トピックス

2021.03.22
講演/セミナー

Youtube解説:LINE問題の分析:~中国委託先からのアクセス制限・個人データの安全管理措置~

緊急:無料ウェビナー:3月22日(月)午後6時~7時30分】報道を受けた緊急対応:中国委託先からのアクセス制限・個人データの安全管理措置の不備~改正個人情報保護法・GDPRの新しい標準契約書(SCC)を踏まえて』のYoutube解説・レジュメ・資料を掲載いたします。

(Youtube解説)
Youtube解説:LINE問題の分析:~中国委託先からのアクセス制限・個人データの安全管理措置~
(レジュメ)
LINE問題の分析:~中国委託先からのアクセス制限・個人データの安全管理措置~
(資料)
SCC(標準契約条項)案

 【現時点(2021年3月22日時点)での情報に基づく分析】
※講演者(渡邉雅之)個人の見解で事務所の見解ではありません。
1.LINEの海外の開発業務・モニタリング業務の委託先は、個人データの取扱いの委託に該当する。(クラウドサーバ特例は適用されない場面)
2.個人情報保護法24条の「個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制」(「個人情報保護委員会規則で定める基準に適合する体制」)を講ずることを要する(個人情報保護法22条の委託先の監督の規定も適用あり。)。
3.「個人情報保護委員会規則で定める基準に適合する体制」が備わっている場合には、個人情報保護法23条5項1号の「個人データの取扱いの委託」に該当し、「第三者」への提供ではなく、本人の同意なく個人データの提供が認められる。
4.これに対して、「個人情報保護委員会規則で定める基準に適合する体制」が備わっていない場合は、個人情報保護法24条の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」(EU加盟国・英国のみ現在は指定)に該当しない限り、ユーザー(個人)から同条の「外国にある第三者に提供する旨の事前の同意」(移転先の国・地域も明示する必要があると解されている。)を取得する必要がある。
5.LINE Digital Technology (Shanghai) Limited(大連)に国内の情報に対するアクセス権限があったことだけをもってして、個人情報保護法24条の「個人情報保護委員会規則で定める基準に適合する体制」を整備していなかったとまでは言えないのではないか。また、必要ないアクセス権限があったとしても、直ちに個人情報保護法22条の委託先の監督違反とまでは言えないのではないか。したがって、個人情報保護法違反は認められないと考えられる。
6.個人情報保護法上、委託先企業の所在国をプライバシーポリシーなどで明示することは求められていない。
7.改正個人情報保護法により、本人の求めにより委託先の国やその国における個人情報の法制などの情報を提供することが求められることになる。
8.データガバナンスの観点からは、政府から個人データの強制開示を求められる国・地域の事業者への個人データの取扱いの委託は速やかに解消すべき。