全2581文字
PR

LINEは2021年3月17日、プライバシーポリシーの記述が不十分だったとして謝罪した。中国の関連会社の技術者がLINE利用者の個人データにアクセスできる点を説明できていなかった。海外に業務委託している企業にとって人ごとではない。海外への業務委託を過剰に萎縮させない仕組みが必要だ。

 LINEが情報管理についての説明をWebサイトに公表して謝罪したのは、「個人データの管理に不備があった」という同日の報道を受けたものだ。

 LINEの説明によると、LINEは中国・大連にある孫会社に委託して、捜査機関への対応や投稿監視などの機能開発のために、LINEアプリを使う日本国内ユーザーの名前や電話番号、メールアドレス、LINE IDなどへのアクセス権限を付与していたという。さらに画像や動画などに加え、スマホ決済サービス「LINE Pay」の取引情報を韓国のデータセンターで保管していた。

 LINEはプライバシーポリシーに「お客さまから同意を得た場合または適用法で認められる場合、お客さまのお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります」と記載している。ただ、今回LINEが説明したような詳しい内容までは記載していなかった。

 LINEはLINEアプリを使う国内ユーザーの一部個人データの扱いについて、「ユーザーの皆さまへのご説明が十分でなかった点について、ご不安やご心配をおかけすることになり、誠に申し訳ございません」と謝罪。親会社のZホールディングス(ZHD)は3月23日、LINEにおける個人データの取り扱いに対して、セキュリティーやガバナンスの観点から検証・評価する特別委員会の第1回会合を開いた。

「CBPR」などの体制整備が急務に

 LINEに限らず中国などの外国企業に業務を委託している日本企業は多い。IT業界を見ても、日本のIT企業が中国のオフショア開発サービスを利用したり、中国を含む外国企業にコールセンターやデータ入力など業務を委託したりする例は珍しくない。

 中国を巡っては、2017年6月に制定した国家情報法によって、国内外の組織や個人に対する監視や情報収集が強化されるのではないかという懸念が広がっている。LINEに関する報道を受けて、「中国企業に業務委託している全ての企業リスクを洗い出すべきだ」という政治家の発言も報道された。

 しかし国内企業が労働力不足やコスト削減を理由に、中国など外国企業に技術者を求める動きは止められない。各国でサービスを提供する企業はなおさらだ。海外への業務委託を過剰に萎縮させてしまうと、むしろ国内企業の経営が立ち行かなくなる恐れがある。

 そもそも委託先の外国企業が日本のユーザーらの個人データにアクセスできる場合に、国内企業があらかじめユーザーに同意を得ることが必須かと言えば、そうではない。現行の個人情報保護法は、国内企業が外国にある企業に個人データの扱いを委託する場合、ユーザー本人の同意が必要になる条件を定めている。個人情報保護法のガイドラインは事業の性質や個人データの取り扱い状況に応じて「必要と考えられる合理的かつ適切な方法によらなければならない」と明記している。

 ただし、外国企業に個人データの扱いを委託する場合、本人の同意を得ることが必要条件ではない。外国企業が個人情報保護委員会の規則で定める基準に適合した体制を整備している場合、事前の同意は不要だ。