弁護士が解説、LINEの個人情報「漏えい」事案から読み解く海外サービスとの付き合い方

本事案に関する主なプレスリリース（執筆時点）

3月17日	LINE株式会社「ユーザーの個人情報に関する一部報道について」
3月19日	LINE株式会社「Zホールディングスにおける、外部有識者による、グローバルなデータガバナンスに関する特別委員会の設置について」
3月23日	LINE株式会社「個人情報保護委員会からの個人情報の取扱い等に係る報告および当社における今後の方針について」
3月26日	LINEヘルスケア株式会社「当社の提供サービス「LINE ドクター」におけるデータ管理体制について」
3月31日	LINE株式会社「日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示」
4月6日	Zホールディングス株式会社「グローバルなデータガバナンスに関する特別委員会 - Zホールディングス株式会社」
4月23日	LINE株式会社「当社に対する個人情報保護委員会からの指導および当社の改善策について」
4月26日	LINE株式会社「当社に対する総務省からの指導および当社の改善策について」
4月27日	LINE株式会社「「LINE」アプリの通報機能における説明文言の誤表示に関するお詫びおよび該当の説明文言の修正について」

1.外国におけるデータの取り扱いに関するポイント

　2021年3月17日以降、LINE株式会社が提供する無料通信アプリ「LINE」のデータの取り扱いについては多くの報道がなされています。また、個人情報保護委員会、総務省をはじめとした「LINE」のサービスに適用され得る法令の所管官庁等による報告徴収がなされているところ、これと並行して同社は自ら検討を進め、対応が行われています※4。法令順守やプライバシーリスクの観点から精査すべき事実については、同社のプレスリリースを踏まえたとしても、今後明らかにされる点が残っているように思量します。

　そして、同年4月23日、個人情報保護委員会は、個人情報保護法41条に基づく指導を行い※5、また、同月26日、総務省は電気通信事業法に基づく報告徴収を受けて指導を行っています※6。これらの指導内容については公表されていますが、事実関係の詳細についてまで記載されているものではありません。このため、各法令について確認すべき事実、それを前提とする適法・違法の別等、確定的なことは言えないものの、外国におけるデータ取り扱いに関する論点は提示されていると考えています。

　そこで以下では、同社のプレスリリースを中心にすでに明らかになっている事実関係を前提として、個人情報保護委員会および総務省の指導に係る公表文書を踏まえつつ、個人情報保護に関するいくつかの論点をあげていきます。またその中で、データを取り扱うサービスを提供する企業が注意するべきポイントを説明します。

1-1.越境データ移転のルール

　「個人情報の保護に関する法律」（平成15年法律第57号。以下「個人情報保護法」または単に「法」といいます）は、日本の個人情報取扱事業者が外国にある第三者に個人データを提供することについて、原則として、外国にある第三者に対して個人データを提供することを認める旨の同意を本人から得ることを求めます（法24条）。

　このルールでは、以下のケースは「外国にある第三者」から除くとされています。

　上記の場合、日本国内の第三者への提供と同様の規定（法23条）が適用されることとなります。また、個人情報保護法上「第三者」に該当しないとされる委託に伴う個人データの提供（同条5項1号）を行うなど、本人の同意を要しない形で整理することが認められます。

　本件の場合、中国および韓国は個人情報保護委員会規則が定める外国ではありませんので、LINE株式会社が「現状の課題認識」として「中国で個人情報にアクセスする業務を実施」、「トーク上の画像・動画などを国外で保管」および「プライバシーポリシーで国名を明示せず」という3つの問題を挙げていること※7からすると、同社において法24条の適用を前提とした検討が進められていることがうかがわれます。

　では、外国にある第三者に個人データを提供する場合の同意取得についてはどのようなポイントがあるでしょうか。また、外国にある第三者に対して自己の個人データを提供することを認めたと言い得る、本人がその是非を判断し得る合理的かつ適切な方法とは、どのようなものでしょうか。

（1）同意の取得のために提供すべき情報の内容

　個人情報取扱事業者は、法24条が設けられた趣旨に鑑み、基本的には、外国にある第三者に個人データを提供することを明確にしなければなりません。

　では、常に提供先の国名を明示することが求められるのでしょうか。この点について、個人情報保護委員会のQ&A ※89-2、9-3では、次のように解説されています。

　このように、個人の権利利益保護の要請を満たしつつ、多様かつ複雑なサービス展開と国内外を問わないインフラ構築・利用が進んでいく中でのデータ取り扱いの実態を反映する形で、必ずしも提供先の国名を明示する必要はないとされています。国名などを特定しないこととする場合は、提供可能性のある国・地域や、具体的な提供場面を特定することによって、本人が意図しない外国にある第三者への個人データの提供がなされないようにする必要があります。このとき、必ずしも個人データに含まれる項目などを明示することは求められていませんが、本人の判断に資するよう、併せて説明することが望ましいところです。

　なお、この点に関して、令和2年改正後の個人情報保護法（以下「令和2年改正法」といいます）では、本人の同意を根拠に個人データを外国にある第三者へ提供する場合、提供先の国名、当該外国における個人情報の保護に関する制度などに関する情報を提供しなければならないとされました（令和2年改正法24条2項、施行規則11条の3）。国名が特定できない場合は、特定できない旨およびその理由、ならびに国名に代わる本人に参考となるべき情報の提供が求められています（施行規則11条の3第3項）。上記の通り、同意の有効性のために必要な情報を提供する必要があるところ、個別事案ごとに判断されていた事項について明確化する側面があるといえます。

（2）同意取得の態様・方法

　個人情報保護法は、同意取得の方法について、様式を指定しません。このため、本人の意向を確認できている限り、口頭、書面（電磁的記録を含みます）のいずれでも差し支えなく、また、メールや、ウェブサイト上で設けられたチェックボックスにチェックを入れるなど多様な方法が選択できます。ただし、本人の意向を確認したと言い得るためには、同意の有効性を担保し得る方法をそれぞれ検討し、決定する必要があります。

　したがって、事業の性質および個人情報の取り扱い状況に応じて、本人が同意に係る判断をなし得る合理的かつ適切な方法を考えることとなります。

　ECサイトやスマホアプリでよく見かける方法としては、利用規約とプライバシーポリシーを表示し、チェックボックスを設けてチェックを入れてもらうものがあります。本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法を選択することがポイントになりますので、以下のような点が重要な要素として挙げられます。また、同意事項をピックアップして、チェックボックスの直上にて明示するなどの工夫をすることが一案です。

　令和2年改正法によって新たに求められるルールとして、個人関連情報を個人データとして取得する旨の同意の取得があります（同法26条の2）。その取得方法について方向性を示している個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について（個人関連情報）」（令和2年11月20日）は、同意の対象は異なるものの、外国にある第三者へ個人データを提供する際の同意取得の方法についても、本人の意向を確認するという点は共通しており、参考となります※9。

　仮に、本人から同意を取得すべき場合にこれを怠ったとすると、外国にある第三者への個人データの提供の場合は法24条に違反することとなります。また、仮に法23条によって規律されるケースであっても、委託先に対して自社の特定する利用目的の範囲を超えた取り扱いを許容するような場合は、同条1項の違反となります。このようなケースは、本来個人データを提供し、取得させることができない第三者への提供となるため、漏えい等と評価されるものであることに注意してください。

1-2.安全管理措置および業務委託に伴う個人データの取り扱いの委託と監督

　個人情報取扱事業者は、個人情報保護法上、個人データの取り扱いについて、漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません（法20条）。

　また、個人情報の取り扱いの全部または一部を委託する場合、安全管理が図られるよう、委託先に対して必要かつ適切な監督を行わなければなりません（法22条）。委託先の監督については、例えば、外国にある第三者への個人データの提供を行うこととして、本人から同意を得ているとしても、その義務を免れるものではありません。基本的には個人情報取扱事業者が自ら行うのと同等の保護が担保されるよう、監督する必要があります。

　LINE事案について、LINE株式会社が課題として挙げる「中国で個人情報にアクセスする業務を実施」「トーク上の画像・動画などを国外で保管」および「プライバシーポリシーで国名を明示せず」という3点は、ただちに個人情報保護法における安全管理上の問題を生じるものではありません。これら3点が、具体的な個人情報の取り扱い実態の中でどう評価されるか、総合して考える必要があります。安全管理のために具体的にどのような措置を講ずるか、どのような水準を保つかは、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模および性質、個人データの取り扱い状況（取り扱う個人データの性質および量を含みます）、個人データを記録した媒体の性質などに起因するリスクに応じて、必要かつ適切な内容とすべきものとされています※10。

　本事案では、中国での個人情報の取り扱いおよびトーク上の画像・動画などの国外での保管の実態を踏まえ、上記の要素から必要な措置を検討することとなります。また、本事案のように問題が生じたときなどにも、同様の要素から評価されることとなります。主なポイントとして、以下の事由が考えられます。

　委託先の監督については、法律上要求される、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うことが求められます。このため、（1）適切な委託先の選定、（2）委託契約の締結※11、（3）委託先における個人データ取り扱い状況の把握※12によって、安全管理を確保することとなります。そして、当然のことながら、委託する業務内容に対して必要のない個人データを提供しないようにすることが求められます。

　まず、データの取扱い実態が複雑なケース（例：業務内容ごとに委託先があり、また、再委託が認められ、総体として1つの利用がなされる場合）では、委託元において全体を把握したうえで、個人データの取扱いを含む業務内容を明確化するとともに、業務を実行する能力・体制を保持し、かつ、安全管理上のリスクが低い委託先を選定することが肝要です。

　そして、実態の複雑さにかかわらず、契約においては、例えば、個人データを取り扱う従業員の範囲を限定し、また、限定されるように規定することや、必要なアクセス制御を講じることを求めると規定することが考えられます。また、併せてモニタリングなどが行われ、定期的な報告を得られるよう規定することも検討すべきところです（モニタリングや調査については、委託元が直接行う方法と、委託先を通じて行う方法が考えられますが、このあたりは規定の趣旨を実現し得る方法を選択することとなります）※13。

　このような対応を行い、実際に運用することによって、仮に個人データそのものの取り扱いを要する業務であるとして、当初適切に設定したアクセス権限であったとしても、業務遂行上そのような権限が不要となった委託先社員のアクセス権限を取り消すことなどにより、安全管理を図るとともに、適切な監督を実施し得るものと考えられます※14。

　もしも、上記に問題があり、個人データにアクセスすることが認められない者がこれを取り扱っている（閲覧などを含みます）のであって、安全管理措置義務等に違反するような状態である場合、利用目的との関係で不要な取り扱いであり、また、不適切な第三者提供であるとして、漏えい等として評価されるものであることに留意してください。

2.本事案を検討するうえでのその他の論点

　本稿「1.外国におけるデータの取り扱いに関するポイント」では、LINE株式会社の事案を念頭に、外国におけるデータの取り扱いに関する個人情報保護法上のポイントを解説しました。同事案に関連する論点としては、指導にある個人情報取得時の情報提供のほか、以下の4点があると考えます。

　これらは企業として対応する範囲を超えた問題をはらみますが、今後のLINE事案をめぐる議論を読み解き、ルール・環境整備を検討するうえでの視座として有用であると考えられます。以下では、個人情報取得時の情報提供の点とともに、1.から3.について簡単にコメントします※15。

2-1.個人情報取得時の情報提供

　個人情報保護法は、取得に関して適正な取得を義務付ける他、要配慮個人情報の取得の同意を除いて特段の制限を設けていません。このため、何を取得するのかの詳細を説明することなど、取得のための様式が定まっていないため、適正な取得と評価されるように各社がそれぞれ検討、対応を行っていく必要があります。

　個人情報保護委員会は、上述の指導において、個人情報取得時の情報提供について問題としていますが、本事案では、メッセージなどの個人情報が含まれることから、そのセンシティビティに鑑みて判断がなされている可能性があります。とはいえ、様式がない中では、一定程度、上記の対応検討にあたり参考となると考えられます。取得する個人情報の範囲をわかりやすく通知するとともに、通知内容が適切に表示されているか確認する体制の整備などを含め、検討、対応を進めることが望ましいところです。

2-2.取り扱うデータの性質を踏まえたプライバシーに関する論点

　例えば「LINE」を通じた行政サービス、ヘルスケアサービスに対して、不安の声が上がっています。個人情報保護法上は1と関連し得るポイントではありますが、企業においては、プライバシーリスクの問題としても整理する必要があります※16。すなわち、ユーザーが懸念する点を把握・分析するなど、法令順守という枠を超えた「プライバシーガバナンス」を実施するということです。LINE株式会社が国内にデータを保存することについても、このような観点から検討された側面があると考えています。

2-3.パブリックアクセス、ガバメントアクセスに係る論点

　外国にある企業に業務委託を行い、また、外国にあるサーバを利用することに伴って、個人データを含むデータが越境移転する場合、「パブリックアクセス」や「ガバメントアクセス」の問題があることが考えられます。

　とはいえ、当該外国の政府がデータにアクセスする法令が存在するなど、当該外国における規制の対象（業種、データの性質など）、アクセスの要件、手続きの有無、アクセスが実行される可能性の高低を踏まえて、企業が契約でリスクヘッジすることには限界があります。また、仮に、このような問題があることについて本人に情報提供がなされたとしても、個人が判断し、その責任を負うことでよいのかという疑問があります。諸外国の動向や、今後の国内の議論が待たれるところです。

2-4.電気通信事業、重要インフラに関する論点

　LINE株式会社は、電気通信事業法（昭和59年法律第86号）における電気通信事業者に該当します。このため、電気通信事業者のセキュリティ、通信の秘密（電気通信事業法4条）※17との関係において、課題を整理する必要があります。

　総務省は、上述の指導において、LINE株式会社の報告に基づく限り、通信の秘密の侵害等については確認できなかった※18としていますが、アクセスのあった情報に通信の秘密等が含まれていないと評価されたのか等、評価の前提となる事実は不明であるため、各社がこれを参考に検討する事項は限られます。少なくとも、ビジネス上のデータ利活用のみならず、業務委託に伴う問題でもあることに注意が必要です。そして、電気通信事業者をはじめとして、通信の秘密にかかる問題が発生し得ることを改めて認識する端緒とはなったと考えられます。

　また、総務省の本事案に係る指導においては、社内システムに関する安全管理措置等や利用者に対する説明に一部不十分な点があるとしつつ「貴社が提供する電気通信役務の利用者は約8,600万人に上っており、多くの利用者が多様な用途で利用していることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、個人情報や通信の秘密の保護等に係る支障の発生の防止に万全を期すために必要な措置を講じることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる」として、電気通信事業の特性に留意した措置が求められています。

　また、サイバーセキュリティ基本法において、情報通信は「重要インフラ分野」とされ、電気通信事業者は重要インフラ事業者等に該当します※19。このため、政府においては、安全保障の観点を含めた検討が加えられる可能性があります。

3.事案発覚時の情報発信のあり方と、各社が再確認すべき実務上の対応

3-1.LINE事案では「漏えいはない」との言い切りや不明瞭な説明が厳しい追及につながっている

　一般に、ウェブサイトでの問題提起や報道を端緒として、SNSで情報が拡散され、また、国会で取り上げられることなどによって、事案が社会問題化するケースが見受けられます。プレスリリースには、何らかの被害が発生し、拡大し得る場合を想定して二次被害防止の観点から必要な情報を提供するもののほか、レピュテーションリスクの観点から発信するもの、企業姿勢を示す観点から発信するものがあり得ます。

　いずれの場合も、発信までのスピード感は重要ではありますが、調査段階においては事実関係が確定しないため、あいまいさが残ることがあります。また、調査段階で再度※20法的整理がなされるところ、必要な事実が出そろわないことがあります。そのため、提供する情報の精査と説明の仕方には注意が必要です。速報であるとしても、その後、事実関係に変化があると信頼を失いかねず、また、提供する情報によって誤解や不安を生じさせるおそれがありますので、慎重な判断が求められます。

　そして、事実関係を整理し、情報提供する際には、透明性の確保のみならず、問題とその対策を併せて明示することが肝要です。

　その他、第三者委員会を設置し、事実関係の整理、対策を検討するなどの方法がとられることがあります。これは、問題を起こした企業が自ら調査することなどによって適切な対応がなされないことを避け、また、透明性・客観性を確保することにより対応の妥当性を担保するという側面があります。このとき、第三者委員会を設置する趣旨に鑑み、委員の構成は、第三者性が担保されるように注意する必要があります。

　現時点でのLINE株式会社による対応に関していえば、そのスピードは別として、最初のプレスリリースで「漏えいはない」と言い切っている点※21、他方で簡潔・明瞭な説明がなされているとは言い難い点は、問題の所在をあいまいにするなどにつながり、上述のプレスリリースの意義からは評価できないと感じています。また、これによって、官庁などからの厳しい追及を受けやすくなっているように思います。

3-2本事案から各社が再確認すべき実務上の対応

　データの保管を含む処理やセキュリティのあり方は、上記1、2で説明したとおり、個人情報保護法のみならず、プライバシー、業規制、安全保障等の問題をはらむ複雑な問題です。まずは、今後の各省の動静に注意し、実務に影響するようなガイドラインの変更等がなされないか確認しておく必要があります。

　企業としては、データの利活用が多様化する中、法令順守を前提とし、経済合理性の観点とセキュリティリスクの高低を踏まえてバランスを図ることが引き続き求められます。さらに、プライバシーリスクについては、ユーザーとの対話が重要となると考えます。

　上記1であげた個人情報保護法に関する観点は、現行法の下で個人情報を事業に利用するすべての企業に関わる問題です。初動として、自社で取り扱うデータの把握が必要であり、実態調査・データの棚卸しを行うことが有益です。その中で、自社以外が関与するデータ取り扱いの洗い出し、その取り扱いの適法性を精査することが考えられます。

　同意取得については、個人情報の取り扱いを規定している自社の利用規約やプライバシーポリシーについて、同意取得の態様・方法を見直す必要があるのかを判断する必要があります。令和2年改正法への対応が予定される場合は、この点も併せて精査していくことがよいと考えます。

　安全管理については、業務委託に伴う個人情報取り扱いの委託にあたって締結している契約について、その内容が法に合致するか、監督を実施し得るものとなっているか、そして、契約に従うなどして監督を実施しているかをチェックし、疑義がある場合は、運用を含めて見直しを行っていくこととなります。具体的な措置、求められる水準は個社ごとに異なりますが、システム・セキュリティ関連部署等とも連携し、必要な措置が講じられるようにすることが肝要です。

　また、場当たり的な対応を続けることによって、不適切・違法なデータの取り扱いがなされるリスクは高まります。このため、プライバシーガバナンスの実施を含め、この機会に検討されることが望まれます。検討にあたっては、総務省、経済産業省「DX 時代における 企業のプライバシーガバナンスガイドブック ver1.0」（2020年8月）が参考となります。

3-3.事案発生時の社内の連携のあり方

　個人情報を含むデータの取り扱いについては、前述のとおり、法務のみならず、システム・セキュリティ部署のほか、経営企画、事業部等さまざまな部署が関係し、これらが連携して取り組むべき課題が多くあります。プレスリリースの発信を要する場合、企業の姿勢を示す観点からは広報が関与するでしょう。個別の問題に関する情報についてはお客さま相談室などが保有していることもあります。

　事案が発生した場合には、全社として取り組むべき課題であるという前提で、経営層が責任をもって対応することが肝要であり、関係する部署が連携して課題に取り組みうる体制整備等も必要です。法務担当者の役割としては、上記3−2で触れた実態調査の結果を得て、法的整理を踏まえて事実関係を担当役員にインプットし、アジェンダを設定して取り組みを実施するような対応が考えられます。

4.本事案を端緒として法務担当者がとるべき対応

　社会問題化する事案は、突発的な問題が発生したというケースよりも、そこに至るまでの問題がいくつもあるケースが圧倒的に多いと考えています。新規事業の企画から実施に至るまでの局面ごとに必要な判断がなされるところ、その中に課題がなかったか。また、システム開発、データの取り扱いを含むサービスの利用またはデータの保管方法（外国のベンダーやサーバを利用することを含みます）といった事業ベースを超えた取り組みについて、見落としがないか。そのような問題に取り組み、法令順守やプライバシーリスクに対処して、データ主体である本人にとって安心な環境でデータを利活用するためには、プライバシーガバナンスに全社で取り組むことが有益です。

　関係する部署の担当者がそれぞれ注意を払い、必要と考える対応を提案しても、他部署、経営者層によるその提案の評価の仕方が異なること、また、複数の提案に対する評価がばらつくことがあることから、社会問題化のリスクが生まれやすいように思われます。データの利用、セキュリティ、そしてプライバシーについて、これらを担当する役員を決め、当該役員の傘下に責任者を設けること、担当部署を横ぐしで機能させ得る部署を設け、または担当部署が連携できる仕組みを設けること、これらを前提とした事前チェック・対処が機能し得る内部規程・ガイドラインを策定することが肝要です。また、このような取り組みは、残念ながら問題が発生した場合にも、プレスリリース対応を含め、迅速かつ適切な対処を実現しやすくすると考えています。その他、第三者委員会のような中立の第三者による助言機能を設けることも有益です。

　法務担当の皆さまは、近年社会問題化したデータ利用のケースを見て、自社の取り組みや日々のリーガルチェックに不安を覚えることがあったのではないでしょうか。全社的な取り組みを進めるための端緒は企業ごとの文化によって異なるため一概に何から着手すればよいとは言えませんが、少なくともデータを積極的に利活用することを企図する場合は、近年の社会問題化したケースとその問題点およびベストプラクティスとして参照される事例を含む他社の取り組みについて社内に共有しておくことや、個人情報保護研修（特に役員向け）の内容を見直すなどして全社的な取り組みにつなげていくことも1つの案だと思います。

　本事案の報道やSNS等での反応を見て懸念を抱く法務担当の皆さまにおいては、リスク、コストおよび実現可能性という観点から優先順位付けを行い、（1）法令違反となる恐れのあるデータ利用の把握と対処、（2）全社的な取り組みという順に着手、対応されることがよいのではないかと思います。