制を整備していることを委託元の日本企業が確認・監督したうえで業務を委託する場合だ。どんな体制が必要かも個人情報保護委員会は規則で具体的に基準を定めている。

 国外に目を向けると、日本を含むアジア太平洋経済協力会議(APEC)に加盟する国・地域の間でデータを移転しやすくするため、委託元と委託崎の企業がともに十分な体制を持つかを認証する制度もある。「CBPR(Cross Border Privacy Rules:APEC越境プライバシールールシステム)」だ。

 ただしAPECに加盟する21の国・地域のうちCBPRに加わる国・地域は現時点で日本や米国、シンガポール、韓国、台湾など9にとどまる。日本でCBPRの認証を取得済みの企業は2020年12月時点で3社にとどまり、少なくとも日本ではまだ同制度が普及したとは言えない。

 2つの例外に当てはまる日本企業が少ないため、海外で個人情報を取り扱おうとする日本企業の大半が取るのが、委託元が自ら委託先の体制を確認する方法である。つまり、本人同意を取ることは、海外委託先の体制が2つの例外のいずれにも該当しない場合の、最終手段として検討されるというわけだ。

 政府は個人情報保護法について、海外での取り扱いを厳格化する2020年改正法の全面施行を2022年4月に予定している。改正後も本人同意の例外は原則として維持している。影島弁護士は「企業としては海外で取り扱うことに関する本人同意を取るよりも、まずは個人情報保護の体制確認と監督を優先して検討するという流れは変わらない」と指摘する。