(画像はLINEのプライバシーポリシーより)
皆さんこんにちは。
プライバシーザムライ中康二です。
LINEの個人情報の取り扱いが問題になっています。
主に今回取り上げられているのは
(1)委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
(2)LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。
私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI/親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。(よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️)
ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。
それは【長すぎるプライバシーポリシー】問題です。
同社のプライバシーポリシー(リンクを下に貼っておきます)はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。
そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。
(1)個人情報の利用目的(第18条)
(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)
(5)保有個人データに関する事項の公表(第27条)
これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。
(1)個人情報の利用目的(第18条)
やはりいちばん重要なのは「個人情報の利用目的」です。(取り扱う個人情報の項目ではなく)取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。
個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。
さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。
(クリックすると拡大します)
どうですか?ひとことで言って長過ぎます。
冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。
次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。
その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。(「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない)
本来、この利用目的の部分は、下記のように簡潔に記載できると思います。
------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
1)お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
2)当社サービスの開発と改善のため
3)セキュリティや不正利用対策を促進するため
4)お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------
これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。
(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)
次に提供の部分を抜粋してみましょう。ここは上記の3つの項目が関係します。
(クリックすると拡大します)
これまた長々と書きすぎています。
冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。
また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。
また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。
(5)保有個人データに関する事項の公表(第27条)
保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。
さて、これに関する記載はここかな?
これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。
結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」(=問い合わせがあったら個別に対応する)こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。
LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/
(私のコメント)
以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。
同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。
長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。
LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか?
同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。
また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。
このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。
今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。
皆様にも何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ 中康二
(オプティマ・ソリューションズ株式会社 代表取締役)
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!