Last Updated: March 23,2021
筆者は、3月17日付けの朝日新聞(東京本社版)朝刊やNHKニュースを読んだ。1面「LINE個人情報保護 不備」および35面に「LINE 海外流失リスク露呈」である。
その解説内容の説明不足もさることながら、EUの一般情報保護規則との整合性を謳うわが国の規制のありかた自体を問われる問題である。
今回のブログは問題の本質すなわIT企業のコンプライアンス遵守姿勢の本質的欠如、国際的に見た各国保護機関の厳しい処分の実態、さらに、最近時特に目立つメディアの勉強不足とその改善のためのIT近代化に向けた提言を行うものである。
なお、わが国の国会の議論は総務省のLINE社に対する報告徴求ができるとする「電気通信事業法(昭和五十九年法律第八十六号)第166条第1項(注0)に基づくものがほとんどである。この点は3月19日総務省が「LINE株式会社に対する報告徴収」(https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000114.html)と報じたとおりである。
しかし、すくなくとも第166条第1項を読んで感の良い読者はすぐ気が付くであろうが、この条文自体同法の雑則規定である。つまり、この条項に基づく罰則もない規定なのである。
したがって、筆者としては、この問題につき本来は本文で述べるとおり個人情報保護法を根拠にLINE社の責任を追及すべき点を改めて訴えたい。
1.筆者なりの補足説明
(1) LINEの委託先の監督責任に関する法律「個人情報保護法(平成十五年法律第五十七号 個人情報の保護に関する法律)(以下、「保護法」という)」)「個人情報の保護に関する法律についてのガイドライン 」や委員会の告示内容について、個別に検証する。
以下に一部抜粋する。
A.個人情報保護法
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
第四十二条 (勧告及び命令)
第四十二条 個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条(第四項を除く。)、第二十四条、第二十五条、第二十六条(第二項を除く。)、第二十七条、第二十八条(第一項を除く。)、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条(第六項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで、第二十三条第一項、第二十四条若しくは第三十六条第一項、第二項若しくは第五項の規定に違反した場合又は匿名加工情報取扱事業者が第三十八条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
罰則
第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
このように、わが国の保護法は勧告、命令違反の場合のみ罰則が科されるのである。この点は第2項で述べるEU加盟国の姿勢と根本的に異なる点であり、昨今の大量漏えい事件から見ても法執行の曖昧さが問題といえる。
B-1特定個人情報の適正な取扱いに関するガイドライン(事業者編)(注1) p.18~p.20の規定
第4-2 特定個人情報の安全管理措置等
第4-2-⑴ 委託の取扱い
1 委託先の監督(番号法第11条、個人情報保護法第22条)
2 再委託
B-2 個人情報の保護に関する法律についてのガイドライン (通則)
(外国にある第三者への提供編) p.16~
①データ内容の正確性の確保等(法第 19 条の趣旨に沿った措置)
②安全管理措置(法第 20 条の趣旨に沿った措置)
③委託先の監督(法第 22 条の趣旨に沿った措置)
(2)外国第三者提供および委託に関する法律および保護委員会のガイドライン
A.保護法
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
B.個人情報の保護に関する法律についてのガイドライン
(外国にある第三者への提供編) p.16~p.24
委託先や第三国への個人情報を移転する際の重要な判断基準は以下の点である。
「個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、法第 24条に従い、次の①から③までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。
①当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号。以下「規則」という。)で定める国にある場合(※1)
②当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ず
るために必要な体制として規則で定める基準に適合する体制を整備している場合
③法第 23 条第 1 項各号に該当する場合
「個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号)
(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)を見ておく。
第十一条 法第二十四条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
一 法における個人情報取扱事業者に関する規定に相当する法令その他の定めがあり、その履行が当該外国内において確保されていると認めるに足りる状況にあること
二 個人情報保護委員会に相当する独立した外国執行当局が存在しており、かつ、当該外国執行当局において必要かつ適切な監督を行うための体制が確保されていること
三 我が国との間において、個人情報の適正かつ効果的な活用と個人の権利利益の保護に関する相互理解に基づく連携及び協力が可能であると認められるものであること
四 個人情報の保護のために必要な範囲を超えて国際的な個人データの移転を制限することなく、かつ、我が国との間において、個人情報の保護を図りつつ、相互に円滑な個人データの移転を図ることが可能であると認められるものであること
五 前四号に定めるもののほか、当該外国を法第二十四条の規定による外国として定めることが、我が国における新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資すると認められるものであること
2 個人情報保護委員会は、前項の規定による外国を定める場合において、我が国における個人の権利利益を保護するために必要があると認めるときは、当該外国にある第三者への提供を認める旨の本人の同意を得ることなく提供できる個人データの範囲を制限することその他の必要な条件を付することができる。
3 個人情報保護委員会は、第一項の規定による外国を定めた場合において、当該外国が第一項各号に該当していること又は当該外国について前項の規定により付された条件が満たされていることを確認するため必要があると認めるときは、当該外国における個人情報の保護に関する制度又は当該条件に係る対応の状況に関し必要な調査を行うものとする。
4 個人情報保護委員会は、第一項の規定による外国を定めた場合において、前項の調査の結果その他の状況を踏まえ、当該外国が第一項各号に該当しなくなったと認めるとき又は当該外国について第二項の規定により付された条件が満たされなくなったと認めるときは、第一項の規定による定めを取り消すものとする。
(※1) 現時点(平成 28 年 11 月)で規則で定めている国はない。とあるが、保護委員会は後記する「平成31年個人情報保護委員会告示第1号) 」において具体的国名を列記している。これは個人情報保護取扱い事業者からの強い要請があった点もあるが、本当の理由は2019年1月EUとの間で「日本とEU相互の個人データ保護の適切性に関する合意(Joint Statement by Haruhi Kumazawa, Commissioner of the Personal Information Protection Commission of Japan and Věra Jourová, Commissioner for Justice, Consumers and Gender Equality of the European Commission)3rd January 2019 )が2019.1.23発効したことにある。(保護委員会のリリース(https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/)) (注2)
C.個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年(2019年)個人情報保護委員会告示第1号)
この保護委員会告示は取扱い企業にとっては極めて重要かつ遵守すべき重要な規則である。
次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
:アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク
すなわち、これらの外国には「中国」は含まれていない、すなわちLINEの委員会告示違反はどうなるのか。
(3)保護委員会「個人情報保護法ガイドライン(外国第三者提供編)」~抜粋する。p.15以下
【事例 1】日本にある個人情報取扱事業者が、外国にある事業者に顧客データの入力業務
を委託する場合:日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
外国にある第三者等は、個人情報を取得する場合は、あらかじめその利用目的を公表(※1)していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知(※2)するか、又は公表しなければならない。
(※1)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
2.筆者のEUのGDPR等に関するブログ
過去にさかのぼって取り上げる。これらの海外主要国の厳しい法運営、法執行を見るにつけ、前項で述べたわが国の法律、規則、委員会のガイドライン、告示、さらに委員会の実際に運用など反省させられる点が多いと感じるのは筆者だけではあるまい。
2020.8.9「欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項(SCCs)に関する決定の有効性判断(その2)」
2020.7.25「欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項に関する決定の有効性判断(その1)」
2019.4.19 「英国の情報保護コミッショナー(ICO)が違法な個人情報の収集と共有についてバウンティに40万ポンドの民事制裁金を科す」
2019.2.8 「イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す」
2019.1.29「日本とEU相互の個人データ保護の適切性に関する合意の意義とわが国の保護法制度のさらなる課題」
2019.1.26「フランスCNILの米国Googleに対するEU一般データ保護規則にもとづく罰金命令の意義と検証(その2完)」
2019.1.26「フランスCNILの米国Googleに対するEU一般データ保護規則違反にもとづく罰金命令の意義と検証(その1)」
2017.10.11 「英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その5 完)」
2017.10.11 「英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その4)」
2017.10.11「英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その3)」
2017.10.11「英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その2)」
2017.10.10 「英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その1)」
************************************************
(注0)「電気通信事業法 第百六十六条(報告及び検査)第1項」を以下、引用する。
第百六十六条 総務大臣は、この法律の施行に必要な限度において、電気通信事業者若しくは媒介等業務受託者に対し、その事業に関し報告をさせ、又はその職員に、電気通信事業者若しくは媒介等業務受託者の営業所、事務所その他の事業場に立ち入り、電気通信設備(電気通信事業者の事業場に立ち入る場合に限る。)、帳簿、書類その他の物件を検査させることができる。
(注1)この点を具体的に解説した保護委員会サイト(https://www.ppc.go.jp/files/pdf/itaku_kanntoku.pdf)がある。「特定個人情報等のデータ入力業務の委託先に対する監督について」入札、選定、委託契約、契約履行中の委託先の監督、成果物の納品及び契約終了
(注2) 2019.1.29「日本とEU相互の個人データ保護の適切性に関する合意の意義とわが国の保護法制度のさらなる課題」参照。https://blog.goo.ne.jp/fukuhei_2006/e/fe4c56a878a61b253486ecbe1832827e
**********************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
***********************************************************************************************************************************:
Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます