LINE中国委託問題の本質と
トップができること

 公開日: /  最終更新日:

LINE、中国委託先アクセスで閲覧可能 問題の本質

PRIVACYJAPANサイトでは、データのプライバシーに関する社会問題や環境変化などからのアドバイスやコンサルティング支援などにより事業者が顧客データを利用する際のプライバシー問題を回避し、良質なサービスを提供することで、継続成長から日本の産業のプライバシー利用の健全化に貢献したいと考えております。プライバシーに関する社会環境変化などをwebサイトで公表しますので、データ利用など経営の参考にしてください。企業さまの個別のご相談がありましたら運営会社より支援を受け付けております。法人向けサービスであるため個人のご相談は受けつけておりません。個人を向けたお役立ちになる情報についても掲載を考えておりますので、その際はお読みいただけましたら幸いです。

LINE日本法人は、報道により中国の委託先スタッフが日本人のユーザー8000万人の名前、電話番号、メールアドレス、IDのアクセスが可能であったことが明らかになりました。また、中国の子会社ではタイムラインやオープンチャットの書き込みの監視が可能となっていました。

また、同時にユーザーの不安があったことは、LINE日本法人のテキストデータは暗号化して国内に保存されていたが、トークデータが国内保存ではなく親会社のある韓国で保存されており、韓国から中国へのデータ提供の懸念もありました。この報道による社会問題に発展し、謝罪会見となりました。

  1. 中国から日本ユーザーの個人情報へのアクセスが可能であったこと。
  2. LINEのコミュニケーションに関する機能・サービスの開発・保守・運用業務を中国に委託していたこと。
  3. LINEトーク内の画像・動画・ファイルデータ、タイムラインは韓国のデータセンターに保管されていたこと。

LINE日本法人は、本社を韓国に持つグローバル企業です。グローバルにサービス展開する際に各国のサーバーや技術力や労働賃金などから開発や運用拠点を分けるのは、経営戦略として自然なことです。個人情報保護の観点では、事業者が委託先を監督する義務があり、委託業務以外での個人情報の利用、委託先による個人情報流出を防ぐ責任があります。

委託先のスタッフが業務の範囲内で利用するのであれば、外国の事業者に委託でも問題なく、業務上のアクセスも当然問題ではありません。中国の委託先で、委託スタッフがデータにアクセスすることは、本来なんの問題もない行為です。委託先がデータを不正に搾取し、第三者に共有しているかもしれないという不安が社会問題に発展しました。ここには、グローバル社会に伴うデータ移転の主権国家との法律問題があったのです。

2021年3月23日記者会見資料を元に当社作成
2021年3月23日記者会見資料を元に当社作成

LINE日本法人は上記の資料で、個人情報取扱いでの関係性を資本関係で説明していますが、資本による経営コントロールの軸で見ると、個人情報の監督では適切な評価軸ではありません。個人情報保護の観点では、ユーザーへのサービス提供者が監督の総責任を持ちます。子会社だから、グループ会社だからデータを扱って良いという法的根拠はありません。子会社やグループ会社や外部のどれにおいても、LINE日本法人からみれば関係性は委託先です。当社で、表に追加したものが以下になります。

App StoreでのAppのプライバシー情報の掲載開始
2021年3月23日記者会見資料を元に当社が項目を追加

グローバルにサービスを展開しても、それぞれの国に法律が存在します。委託先が外国である場合には、主権国の法規制が企業間契約よりも有効です。各国の個人情報保護法も自国の国民の個人情報を保護するのは国民の権利ですが、外国人の個人情報を保護する義務はありません。

むしろ、外国人の個人情報は軍事や外交上に価値のある情報です。中国の子会社が親会社からの委託による守秘義務がありますが、中国共産党の情報開示命令がある場合には、それが上回ります。主権国の欄に中国と記載せずに中国共産党と記載していますが、それは次章での説明を明瞭とするために表記しています。

資本による経営支配権のパワーバランスは現実問題として無視出来ない面もあるでしょう。韓国本社が日本法人や中国子会社の日本人の個人情報へのデータ開示を求めた場合には、日本法人は子会社として、個人情報保護法の義務がありますが、データ保管が韓国である場合には、韓国内でのデータ取扱いには企業間契約の効力しかないため、データ保護は難しくなります。

これらを考えると、LINE日本法人は、日本ユーザーのデータ保護についてコントロールが難しい状況であったことも伺えます。グループの成長戦略として、LINEの成功している国のデータは価値があり、事業者責任はグループ内の子会社のLINE日本法人だからです。最近の経営統合で経営資源のデューデリジェンスがあるので、委託の再編成すべきでしたが、事前に問題意識をもっていなければ難しかったと思います。

本来、中国の委託先スタッフの業務のためのアクセスは本来問題のない行為ですが、中国では日本人の個人情報を中国共産党政府に差し出さなければならないという法律が2017年に施行されました。その法律背景について次章で解説してゆきます。

安全保障の問題 中国の国家情報法後の世界

LINEの社長が謝罪し、個人情報保護委員会も総務省も行政指導を行っており、データ監督体制不十分という行政処分がくだされました。LINEも社会問題を受けて、データ保管場所を国内にして中国の委託を無くす方向にしました。データの委託と国内保管が今回の管理体制で必要になった理由と日本の全ての事業者が知っておくべき国家情報法について解説してゆきます。

中国共産党は、2015年に軍民融合発展戦略、2017年に国家情報法を制定しました。中国国民は、共産党のために知りうる情報を提供しなければならない義務を負います。中国のスタッフは、LINEとの守秘義務契約をしても、それよりも強大な国家情報法の影響を受けます。この法律は、中国国外の国に勤務している人も対象となっています。先進国の個人情報保護では、国籍による差別は禁止されているため、優秀な人が世界中の民間企業の経営や開発の重要なポジションにおり、価値のある個人データや機密情報の取り扱う場面では、国家権力が発動する可能性があります。

2000年から2015年までのインターネットやスマートフォンの普及とサービスのグローバリゼーションが進んだ平和な時代では、オフショアでのデータ処理は合理的な経営戦略の一つでした。2015年の中国共産党の一帯一路、軍民融合発展戦略、2017年国家情報法、2020年の国家安全法と中国本国だけでなく周辺国の個人情報の脅威が発生するようになっており、中国共産党は、民間企業のデータビジネスにおいても安全保障上の問題になっています。企業が委託先に守秘義務契約で違反時に罰金を定めていても、中国共産党から国家情報法により個人情報の提供を求められた場合には、従う他はありません。

  1. インターネット黎明期からスマートフォン時代世界は平和でデータの国際間利用が合理的
  2. スマートフォン時代から現在資本主義と社会主義の2極化への発展、データの安全保障が重要
当社が作成資料:安全保障・国家権力に企業の契約は及ばない
当社が作成資料:安全保障・国家権力に企業の契約は及ばない

このようにして中国共産党は、安倍前首相含む海外240万人の個人データを常時監視し、ファーウェイによるオランダの盗聴、オーストラリアから上海に渡った人のパスポートなどを取得し、周辺国の個人情報の収集活動をしていることがわかっています。国家覇権のために軍民融合戦略では、スパイ活動のため外国人の個人情報を集める必要があります。また、サーバーが中国に存在する場合やインターネット通信されたデータを中国共産党は入手することが可能です。これらは、インターネットで社会がグローバル化した2015年以前の世界では、資本主義の平和な市場にはなかった脅威です。2017年以降の世界では、個人情報の価値が高まり、安全保障問題に発展する有事となっています。

  1. 国家情報法は、中国人は世界のどの国にいても、共産党に情報を提供しなければならない。
  2. 軍民融合発展戦略では、民間の技術を利用や工作活動を行う。
  3. 中国のインターネットは検閲ができ、データセンターのデータは中国共産党に開示されるリスクがある。
  4. 2017年以降、データ社会は平和な時代を終え、安全保障の問題がある有事となっている。

信頼失墜の防ぐためにプライバシーポリシーの見直しを

LINE日本法人の謝罪会見で、社長は中国共産党の国家情報法の存在を認識していなかったことを反省しておりました。個人情報保護の監督効力を上回る国家権力のある国にデータを委託する経営許可を与えたことについての使用者責任があります。ユーザーの不安から社会問題と発展したため、謝罪会見を実施し、今後はデータを国内保管と中国への委託を停止する方針に変化し、信用回復を図っています。このような個人情報の取り扱いについて、委託やデータ保管サーバーは国内にするなどの経営方針はプライバシーポリシーです。

  1. プライバシーポリシーは経営方針、「データ国内保管」や「中国へ委託なし」など重要な意思決定。
  2. 社会問題化し、信頼回復のために事後的なプライバシーポリシー変更が行われる。
  3. 事前に社会環境から信用リスクを回避するプライバシーポリシーがあれば、信頼失墜を防ぐ可能性がある。

プライバシーポリシーは、2003年の個人情報保護法施行から、多くの事業者が定めることになりました。個人データを扱う事業者はすでにプライバシーポリシーをもっていると思います。そのプライバシーポリシーが個人情報保護法を基準とするのが一般的で、経営方針として利用していない事業者がほとんどでは無いでしょうか。

お読みいただいている貴社の企業サービスが、個人情報から価値を生み出している場合には、その価値と相応するプライバシー問題のリスクがあります。セキュリティおよび、データ利用による影響などもプライバシー問題として発展します。世界ではプライバシー問題を起因とする訴訟や外国政府による制裁などが発生しているため、それらを予防するために、全社員が業務でデータを扱う際の判断基準としてプライバシーポリシーが役に立ちます。

  1. データを扱う委託先や端末や通信機器の選定時にコストで選ぶか?安全性で選ぶか?
  2. 顧客の個人情報を多く集めて高品質高価格か?最小限に低品質低価格か?
  3. 顧客の個人情報を短期に利益最大化させるか?長期で最大化させるか?
  4. 顧客満足の内容として安全面を優先するか?低価格を優先するか?
  5. ユーザーから求められ、約束すべきサービスの本質は何か?
  6. ユーザーが不安に思うこと、信頼を損なうことは何か?
当社が作成資料:プライバシーポリシーで価値とリスクをコントロールする
当社が作成資料:プライバシーポリシーで価値とリスクをコントロールする

LINE日本法人は、トーク内ではプライバシー性の高い画像を扱い、企業ツール、金融サービス、住民サービスなどのユーザー利用も高いため、データ付加価値が国内最大のサービスでした。サービスの多くはユーザーが無料で利用できており、価格についての満足度も高いサービスでしたので、ユーザーが期待するのは、プライバシー保護についての期待が高いサービスです。

LINEトーク画像が報道で利用されたことで、人生に影響を受けた人もいることからも、一般個人としてもプライバシーの保護には、高い期待があります。ユーザーのデータ保護の安心感が企業のプライバシーポリシーの核として、利益よりも優先していることが、全社員が意識していれば、中国への委託から見直しなどの今回の謝罪会見後のプライバシーポリシーを事前に持っていたならば、国内最大のSNSとして信頼や企業価値を損なわずに今も存在していたでしょう。信頼失墜する前にプライバシーポリシーを社会環境にあわせて見直すことには継続成長に役に立つのです。

成長戦略とプライバシーポリシーが必要な理由

社会環境の変化から安全保障のためにセキュリティ強化の変更案について前章で取り上げましたが、個人データを企業利益に転化させる成長戦略こそ、プライバシーポリシーが必要です。個人情報が価値を持つのは、ユーザーの意思決定を企業がコントロールして、収益に基づく活動をさせることに成功した場合です。ユーザーは、企業にコントロールされることにストレスや警戒感を持ちますから、プライバシーの配慮がなければプライバシー問題に発展します。データビジネスで成功している企業は、プライバシーポリシーが経営戦略に役立てています。

Eコマースのサービスの場合、顧客の生活に入り込み付加価値を提供する戦略があります。通販だけでなくビデオオンデマンドや音声アシスタントなど付加価値を開発し、行動情報をサービス発展に役立てる戦略でamazonが採用しています。規模拡大戦略は、ユーザーの利用頻度を増やすために行動ターゲテイングなど広告アプローチを行います。既存顧客から短期的に利益を得るために広告を強化するのか、長期顧客とするために広告アプローチに時間をおくのかなども戦略として必要です。プライバシー配慮は、個人情報の利用を最小限にすることやマーケティングをしない、外部認証で購入を可能とするなどです。個人情報の種類が少なければ、流出時の二次被害のリスクも小さくなります。

当社が作成資料:データ利用戦略図
当社が作成資料:データ利用戦略図

顧客のデータから価値を高めてゆく場合にプライバシートラブルや炎上などを回避するためにEUのデータ保護規則GDPRのプライバシー原則をプライバシーポリシーの核とすることが薦められます。顧客の私生活に関わるデータは、プライバシー権の侵害のリスクがあります。

EUではプライバシーを基本的人権と定め、2018年にGDPRのプライバシー原則を定めました。データ取扱いで人々が権利侵害を感じることを予防するための考え方です。GDPRのプライバシー原則は、機会をあらためて本サイトで紹介いたします。中国共産党の覇権から顧客のデータを保護するため、業務委託や外部ツールや外部サービスなどサプライチェーンや通信機器や端末などの安全性についても点検することをお勧めします。

  1. 扱うデータ種類や頻度によって、データの価値やリスクはことなる。
  2. 顧客データを集め価値を高める戦略がある。
  3. 顧客の利用頻度を高める戦略がある。
  4. 個人情報を最小にし、リスクを低くする戦略がある。
  5. GDPRのプライバシー原則はプライバシートラブルを予防できる。
  6. プライバシーポリシーにはGDPRプライバシー原則が推奨される。
  7. サプライチェーンや通信機器や端末などの安全性の点検が推奨される。

まとめ

LINE中国委託問題の本質は、以前ならば企業契約で他国への委託も問題ないが、中国共産党の覇権による国家情報法が、中国外の中国人から個人情報の収集を可能とするため、中国の関わる委託は危険なものとなった社会環境変化に対して、トップが安全性を考慮したプライバシーポリシーを持っていなかったこと。LINE日本法人社長が、謝罪会見で、中国委託を辞め、データ保管を日本国内にするプライバシーポリシーに変更しました。

個人情報の責任はトップにあるため、信頼を失墜してからプライバシーポリシーを変更するよりも、信頼があるときから事業者の経営戦略にあったプライバシーポリシーを持つことが継続成長に役に立ちます。

企業によって、扱う個人情報の種類や頻度が異なるが、データから価値を高める戦略であれば、GDPRのプライバシー原則をプライバシーポリシーに組み入れるとプライバシー炎上などのトラブルを予防できる。同時に、中国共産党の覇権によるリスクは継続しているため、外国資本、サプライチェーン、委託先や通信設備や端末などサービス全体の点検も推奨されます。

  1. 中国委託にはリスクが伴う。
  2. 信頼喪失してプライバシーポリシーを変更するよりも信頼があるうちが良い。
  3. プライバシーポリシーは、データの質や頻度により異なる。
  4. データの価値を高めトラブルを予防するにはGDPRプライバシー原則がお薦め。
  5. 外国資本、委託先やサプライチェーン、通信機器などの点検が推奨される。

自社の経営戦略にあったプライバシーポリシーやGDPRプライバシー原則を取り入れたプライバシーポリシーにしたいなどの場合は問い合せフォームにてご相談ください。(※法人向けサービスであるため個人の方のご相談は対応できませんのでご了承ください。)

ご相談内容を確認しまして、プライバシー対応が必要であるかどうかについてアドバイスいたします。 相談対応は順次となりますので、応募多数の場合はお時間をおかけします。

この記事の監修コンサルタント

Image

株式会社STEKWIRED 取締役 プライバシーコンサルタント アドバイザリー

諸井 賀正

個人情報保護法施行よりオンラインサービスを中心にOECD/GDPRのプライバシー原則でユーザーとの関係を良好にするプライバシーコンサルティングを実施。
個人情報保護とプライバシーがわかる研修やビジネス開発案件のプライバシーのアドバイスをしている。

【資格】
・JPAC認定プライバシーコンサルタント
・認定TRUSTeコンサルタント・審査員
・認定CPP/CPA講師
・個人情報保護士
【受賞】
・プライバシーアワードTRUSTe普及賞