LINE、情報保護に穴 ルール整備不可欠

LINEは17日、システム開発を委託している中国の関連会社の従業員が、日本国内の利用者の個人情報にアクセスできる状態になっていたと発表した。LINEは個人情報保護法に違反しないとしているが、専門家の意見は分かれる。IT(情報技術)サービスの業務が拡大し海外への委託が広がっており、グローバル展開を支えるルール整備を急ぐ必要がある。
LINEは発表で「ユーザーへの説明が十分ではなかった」と謝罪した。同社によると、中国関連会社の従業員4人が2018年8月から21年2月まで、日本のサーバーにある個人情報にアクセスできる状態だった。
氏名・電話番号のほか、利用者から「不適切だ」と通報があったメッセージなどもアクセスできた。同社は「業務上必要な範囲のみで、不適切な利用は把握していない」とした。写真や動画、LINE Payの取引情報を韓国のデータセンターに保管していることも明らかにした。韓国でのデータの扱われ方については全容が明らかになっておらず、段階的に日本に移すという。
現行の個人情報保護法は、利用者の同意があれば個人情報を国外に移したり、日本にある情報を海外から見られるようにしたりすることを認める。LINEは利用者向け指針で「パーソナルデータを第三国に移転することがある」と明記していた点を強調し、法的な問題はないと主張する。
ただ利用者が趣旨を明確に理解できるようにしていたかは疑問だ。ある弁護士は「利用者が中国へのデータ移転を想定していないと同意の有効性に疑問が出る」と話す。
欧州連合(EU)の「一般データ保護規則(GDPR)」では、イラストを使うなどして利用者に理解してもらわない限り同意を取ったことにならない。日本も来春施行の改正個人情報保護法で移転先の国や制度などをわかりやすく説明し、理解を得ることを同意の条件にする。
個人情報保護法が定める「委託先の監督義務」を果たしていたかも疑問がある。影島広泰弁護士は「日本の法律を守らせる契約を委託先と締結していないなら法律違反の可能性も残る」と話す。
EUのデータ保護規則では、個人情報の管理が十分だと認定した国にしかデータ移転ができない仕組みがある。中国のように法律で情報提供を強要できるような国や地域へのデータ移転の扱いについては、日本でも議論を進める必要がある。
企業が業務の一部を海外に移す動きは2000年代初めごろから活発になった。特にIT業界では「技術者不足やコスト削減のため海外委託するケースが多い」(情報セキュリティー会社、S&Jの三輪信雄社長)。
富士通は中国で一般的なプログラミングなどの業務を委託しているが、個人情報を使う業務は基本的に委託しない。NTTデータはソフト開発を中国で委託する場合、開発したソフトにデータを抜き出すバックドア(裏口)が作られていないことを確認している。
ある国内のアプリ開発企業は、ベトナム子会社に個人情報を含む業務を委託している。ベトナムを選んだのは「中国より人件費が安く、国家にデータを見られるリスクも低いため」という。
与党も対策に動く。経済分野の安全保障政策を主導する自民党ルール形成戦略議員連盟の甘利明会長は17日、企業の情報保護体制に警鐘を鳴らした。
日本経済新聞の取材に「無防備に人材・コスト面から中国企業に(業務を)委託している日本企業は多く存在する。これを機にリスクを洗い出すべきだ」と訴えた。
外国企業との取引ルールを定めるガイドライン(指針)が必要だとの問題提起もした。「外国企業との取引を法律で禁止するのは難しいが、中国に機微データを抜かれることで米欧のサプライチェーン(供給網)から外される可能性があるとの危機感が足りない」と強調した。ルール議連や新国際秩序創造戦略本部を開き、党としての対応策を議論する方針だ。
◇
菅義偉首相は17日夜、政府内のLINEの運用方針について「見直すということではなく、事実関係を確認している状況だ」と述べた。政府は政府機関における利用実態を調査する方針だ。
(デジタル政策エディター 八十島綾平、伴正春、渋谷江里子、坂口幸裕)