LINE中国委託問題の本質と
ミドルマネジメントができること

 公開日: /  最終更新日:

LINE 中国委託問題の本質と各部門がすべきこと

PRIVACYJAPANサイトでは、日本企業のデータビジネスの継続的な成長のためのプライバシー保護の情報を掲載します。企業経営やデータビジネス運営の参考にしていただけましたら幸いです。

企業の個別のご相談がありましたらサイトの運営会社STEKWIREDより支援を受け付けております。法人向けサービスであるため個人のご相談は受けつけておりません。次回以降に個人を向けたお役立ちになる情報についても掲載の予定です。

前回、「LINE中国委託問題の本質とトップができること」で代表者やボードメンバー向けの記事を公開しました今回は、実務のサービス運営や開発を判断するミドルマネジメントとして事業部門や開発部門、マーケティング、経営企画部門などの担当者のみなさまに焦点を変更して、同じ問題を取り上げます。

プライバシー問題は、データを扱う全ての部門に関わりがあります。一部の部門の判断が企業に深刻なダメージを与えることがありますので、全社で統一したデータコントロールが必要です。今回の記事にはLINE中国委託問題の本質とトップができること」と共通の部分もありますがご了承ください。

LINE日本法人は、報道により中国の委託先スタッフが日本人のユーザー8000万人の名前、電話番号、メールアドレス、IDのアクセスが可能であったことが明らかになりました。また、中国の子会社ではタイムラインやオープンチャットの書き込みの監視が可能となっていました。また、同時にユーザーの不安があったことは、LINEのテキストデータは暗号化して国内に保存されていたが、トークデータが国内保存ではなく親会社のある韓国で保存されており、韓国から中国へのデータ提供の懸念もありました。この報道による社会問題に発展し、謝罪会見となりました。

  1. 中国から日本ユーザーの個人情報へのアクセスが可能であったこと。
  2. LINEのコミュニケーションに関する機能・サービスの開発・保守・運用業務を中国に委託していたこと。
  3. LINEトーク内の画像・動画・ファイルデータ、タイムラインは韓国のデータセンターに保管されていたこと。

LINE日本法人は、本社を韓国に持つグローバル企業です。グローバルにサービス展開する際に各国のサーバーや技術力や労働賃金などから開発や運用拠点を分けるのは、経営戦略として自然なことです。個人情報保護の観点では、事業者が委託先を監督する義務がありますが、委託先のスタッフが業務の範囲内で利用するのであれば、外国の事業者に委託でも問題なく、業務上のアクセスも当然問題ではありません。

委託先がデータを不正に搾取したり第三者に共有しているかもしれないという不安が社会問題に発展しました。ここには、グローバル社会に伴うデータ移転の主権国家との法律問題があったのです。

2021年3月23日記者会見資料を元に当社が項目を追加

グローバルにサービスを展開しても、それぞれの国に法律が存在します。委託先が外国である場合には、主権国の法規制が企業間契約よりも有効です。各国の個人情報保護法も自国の国民の個人情報を保護するのは国民の権利ですが、外国人の個人情報を保護する義務はありません。むしろ、外国人の個人情報は軍事や外交上に価値のある情報です。

中国の子会社が親会社からの委託による守秘義務がありますが、中国共産党の情報開示命令がある場合には、それが上回ります。主権国の欄に中国と記載せずに中国共産党と記載していますが、それは次章での説明を明瞭とするために表記しています。

新聞報道からユーザーの不安が増大して社会問題となりました。報道では委託先のスタッフがアクセスしているという、本来では問題の無い行為が、中国への不信感からデータ流出を疑いに発展しました。データを中国に委託することが問題となる時代になりました。中国の委託がユーザーに不安を与える時代になっている原因を知ることで、みなさまの業務判断の材料していただきたいと思います。

中国共産党のすごい法律 国家情報法

2000年からインターネットやスマートフォンの普及とサービスのグローバル化が進んだ平和な時代では、日本から人件費の安い国でのデータ処理は合理的な経営戦略の一つでした。その先として中国もありました。中国が経済成長し、中国共産党の指導者が変更されました。そして、中国が覇権のための法令をさまざま作り上げてきました。

中国共産党は、2015年に軍民融合発展戦略では、中国の民間企業が有益な情報を中国共産党軍に提供する必要があります。2017年に国家情報法では、中国国民は、共産党のために有益な知りうる情報を提供しなければならない義務を負います。

中国のスタッフは、LINEとの守秘義務契約をしても、それよりも強大な国家情報法の影響を受けます。この法律は、中国国外の国に勤務している人も対象となっています。中国内の企業も中国人の労働者も中国共産党から日本人の個人情報の開示を要請されたら提供する義務があります。そうした事実があっても日本からの調査に回答することはないでしょう。安全保障の問題なのです。

国家情報法のすごいところは、中国国外で働く中国人民に対して効力があります。先進国の個人情報保護では、国籍による差別は禁止されているため、中国籍の優秀な人が世界中の民間企業の経営や開発の重要なポジションにおり、価値のある個人データや機密情報の取り扱っているため、中国への委託を無くすだけではリスクを防ぐことはできません。

  1. インターネット黎明期からスマートフォンまでは、世界は平和な時代だった
  2. 2015年以降の中国共産党は、軍民融合戦略や国家情報法から中国企業や中国人民から情報提供を義務づけ
  3. 中国企業だけではなく、世界中で働く中国人民も中国共産党に情報提供をしなければならない
当社が作成資料:安全保障・国家権力に企業の契約は及ばない

個人情報は覇権のために情報活動利用されている

にわかに信じがたいことだと思いますが、中国共産党は、安倍前首相含む海外240万人の個人データを常時監視し、ファーウェイによるオランダの盗聴、周辺国の個人情報の収集活動をしていることがわかっています。
Link:中国企業、安倍前首相含む海外240万人の個人データを常時監視 親族や交友関係も 
国家覇権のために軍民融合戦略では、スパイ活動のため外国人の個人情報を集める必要があります。また、サーバーが中国に存在する場合やインターネット通信されたデータを中国共産党は入手することが可能です。これらは、インターネットで社会がグローバル化した2015年以前の世界では、資本主義の平和な市場には、なかった脅威です。2017年以降の世界では、個人情報の価値が高まり、安全保障問題に発展する有事となっています。

  1. 国家情報法は、中国人は世界のどの国にいても、共産党に情報を提供しなければならない。
  2. 軍民融合発展戦略では、民間の技術を利用や工作活動を行う。
  3. 中国のインターネットは検閲ができ、データセンターのデータは中国共産党に開示されるリスクがある。
  4. 2017年以降、データ社会は平和な時代を終え、安全保障の問題がある有事となっている。

ミドルマネジメント各担当別の「何をすべきか」

LINE日本法人の謝罪会見で、社長は中国共産党の国家情報法の存在を認識していなかったことを反省しており、LINE中国共産党の覇権による安全保障が企業に影響することを教えてくれました。個人情報保護の最終責任は社長となるため、社長と企業価値を、また、あなたのキャリアを守るためにも顧客の個人情報を守りましょう。

国家情報法は、国策の産業スパイを義務としたものです。会社の実務のサービス運営や開発を判断するミドルマネジメントとして事業部門や開発部門、マーケティング、経営企画部門などの担当者の立場ごとに今回の国家情報法などの内部からの情報漏洩リスク予防に関連する「何をすべきか」を取り上げてみたいと思います。

事業部門は中国リスクの対策に何をすべきか

LINE日本法人のデータ管理不備の問題は、安全管理のコンロールを超えた中国委託先の利用と、韓国のサーバーのデータ保管の安全保障問題でした。

あなたの会社でオンラインサービスを運営している場合に、委託先に中国の企業がないか確認してみましょう。委託先の再委託先として利用するケースもあります。社会保険庁の業務委託をした日本の企業が再委託で中国の企業を利用したために個人情報の流出がありました。
Link:日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか> 
これは、国家情報法施行前の事案なので、もともと中国の委託先のデータ保護が難しい状況でした。中国への委託や再委託をしている場合には、委託先を国内の企業に変更することをお勧めします。データセンターが中国や韓国である場合には、国内のデータセンターにデータ移行をお勧めします。

外部のAIサービスやマーケティングサービス、CRMなど個人データ処理や通信機器、セキュリティツール、決済などの外部サービスは、個人情報の委託に該当するため、それらに中国のサービスがないかを確認しましょう。日本人の個人情報を扱うサービスからは、中国共産党の影響から距離をおきましょう。

もしも、中国市場へ進出を検討している状況ならば、安全保障のリスクがある今後の進出は危険と思われます。中国への進出は、中国資本と労働者との関わりが深くなるため中国共産党のコントロールを会社が受けることになり難しい企業判断を強いられます。リスクのある事業計画は企業にも影響を与えます。

日本のユーザーには、サプライチェーンの安全性をステートメントで公表すると、信頼感を高めることができます。

  1. 中国の委託や再委託先に中国の企業がないかを確認。
  2. 個人情報を保管するデータセンターを国内のデータセンターに移行。
  3. 外部のAIやマーケティング、CRM、決済などサービスの導入に中国のサービスがないかを確認

開発部門は中国リスクの対策に何をすべきか

開発部門は、AIデータ処理技術や開発の業務委託に中国を利用していないかを確認します。開発環境では、個人データを直接扱わない場合もありますが、LINE日本法人の中国委託先のデータアクセス事例は、データアクセスをしたことが問題となります。開発の技術者の中国委託、国家情報法の対象となりうる技術者は安全保障の観点から避けることをお勧めします。通信機器やセキュリティ機器などからのデータ流出の危険性もあります。ファーウエイは5Gの通信機器にバックドアを設置しているとして英国は設置の禁止を決めております。米国商務省は、安全保障上問題がある禁輸企業のエンティティリストを定めています。
Link:Huaweiの5Gネットワーク機器の設置を2021年からイギリスが禁止へ 
Link:米商務省がファーウェイへの禁輸をさらに強化、エンティティリストに38組織追加 
開発環境について中国共産党の国家情報法の影響がないかについて確認することと、懸念がある場合の移行をお勧めします。

中国への委託や再委託をしている場合には、委託先を国内の企業に変更することをお勧めします。データセンターが中国や韓国である場合には、国内のデータセンターにデータ移行をお勧めします。

安全保障の脅威は世界的に広がっています。平和な時代には意識されなかったデータの安全性への価値を持ちます。ユーザーの行動情報などあらゆる情報を収集して利用するため、通信時や保管時のデータの暗号化とユーザーデータが不正に利用されないないことを確認できるように透明性を高めることをお勧めします。

日本のユーザーには、業務委託では中国委託がないことや処理されるデータ種類や利用内容をステートメントで公表すると、信頼感を高めることができます。

  1. 中国の委託や再委託先に中国の企業がないかを確認。
  2. 個人情報を保管するデータセンターを国内のデータセンターに移行。
  3. 通信機器や開発環境に中国のサービスがないかを確認

マーケティング部門は中国リスクの対策に何をすべきか

マーケティング部門は、マーケティング分析や調査やキャンペーンなどの外部サービスで中国の委託がないかを確認します。SNSツールとしてLINEを利用している場合には、今後の継続を検討すべきかどうかについてですが、自治体などの個人情報が悪用されると本人に不利益が予想される価値がある場合には、LINEの利用を終了する判断をしています。金融サービスでは、金融庁からLINE利用のガイドラインを設けています。
Link:LINE利用停止へ 自治体の状況調査も―総務省 
Link:「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について 
あなたの会社のLINEの利用が、商品紹介などの広告だけであるならば、今後のLINE法人の改善を期待して継続するという判断も良いかと思います。プライバシーデータは、ひとつひとつのデータ要素はたいしたものではないが、行動パターンや組み合わせなどから価値が高まります。LINE日本法人のデータ管理の安全性に疑義が生じた場合には、再度検討するのが良いと思います。

マーケティング担当者は、中国共産党の国家情報法の個人データの搾取やウイグル自治区の人権問題などから消費者が倫理的な企業活動を求めていることを認識できると思います。個人データの安全性や人権侵害のない製品製造の企業姿勢は評価されます。
Link:ユニクロ・柳井氏がウイグル発言で失うものは何か。「ノーコメント」が悪手だった3つの理由 
企業ブランド価値を毀損しないためにも顧客データの安全性や透明性を高め、サプライチェーンで中国委託がないことなどを明らかにすることをお勧めします。

企業姿勢の表明にサプライチェーンには、中国委託がないことや処理されるデータ種類や利用内容をステートメントで公表すると、信頼感を高めることができます。

  1. 外部サービスに中国の委託や再委託先に中国の企業がないかを確認。
  2. LINE公式のサービス継続する場合には、今後もLINEを注視する。
  3. 顧客データの安全性や人権重視の企業姿勢を公表

経営企画部門は中国リスクの対策に何をすべきか

経営企画部門は、全社の成長戦略の中で、中国市場や中国委託についての安全保障や人権問題があたえる経営への影響を考慮しなくては、ならなくなりました。LINE日本法人の中国委託がデータ管理の不備となり、中国の資本提携により楽天が米日の監視対象企業になっています。
Link:楽天、日米両政府が共同で監視へ 中国への情報流出を警戒 
2021年時点では、中国は国内産業の破綻が発生し、バブル崩壊の懸念も有ります。
Link:米金利急騰、中国バブル崩壊懸念を誘発 
中国の市場、委託先企業などに関わるさまざまな問題も検討する必要があります。

中国共産党は覇権のために周辺国の個人情報を窃取し、中国市場に進出した企業をコントロールしているため、安全保障の問題があるため、個人データの関わりがある業務での中国との関係は可能な限り距離をおくことをお勧めします。貿易による資材の購入などは個人データのリスクはない取引の継続は問題ないと思われます。

中国共産党の国家情報法による個人データの搾取やウイグル自治区の人権問題などから消費者が倫理的な企業を応援し、そうでない企業を非難します。
Link:カゴメ、新疆ウイグル自治区産トマトの使用停止へ。人権問題への国際的な批判の高まりも考慮 
企業価値を毀損しないための成長する経営企画の立案をお勧めします。そのためには、社内の各事業の責任者と連携し、中国委託やサプライチェーンに中国がないかなどを確認し、企業姿勢が倫理的に問題となっているカ所がないかを確認してみてください。

全社の各事業の個人データの取り扱う種類や利用内容、委託先などのプライバシーデータの利用リスクを評価すると、全社的なプライバシー問題の回避ができます。

  1. 経営計画に中国市場や中国委託などが含まれていないかを確認する。
  2. 個人データの関わる委託や中国市場進出がまだであれば計画を見直す。
  3. 各事業部門の委託やサプライチェーンの状況や個人データの利用などのプライバシーリスクを評価する。

総務部門は中国リスクの対策に何をすべきか

総務部門は、中国委託やサプライチェーンに中国企業がないかを調べ、委託を必要とする部門と調整して、安全保障上の問題のない委託先やサプライチェーンへの変更をすべきです。外部サービスや委託先、データセンター委託先の選定は各事業部門が行う場合には、選定評価の内容として、委託業務の内容に個人情報取扱いが含まれているか、中国企業ではないか、再委託先に中国企業が含まれていないか、などを条件に含めます。

米国商務省は、中国製通信機器からのデータ盗聴の危険から、取扱禁止会社のエンティティリストがあり、ファーウエイやシャオミが禁輸企業にリストに加わっています。顧客データを扱う社員の情報通信機器が、ファーウエイやシャオミなどであるとサービスのサプライチェーン上のリスクが解消出来ないため、会社貸与の情報通信機器の安全性を考慮した備品購入が必要です。私物端末の業務利用の禁止ができていない場合には、ファーウエイやシャオミの業務利用を制限するなどの検討をお勧めします。
Link:米商務省がファーウェイへの禁輸をさらに強化、エンティティリストに38組織追加 
Link:米商務省、Huaweiを部品輸出規制リストに追加 「誰の得にもならない」とHuawei 

中国共産党は覇権のために周辺国の個人情報を窃取し、中国市場に進出した企業をコントロールしているため、安全保障の問題があることは、海外情勢に詳しい社員以外は知らないことの可能性があります。データビジネスのプライバシー問題などについても幹部社員など重要な意思決定を間違えてしまうとリスクがあるミドルマネジメントを中心に情報共有をしておくとトラブル予防につながると思います。

幹部社員や部門長などを中心にプライバシー環境の安全保障問題などについてプライバシーについて研修などでナレッジを共有しておくと、委託先や外部サービスの選定やサプライチェーンの見直しなどがスムーズに行うことができます。

  1. 委託先やサプライチェーンに中国企業がないかを確認する。
  2. 会社購入の情報通信機器の安全性を見直す。
  3. 幹部社員や部門長などプライバシーの安全保障などの研修を実施する。

まとめ

LINE中国委託のデータ管理不備の問題は、中国共産党の覇権による国内データへの脅威という安全保障の問題であることが明らかになりました。企業のミドルマネジメントは、「コスト優先の委託先が選定できる平和な時代」から「国家情報法からのデータ脅威を回避した安全性優先の安全保障の時代」としての、経営計画やサプライチェーンの構築、サービス開発、マーケティング、総務を行う必要があります。

トップマネジメントは、ミドルマネジメントの判断

欧米では、プライバシー訴訟が頻発しているためCEOが経営についてのプライバシーポリシーが明確です。日本では、個人情報保護法施行後に個人情報保護方針を定めるようになりましたが、法令の条文やJISQ15001がそのまま利用されるように経営実態を反映していない企業がほとんどです。ミドルマネジメントは、

個人情報の責任はトップにあるため、信頼を失墜してからプライバシーポリシーを変更するよりも、信頼があるときから事業者の経営戦略にあったプライバシーポリシーを持つことが継続成長に役に立ちます。

企業によって、扱う個人情報の種類や頻度が異なるが、データから価値を高める戦略であれば、GDPRのプライバシー原則をプライバシーポリシーに組み入れるとプライバシー炎上などのトラブルを予防できる。同時に、中国共産党の覇権によるリスクは継続しているため、外国資本、サプライチェーン、委託先や通信設備や端末などサービス全体の点検も推奨されます。

  1. 中国委託にはリスクが伴う。
  2. 信頼喪失してプライバシーポリシーを変更するよりも信頼があるうちが良い。
  3. プライバシーポリシーは、データの質や頻度により異なる。
  4. データの価値を高めトラブルを予防するにはGDPRプライバシー原則がお薦め。
  5. 外国資本、委託先やサプライチェーン、通信機器などの点検が推奨される。

自社の経営戦略にあったプライバシーポリシーやGDPRプライバシー原則を取り入れたプライバシーポリシーにしたいなどの場合は問い合せフォームにてご相談ください。(※法人向けサービスであるため個人の方のご相談は対応できませんのでご了承ください。)

ご相談内容を確認しまして、プライバシー対応が必要であるかどうかについてアドバイスいたします。 相談対応は順次となりますので、応募多数の場合はお時間をおかけします。

この記事の監修コンサルタント

株式会社STEKWIRED 取締役 プライバシーコンサルタント アドバイザリー

諸井 賀正

個人情報保護法施行よりオンラインサービスを中心にOECD/GDPRのプライバシー原則でユーザーとの関係を良好にするプライバシーコンサルティングを実施。
個人情報保護とプライバシーがわかる研修やビジネス開発案件のプライバシーのアドバイスをしている。

【資格】
・JPAC認定プライバシーコンサルタント
・認定TRUSTeコンサルタント・審査員
・認定CPP/CPA講師
・個人情報保護士
【受賞】
・プライバシーアワードTRUSTe普及賞