LINEと国境② 「規約で同意」の弊害
情報産業研究者 高野嘉史さんに聞く
LINE株式会社(以下L社」)の個人情報問題の二つ目は、韓国のNAVER社との関係です。
L社によれば、通信サービスLINEでやり取りされるデータのうち、会話(トーク)内容や会員登録情報などのプライバシー性の高い個人情報は日本国内のサーバーで管理されているものの、スマホ決済サービスLINEペイの決済データ、画像・動画などのデータは韓国のデータセンターに保管されているということです。日本国内ではなく、わざわざ韓国のデータセンターに保管した理由は「リーズナブル(安上がり)だったから」(舛田淳L社取締役)だといいます。
通信サービスの利用を勧めるLINE株式会社のホームページ
法律及ばず
韓国では、裁判所の令状によらずに政府機関などが捜査や調査の名目で民間企業の持つデータにアクセスする権限をもっています。日本の電気通信事業法で「通信の秘密」に関して厳しく定め、個人情報保護法を厳格に適用しようとしても、サーバーが韓国にあれば、日本の法律の効力を及ぼすことは事実上不可能です。
L社は画像・動画のデータを国内サーバーに移すと発表していますが、検証が必要です。一度サーバーに蓄積されたデータは、抹消してもその痕跡から再現することが可能です。
L社は総務省のグローバル課題検討ワーキンググループに提出した資料(2019年9月4日)で、「『通信の秘密』に関する情報を利用する場合、国内・海外を問わず利用者から同意を取得して」おり、捜査機関に対しても「原則として令状を根拠とする場合に限り」開示すると説明しています。しかし、通信の秘密は利用者の同意があれば侵害してもよいというほど軽いものではありません。また、捜査機関への開示について「原則として令状を根拠とする」と記したのは、例外があるとも受け取れます。海外のサーバーの利用や、国内のサーバーへの海外からのアクセスの可能性に触れられていないのも問題です。
個人情報保護法第24条は「本人の事前同意」がなくても個人データの海外移転が可能な場合を定めています。移転先が①日本と同等の保護の仕組みがあると個人情報保護規則で定める国(欧州連合・英国)の場合②それ以外の国に所在する企業で個人情報保護体制が同規則の定める基準に適合する場合―です。
今回のケースはこれらに当たらないので、個人データを移転する際に本人の事前同意を得る必要があると考えられます。LINEは利用規約に「(日本と)同等の個人データ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と書いていたので事前同意を得たと考えていたようです。しかし、具体的な国名を表示していなかったこと、業務委託先の運営体制に触れられていなかったことが問題視されています。L社は3月31日に規約を改正し、個人データの保管場所に韓国を追加したことを公表しました。
日本の慣行
しかし本来、移転先の国名を規約に明示すれば足りるというものではありません。交流サイト(SNS)などの利用に際して、こまごまとした規約に完全に目を通す利用者がどれほどいるでしょうか。しかも規約は全体として同意することがサービス利用の条件となっており、一部の項目に同意できなければサービスそのものを使えません。
膨大な規約の1項目として盛り込んだだけで利用者の事前同意を得たとみなす日本企業の慣行自体が問題です。個人情報保護委員会が事実上それを黙認してきたことの弊害があらわになっています。
とりわけ、個人データの海外移転のような重要な事項については個別に同意を得るべき項目と定め、これに同意をしなくてもサービスの利用を可能とすべきでしょう。
(つづく)
「しんぶん赤旗」日刊紙 2021年4月14日付掲載
スマホ決済サービスや画像・動画などのデータは韓国のデータセンターに保管。理由は「リーズナブル(安上がり)」だと。
韓国では、裁判所の令状によらずに政府機関などが捜査や調査の名目で民間企業の持つデータにアクセスする権限。日本のように「通信の秘密」で厳しいことはない。
データをどこのサーバーに保管されているかまで、ユーザーは「利用規約」を読んでいないって問題も。
情報産業研究者 高野嘉史さんに聞く
LINE株式会社(以下L社」)の個人情報問題の二つ目は、韓国のNAVER社との関係です。
L社によれば、通信サービスLINEでやり取りされるデータのうち、会話(トーク)内容や会員登録情報などのプライバシー性の高い個人情報は日本国内のサーバーで管理されているものの、スマホ決済サービスLINEペイの決済データ、画像・動画などのデータは韓国のデータセンターに保管されているということです。日本国内ではなく、わざわざ韓国のデータセンターに保管した理由は「リーズナブル(安上がり)だったから」(舛田淳L社取締役)だといいます。
通信サービスの利用を勧めるLINE株式会社のホームページ
法律及ばず
韓国では、裁判所の令状によらずに政府機関などが捜査や調査の名目で民間企業の持つデータにアクセスする権限をもっています。日本の電気通信事業法で「通信の秘密」に関して厳しく定め、個人情報保護法を厳格に適用しようとしても、サーバーが韓国にあれば、日本の法律の効力を及ぼすことは事実上不可能です。
L社は画像・動画のデータを国内サーバーに移すと発表していますが、検証が必要です。一度サーバーに蓄積されたデータは、抹消してもその痕跡から再現することが可能です。
L社は総務省のグローバル課題検討ワーキンググループに提出した資料(2019年9月4日)で、「『通信の秘密』に関する情報を利用する場合、国内・海外を問わず利用者から同意を取得して」おり、捜査機関に対しても「原則として令状を根拠とする場合に限り」開示すると説明しています。しかし、通信の秘密は利用者の同意があれば侵害してもよいというほど軽いものではありません。また、捜査機関への開示について「原則として令状を根拠とする」と記したのは、例外があるとも受け取れます。海外のサーバーの利用や、国内のサーバーへの海外からのアクセスの可能性に触れられていないのも問題です。
個人情報保護法第24条は「本人の事前同意」がなくても個人データの海外移転が可能な場合を定めています。移転先が①日本と同等の保護の仕組みがあると個人情報保護規則で定める国(欧州連合・英国)の場合②それ以外の国に所在する企業で個人情報保護体制が同規則の定める基準に適合する場合―です。
今回のケースはこれらに当たらないので、個人データを移転する際に本人の事前同意を得る必要があると考えられます。LINEは利用規約に「(日本と)同等の個人データ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と書いていたので事前同意を得たと考えていたようです。しかし、具体的な国名を表示していなかったこと、業務委託先の運営体制に触れられていなかったことが問題視されています。L社は3月31日に規約を改正し、個人データの保管場所に韓国を追加したことを公表しました。
日本の慣行
しかし本来、移転先の国名を規約に明示すれば足りるというものではありません。交流サイト(SNS)などの利用に際して、こまごまとした規約に完全に目を通す利用者がどれほどいるでしょうか。しかも規約は全体として同意することがサービス利用の条件となっており、一部の項目に同意できなければサービスそのものを使えません。
膨大な規約の1項目として盛り込んだだけで利用者の事前同意を得たとみなす日本企業の慣行自体が問題です。個人情報保護委員会が事実上それを黙認してきたことの弊害があらわになっています。
とりわけ、個人データの海外移転のような重要な事項については個別に同意を得るべき項目と定め、これに同意をしなくてもサービスの利用を可能とすべきでしょう。
(つづく)
「しんぶん赤旗」日刊紙 2021年4月14日付掲載
スマホ決済サービスや画像・動画などのデータは韓国のデータセンターに保管。理由は「リーズナブル(安上がり)」だと。
韓国では、裁判所の令状によらずに政府機関などが捜査や調査の名目で民間企業の持つデータにアクセスする権限。日本のように「通信の秘密」で厳しいことはない。
データをどこのサーバーに保管されているかまで、ユーザーは「利用規約」を読んでいないって問題も。
トータル
※コメント投稿者のブログIDはブログ作成者のみに通知されます