2021年4月1日(木)日経朝刊47面(社会)に「個人情報保護不備で立ち入り LINE管理実態焦点 中国委託先「業務範囲内か」解明へ」との記事あり。
LINE(ライン)の利用者の個人情報が中国の関連会社から閲覧できた問題で、個人情報保護委員会は31日、個人情報保護法に基づき、LINEや親会社のZホールディングスなど関係先の立ち入り検査を実施した。
従業員らが業務の範囲を超えて閲覧していなかったかなどを焦点に、同社の情報管理体制の実態解明を進める。
同社などによると、中国・上海の関連会社の従業員が2018年8月から21年2月までの間、日本のサーバーに保管されている氏名や電話番号などの個人情報にアクセスできる状態だった。
これまでに少なくとも計32回のアクセスがあったことが確認されている。
また利用者から「不適切だ」などと通報があったメッセージに対し、中国・大連の業務委託先からアクセスしていた。
同社はこれまで中国の従業員が閲覧した情報は「業務上必要な範囲だった」などと説明する。
ただ、委託先の従業員がどんな種類の個人情報にアクセスできるのか、必要な業務範囲とは何かーーといった運用ルールなど詳細を明らかにしていない。
個人情報に関する業務を委託する場合、企業などには委託先を監督する義務がある。
個人情報に詳しい弁護士は「LINEの体制に不備があり、委託先を十分に監督できていなかった可能性がある」と話す。
そもそも個人情報に関する業務を、中国にある企業に委託していた点を疑問視する声も多い。
背景にあるのは17年施行の国家情報法だ。
中国では国が民間企業や個人に対し、情報提供を強要することができる。
「一般データ保護規則(GDPR)」を定めプライバシー保護を強化した欧州連合(EU)などとは大きくルールが異なる。
海外に業務を委託すること自体は違法ではないが、「中国では情報漏洩など安全保障上のリスクは否定できない」(同弁護士)という。
同委員会は問題発覚後、LINEの委託先の業務内容や個人情報へのアクセス状況、個人データの扱いに関する社内ルールの順守状況などの調査を進めている。
同社が中国からのアクセスを遮断したとする対応策についても、適切に遮断されているのか検証するという。
LINEの利用者は約8600万人に上る。
プライバシー保護や危機管理を専門とする日置巴美弁護士は「個人データの厳格管理が求められる時代に、LINEは委託先をチェックする体制が整備されていたか疑問だ。
個人情報を扱う企業として、安全や危機管理の意識が低かったと言わざるを得ない」と指摘する。
委員会は立ち入り検査で同社の管理体制に不備が無かったかどうかなど実態解明を急ぐ。
