LINEのプライバシーポリシーは何が不足していたのか—外国企業への委託で取得すべき同意

中国・韓国等でユーザーの個人データを取り扱っていた件で釈明に追われているLINEが、プライバシーポリシーの改訂を発表。どのような点に修正が必要となるのでしょうか。

LINEが個人情報の外国企業への委託についてプレスリリースおよび記者会見を実施

2021年3月17日、SNS大手のLINEが、外国企業への個人情報の委託について不備があったのではないかとの報道 が、話題となっています。

▼ LINEの個人情報管理に不備　中国の委託先が接続可能（朝日新聞デジタル2021年3月17日）

無料通信アプリ「LINE」が、中国にある関連会社にシステム開発を委託するなどし、中国人技術者らが日本のサーバーにある利用者の個人情報にアクセスできる状態にしていたことがわかった。LINEはプライバシーポリシーでそうした状況を十分説明しておらず、対応に不備があったと判断。政府の個人情報保護委員会に報告する一方、近く調査のための第三者委員会を立ち上げ、運用の見直しに着手する。

この報道を受け、LINE社は同日プレスリリースで釈明の上、3月23日夜に記者会見を開催し、出澤社長や舛田取締役らが、

• 中国（委託先）からのアクセスを遮断
• 韓国等外国サーバーに保存されていた画像・動画データ等を国内に移転
• 外国にある第三者への提供について具体的に言及していなかったプライバシーポリシーを改訂

することを発表しています。

個人情報の委託と第三者提供の本人同意取得義務との関係

前掲3月17日報道では、LINEが個人情報を取り扱う業務を外国企業に委託するにあたり、ユーザー本人から必要な同意を取っていたかが法律上の論点 となっています。この点について、整理をしてみます。

第三者への個人情報提供には、原則（①）として本人同意が必要ですが、委託の場合はこの本人同意は原則（②）として不要です（法23条5項1号）。このことはご存知の方も多いと思います。

第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
（中略）
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

ただし、この①と②の2つの原則にはそれぞれ例外があり、今回は②の原則に対する以下の例外に当てはまるかが問題となります。

外国にある第三者への委託の場合は基本的に同意が必要

委託の場合に本人同意が不要とした法23条5項1号の例外は、日本国内での委託を前提としたルールです。

「外国にある第三者」を委託先として個人情報を提供する場合には、基本的には本人同意が必要 となります（法24条）。通常、プライバシーポリシーにこのことを記載して法24条が定める同意をとることになります。

第二十四条　個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

まずこの基本を押さえた上で、次に同条にある括弧書きの例外を読み解いていく必要があります。

法が定める基準を満たしていれば同意不要

外国にある第三者への委託であっても、法が定める以下いずれかの例外を満たせば、本人同意は不要 です（法24条括弧書き、法23条）。

1. 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則（平成28年個人情報保護委員会規則第3号。以下「規則」という。）で定める国にある場合
2. 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
3. 法第23条第1項各号に該当する場合

ただし、現状では、1についてはEUおよび英国のみが該当、2についても「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第４章第１節の規定の趣旨に沿った措置の実施が確保されていること」が認められた事業者（規則11条の2 1号）か、同条2号が定める基準としてのAPECのCBPR認証取得事業者（規則11条の2 2号）である必要があります。

不明確さが残る上に厳格さを伴う基準でもあるために、実務上はこれに依存せずに本人同意を取得した方が確実と考えられています。

個人データとして扱わないクラウド事業者等であれば同意不要

個人情報保護委員会は、外国にある第三者に委託して個人データが保存される場合でも、委託先が個人データを取り扱わないこととなっている場合には、外国にある第三者への提供には当たらないという解釈 が示されています（ガイドラインQ&A60ページ9-6）。

クラウド事業者を利用するケースなどは、この例外により、委託であってもユーザー同意は不要と整理されているわけです。

なお、今回LINEは中国の委託先にモニタリング業務を委託していたため、この例外には当てはまりません。

「本来あるべきプライバシーポリシー」と個人情報保護法ガイドラインの曖昧さ

3月23日に記者会見を開いたLINE出澤社長は、外国への越境移転に関する本人同意の取得に不足があった可能性に言及し、「配慮が足りなかった」と反省の弁を述べた上で、すみやかにプライバシーポリシーを改訂すると表明 しました。

LINEのプライバシーポリシーについて、これまで何が不足し、これからどのように変更しようというのでしょうか。

これまでのプライバシーポリシーの相場観

現行のLINEのプライバシーポリシーで問題とされている箇所は、第5条です。

少なくとも中国企業に監視業務を委託しながら、以下のように 「第三国」への移転可能性にのみ言及している点が、配慮が足りなかったと出澤社長が言及 しています。

日本語の壁もあり、外国企業に日本の個人データを扱う業務を委託する企業は多くありませんが、外国に委託を行う企業であっても、上記のように 外国の国名を具体的に記載しないプライバシーポリシーがほとんどであり、その程度でも違法とはならないのではないか、と考えられていたように思います。

今回あらためて、LINEクラスのグローバルに事業を行なっている大企業のプライバシーポリシーをいくつか確認しましたが、国名を特定しているものは現段階では多くありません。

そもそも、外国企業に個人情報を取り扱う業務を委託していない可能性もあります。しかし、委託をする場合でも、プライバシーポリシーで国までを特定してしまうと、委託先の選定についてのフレキシビリティが下がってしまう（委託先の企業・利用するサーバー等設備設置国が変わるたびにプラポリ改定が必要となる）点がデメリットと捉えられ、国名を明示するのに躊躇しているものと考えられます。

プライバシーポリシーへの外国国名明示は現行個人情報保護法上は必須の義務ではない

外国企業へ個人情報を委託するにあたり、上記のように「第三国への移転可能性」を言及するだけでは足りない、具体的国名を特定することが現行法上も「マスト」だという説がありますが、これは本当でしょうか？

この点について、個人情報保護委員会事務局審議官を務め、令和2年改正個人情報保護法の立案担当者でもあった佐脇紀代志編著『一問一答 令和2年個人情報保護法』（商事法務,2020）52ページで、現行の平成27年改正法は、国名を特定して明示する義務も、外国の制度情報を提供する義務も、事業者に課していなかったと明言 しています。

改正前【編集部注：令和2年改正前】の本法において、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、原則としてあらかじめ「外国にある第三者への提供を認める旨」の本人の同意を得なければならないこととされていますが、必ずしも当該外国の国名や当該外国における個人情報保護に関する制度についての情報提供までは求められませんでした。

このように、現行法の条文解釈上は、プライバシーポリシーに外国国名を明示することは義務ではないものと考えられます。

国名明示をプライバシーポリシー作成上原則必須のように曖昧な記載をしたガイドラインとQ&A

それにもかかわらず、個人情報保護委員会が定める現行のガイドラインにおいては、具体的国名を特定することが原則必須であるかのような記載 が加わりました。

個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）には、「法第24条において求められる本人の同意を取得する場合、本人の権利利益保護の観点から、外国にある第三者に個人データを提供することを明確にしなければならない」との記載に加え、以下のような基準と方法が示されています。

1. 提供先の国または地域名を個別に示す方法
2. 実質的に本人からみて提供先の国名等を特定できる方法
3. 国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法

一方で、個人情報保護委員会が策定したQ&A（『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するＱ＆Ａ』）を見ると、例示を交えた補足解説をしながら、具体的国名を特定することはマストではないという曖昧な説明が展開されます。

あくまで現行の 個人情報保護法上は「外国にある第三者への提供を認める旨」の同意を得ればよいと定めながら、このようにガイドラインやQ&Aにおいて具体的な国名を明記すべきかそうでないのかについての基準や考え方が曖昧であり続けた ことは、企業行動にも大きな影響を及ぼしてきたはずです。

LINEの場合、結果として今回のとおり報道による追求を受ける事態となり、法律上義務はなかったものの「配慮が足りなかった」と反省の弁を述べるかたちになりました。LINE社のプライバシーポリシーは、最も議論のない1の「国を個別に示す方法」で調整を図っていくものと思われます。

個人情報保護委員会が外国国名明示は法的義務ではないことを明言（2021年4月26日追記）

本記事公開後、個人情報保護委員会より、2021年4月23日付で「個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日）」が発出されました。

この文書において、「『本人の同意』については、プライバシーポリシーにおいて（中略）外国の第三者へ提供することが明記されており、利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い」との見解が公式に示され、上述のとおり、外国国名明示は義務ではなく、あくまで「外国にある第三者に個人データを提供すること」についての同意が取られていれば、個人情報保護法上は適法 であったことが確認されました。

なお、これに先駆け、LINE社は2021年3月31日付で「プライバシーポリシーの改定のお知らせ」をリリースし、

• 皆さまに安心してサービスをご利用いただくため
• 2022年4月1日に施行予定の改正個人情報保護法を遵守するため

を理由に、具体的な国名（韓国、ベトナム、タイ、台湾、インドネシア、フィリピン）を明記したプライバシーポリシーを策定し、即日改定に至っています。

令和2年改正個人情報保護法施行でさらに厳格化するプラポリ説明責任

こうして、この外国の第三者への委託に際してのルールに曖昧さが残された個人情報保護法は、令和2年に改正法案が可決成立しており、令和4年（2022年）に施行が予定されています。

改正個人情報施行規則では、本人同意を取得する際には、事業者が本人に提供すべき情報として、次の3点が具体的に規定されます。2022年の改正法施行によって、外国の第三者への委託にあたり、国名の明示がマストになります。

1. 当該外国の名称
2. 適切かつ合理的な方法によって得られた当該外国における個人情報の保護に関する制度に関する情報
3. 当該第三者が講ずる個人情報の保護のための措置に関する情報

企業は、通常これらをプライバシーポリシーに記載して同意取得することになりますが、その情報の具体的内容と粒度については、現在検討中のガイドラインによって定められることとなっています。

この点、3月12日にTMI総合法律事務所とウエストロー・ジャパンが共催したウェビナー「~令和2年改正個人情報保護法シリーズ 第2弾~ さきほど公表された政令・規則案を踏まえた絶対に押さえておきたい主要改正ポイントと実務への影響一挙解説」の柿山佑人先生解説によれば、たとえば以下のような情報を記載することになる見込みです。

今回のLINEに対する報道や、それに対する社会の反応の大きさを鑑みるに、外国企業に個人情報の取扱いを委託する企業は、令和2年個人情報保護法の施行やガイドラインの決定を先取りするかたちで、国名を含む情報開示を積極化させる必要がありそう です。

日本の個人情報保護法も、EUのGDPR等の影響を受けステップを踏みながらだんだんと進化してきたところですが、こうした論点について必ずしも議論や理解が深まったとは言えないままに、社会からの風圧によって急速にその適用が厳格化しつつあります。

（橋詰）