全3717文字
PR

 LINEアプリ利用者の個人情報が中国の委託企業から閲覧できた問題を受け、海外での個人データの扱いといった、企業におけるデータガバナンスの在り方が問われている。個人情報保護委員会はLINE問題について「法令違反といった状況にない」としたものの、LINE社には行政指導をして安全管理を徹底するよう求めた。ただ、国内には海外委託の詳細なルールはない。企業は手探り状態が続く。

中国リスクをLINE問題が顕在化させた
中国リスクをLINE問題が顕在化させた
(右の画像の出所:123RF)

「中国への越境移転は、どの業種においても一定程度存在する」

 今回の一連の問題で政府はLINE社に対して法令違反を指摘していない。ただ、中国などの海外企業が開発やデータ入力などで国内利用者の個人データを扱う際の安全性をどう確保するかが、新たな論点として浮上した。

 背景には幾つかの国際事情が絡む。まず中国は2017年6月に国家情報法を制定した。これにより、中国にある国内外の組織や個人に対する監視・情報収集が強化されるのではという懸念が日本でも高まった。

 さらに折からの米中対立などの国際情勢を背景に、中国企業が個人データを扱うことへの懸念といった「中国リスク」も顕在化している。米国や欧州連合(EU)がプライバシー保護制度を強化していることにより、国内でも個人データの扱いについて利用者の関心が高まっている。

 個人情報保護委員会が2021年3月末に実施した事業者における個人データの越境移転に関する実態調査では、回答した150社の約55%が個人データの越境移転をしていた。このうち移転先に中国を挙げた回答は米国に次ぎ2番目に多かった。同委員会は「個人データの越境移転先はビジネス展開に合わせ、中国を含めたアジア諸国の割合が高くなる傾向がみられるのではないか」「中国への越境移転は、どの業種においても一定程度行われているのではないか」とした。

 国は経済成長に向け、これまで海外とのデータ流通とその活用を推進してきた。そもそも海外でのデータ管理について詳細なルールはなく、個人データの越境移転も違法ではない。

「経済安全保障」を考慮したデータガバナンス

 海外でのデータ管理に国のルールもなく違法でもないなか、企業はLINE問題を踏まえて、データガバナンスをどう確立していくべきなのか。

 参考になりそうなのが、一連の問題について調査を進めている、Zホールディングスが設置した第三者委員会「グローバルなデータガバナンスに関する特別委員会」が検討中の提言である。同委員会は2021年6月11日に第一次報告書を公表し、最終報告書は2021年9月の公表となる予定だ。提言に基づいたLINE社のデータガバナンス体制について、同委員会の委員を務める東京大学公共政策大学院の大橋弘院長は「今後我が国のデータガバナンスの水準を決めるものと考えている」と話す。

 提言では、中国リスクのような「経済安全保障」を考慮したリスク管理を含めたデータガバナンス体制の確立を検討しているという。同委員会の座長を務める東京大学大学院の宍戸常寿教授は「『CXO』のように役員クラスの担当者を置くことが必要になるだろう」と説明する。渉外、セキュリティー、経済安全保障という3つの観点について、主要なグループ各社に責任者を設置し、それぞれが連携する体制を整備することなどが考えられるという。

 さらに国際基準にも対応する。LINE社は指摘を受け、アジア太平洋経済協力会議(APEC)が策定した認証制度である「越境プライバシールール(CBPR)の認証」の取得に向けた取り組みを始めた。

 CBPRは、APEC域内でデータを移転する際のルールである「APECプライバシー原則」に対し、企業などが適合しているか否かを国際的に認証する制度だ。認証を取得しようとする国内企業は、個人データの扱いを委託する外国企業にも同じルールを守らせる体制が必要になる。

 さらにLINE社は米国国立標準技術研究所(NIST)が定める国際的なサイバーセキュリティー基準「NIST SP800 171」準拠へ向けた取り組みも始めた。SP800 171は機密情報以外の重要情報(CUI:Controlled Unclassified Information)について、自社だけでなくサプライチェーン全体で漏洩を起こさないようにする対策項目が列挙されている。