「個人情報保護法違反なのか、通信の秘密を侵害したのか、データ処理を委託した国が悪かったのか、さまざまな指摘が入り乱れている。このままでは問題に対応するための適切な議論が行われない」。国内の月間ユーザー数が8600万人を超える対話アプリ「LINE」における個人情報の取り扱いが問題になったことについて、中央大学国際情報学部・小向太郎教授はこう語る。
LINEは4月、電気通信事業法に基づき総務省から、そして個人情報保護法に基づき個人情報保護委員会から二つの行政指導を受けた。双方から指摘されたのは、国外拠点での開発業務において国内へのデータアクセスが可能だったことの安全管理措置と、利用者への周知についてだ。
LINEのトークのテキストは暗号化され、同社のサーバー管理者でも閲覧できない。しかし、同社がモニタリングツールの開発・保守業務を委託しているShanghai LINE Digital Technology Limited(大連)の開発者は業務の過程で、ユーザーから同社に通報されたトーク内容を閲覧しうるURLに32回、そして、画面操作次第で閲覧しうる他のURLに19回、アクセスしていた。
総務省、個人情報保護委員会はいずれも明確な法令違反とはしていない(5月7日時点)。しかしデータガバナンスに詳しい有識者は「LINEの対外的な説明と内部の処理が〝異なっていたこと〟が問題だ」と指摘する。
LINEは新型コロナワクチン接種予約や、新型コロナ自宅療養患者の健康観察など、地方公共団体におけるさまざまな業務に活用されている。しかし、同社は外部への説明資料の一部で、「LINEの個人情報を取り扱う主要なサーバーは、日本のデータセンターで管理されています」と記載していた。
確かに、LINEのトークのテキストや会員登録情報は日本のデータセンターで保管されていたが、動画・画像・ファイルについては韓国のデータセンターで保管されていた。同社には個人情報を扱うリスクについて指摘する情報セキュリティ部門が存在するが、「認識が不足しており対応が後手にまわった」(広報)という。
前出の小向教授は「個人情報の利用に際して、プライバシーポリシーなどであらかじめ包括的に同意をとっておく『同意一本足打法』の悪い側面が表れ、LINEとユーザーとの間で認識の〝ズレ〟を生んでしまったのではないか」と指摘する。
個人情報保護法では個人情報の収集、利用、外国にある第三者へのデータ提供などについて、本人の同意を得れば行うことが可能になる。LINEもプライバシーポリシーで「利用者から同意を得た場合を除きパーソナルデータを第三者に提供することはない」と記載し、事前同意もとっていた。
「欧州連合(EU)が2018年5月に導入した『一般データ保護規則』(GDPR)では、個人データを処理するには厳格な同意か、『個人データを利用しなければサービスが提供できない』といった、その個人情報を利用することが適法である根拠の立証責任を事業者に課している。日本でも事前に同意さえとれば、個人データを利用したり提供したりできるままでいいのか、再考する必要がある」(小向教授)