KIYACを試す
このところ世間を賑わせているLINEの利用者情報が中国の関連会社で閲覧可能となっていた問題。
この騒動に関し、LINEの出澤社長らが会見を開き、近日中にLINEのプライバシーポリシーを改定することを明らかにしました。
そして、2021年3月31日、みなさんのスマホでLINEを立ち上げると「プライバシーポリシー改定のお知らせ」が届いていたかと思います。
LINEほどの大企業のプライバシーポリシーにも何か不味い点があったのでしょうか?
この記事では、弁護士がLINEのプライバシーポリシー改定の理由を紐解きながら、海外の事業者に個人データの処理を委託する他の事業者が学ぶべき事柄を確認します。
プライバシーポリシーのどこが改定されたのか?
プライバシーポリシーの改定箇所は、プレスリリースの中で明示されています。
重要な改定部分は、「個人に関する情報(パーソナルデータ)を海外の委託先などに移転する場合がある」という部分について、当該業務が発生する「国名」および「そのケース」について記載がなかったため、これを追記した、という部分です。
具体的には、韓国やベトナムで「システムの開発や運用」をするため、タイ、台湾、インドネシア、韓国及びフィリピンで「カスタマーサポート」をするために、それぞれLINEユーザーのパーソナルデータを海外に移転するケースがあると記載されています。
そんなに細かいことまで書かないといけないのか?
プライバシーポリシーをいくつか読んだことがある人は、「そんなに細かいことまでわざわざ書く必要があるのか?」と疑問を持ったかもしれません。
ここではまず、個人情報保護法のルールをおさらいしましょう。
個人情報保護法の原則
はじめに、個人情報を第三者に提供することは、原則として顧客の同意がなければNGであることはご存知かと思います(個人情報保護法(以下「法」)第24条第1項)。
例外
ただし、これには例外があり、①外部の業者に個人データの処理を委託する場合、②M&Aで買主に情報が移転する場合、③グループ企業で共同利用する場合には、顧客の個別の同意は不要となっています(法第23条第5項)。
そして、大企業含め多くの企業が①外部委託の例外を使って、顧客から個別の同意をとらずに個人データの取扱いを外注しています。
今回のニュースでも、無関係の第三者に個人データの取扱いを委ねていたわけではなく、LINEから委託を受けた中国の会社が個人データを取り扱っていたため、一見すると何も問題がないように思われます。
例外の例外
しかし、個人情報保護法には続きがあり、続く法第24条で、外国の事業者に個人データの取扱いを外注する場合は、先程みた例外規定は使えない、となっているのです。
では中国の事業者への外注は問答無用でアウトなのか?というと、、、
例外の例外の例外
上記の例外の例外にはさらに例外があり、①EUなどの個人情報保護法制が整った特定の国の事業者や、②そのような国ではなくても個人情報保護に関する特定の認証を受けている事業者であれば、ユーザーの同意を個別に得ずに個人データの取扱いを外注することがOKとなっています(法第24条括弧書き)。
ちなみに、今回問題となっている中国は①の国には含まれていません。
同意があればOK
以上みてきた「例外」「例外の例外」「例外の例外の例外」は、あくまでもユーザーから個別に同意を得ずに個人データを外部に移転することが合法かどうか、という話です。
以上の例外群には該当しなくとも、ユーザーから個別に同意を取り付けさえすれば、個人データの取扱いを中国を含む海外の企業に委託することは合法になります(法第23条柱書き)。
そして、ユーザーから個別に同意を取り付けるもっとも代表的な方法が、「プライバシーポリシーに同意させる」ということです。
そのため、上記「例外の例外の例外」が使えないとしても、LINEのプライバシーポリシーで、中国の事業者に個人情報の処理を委託することについて記載があり、これに対してユーザーの同意があれば、合法、ということになります。
プライバシーポリシーに国名まで書く必要はあるのか?
では、本件が報道される前のLINEのプライバシーポリシーがどうなっていたかというと、冒頭で説明したとおり、海外の事業者に個人データの取扱いを委託する可能性があるという抽象的な記載はあったものの、それがどのような国の事業者に、どのようなケースで委託するのかという具体的なことは書かれていませんでした。
ようやくここで本題に入れるわけですが、では、そのようなプライバシーポリシーは個人情報保護法の要請を満たす合法なものだったのか、が問題になります。
もし合法であれば、ユーザーからプライバシーポリシーでちゃんと同意をとっていたので中国の事業者に個人データの取り扱いを委託することも勿論合法、何の問題もない、ということになります。
結論から言うと、ここは、そもそも個人情報保護法の運用自体が曖昧な状態でした。
まず、個人情報保護法には、個別の国名や具体的なケースまで記載するように、ということは書かれていません。
しかしながら、個人情報保護委員会が発表しているガイドラインでは、「具体的に国名を書くように」という記載や、「具体的に国名を書くことは必須ではない」といった記載が混在している状態でした。
そのため、LINEの旧プライバシーポリシーの記載が、「違法」なものだったかというと、違法と断言できるようなものではなかったのではないかと思われます。
実際、LINEのプレスリリースをみても、「皆さまに安心してサービスをご利用いただくために、具体的な情報を追記し、改定いたしました。」とあるとおり、法律上必須ではないが、顧客サービスのために丁寧に追記をした、という説明ぶりになっています。
他社ではどうなっているのか?
実際のところ、これまで、大企業含め、プライバシーポリシーの中で具体的な海外の国名や個人データを移転させるケースまで列挙していたケースはほとんど無いのではないかと思います。
しかしながら、今回のLINEの騒動を受けて、コンプライアンスや顧客サービスの観点から、具体的な国名を列挙する、国名まで書かずとも具体的なケースを列挙するといった形でのプライバシーポリシー改定が他社でも生じるかもしれません。
個人情報保護法が改正されるらしい?
さらに重要なこととして、実は2022年(令和4年)に施行予定の改正個人情報保護法(すでに成立しています)においては、外国の事業者に個人データの取扱いを委託する場合には、その外国の名称等をプライバシーポリシーに明記しなければならなくなります。
そのため、LINEのような動きは、遅くとも2022年の改正個人情報保護法の施行までには、各社対応する必要があるということになります。
どこまでの記載をすべきかについては、今後個人情報保護委員会からガイドライン等が発表される予定ですので、要注意です。
まとめ
いかがでしたでしょうか。マスメディアの伝え方はかなりセンセーショナルな印象を受けますが、具体的に紐解くと随分と微妙な問題であることが伝われば幸いです。
本ブログを読んでくださっているECやネットショップ運営に携わる事業者としては、オフショア開発やコールセンター業務の外注などが典型的な事例として挙げられると思います。
上記の改正個人情報保護法は、大企業だけではなく、中小企業にも等しく適用されるものですので、今回のLINEの一件を教訓として、遅くとも改正個人情報保護法の施行までには、海外における個人データ処理とプライバシーポリシーの記載の関係を整理・見直しする必要があります。