内閣府の外局として設置されている個人情報保護委員会は4月23日、3月19日に個人情報保護法の下で実施したLINEの報告徴収の結果を発表。行政指導を行の内容を示したが、現時点では違法性はなかったとの判断を下した。
【参考】【日本】LINE、中国グループ会社からの暗号化保護された個人情報アクセス認める。個人情報漏洩等は否定(2021年3月19日)
【参考】【日本】LINE、プライバシーポリシー改定。データ移転の記載を詳細化。「2つの国内化」も進める(2021年4月3日)
今回、個人情報保護委員会は、LINEが外部に処理を委託した個人データは秘匿性が高く、数量も多いことから、不適切な取扱いが生じた場合の影響が大きいと伝え、案件の重要度が高いとの考えを示した。その上で今回、4つの改善点を指摘した。
- 委託先(再委託先を含む)のシステム開発者に個人データへのアクセス権限を付与する場合には、その必要性及び権限付与の範囲を組織的に検討した上、必要な技術的安全管理措置を講ずること
- 委託先のシステム開発者に個人データへのアクセス権限を付与する場合には、不正閲覧等を防止するため、アクセスしたデータの適切な検証を可能とするログの保存・分析など組織的安全管理措置を検討した上、必要な措置を講ずること
- 委託先における個人データの取扱状況を把握するため、定期的に監査を行うなど、委託契約の実施状況を調査した上で、委託内容等の見直しの検討を含め、適切に評価する措置を講ずること
- LINEの提供に関してメッセージ等の個人情報を取得する場合には、取得する個人情報の範囲を分かりやすく通知するとともに、通知内容が適切に表示されているか確認する体制を整備すること
但し、違法性については、「基準適合体制を整備するための措置が概ね講じられていた」「「本人の同意」については、プライバシーポリシーにおいて、利用者の個人情報の利用目的(サービスの提供・改善、コンテンツの開発・改善、不正利用防止等)及び業務委託先の外国の第三者へ提供することが明記されて(いた)」とし、違法性は現時点では確認できないとの判断を下した。
[2021.4.27追記]
総務省も4月26日、LINEに対する行政指導内容を発表。内部向けシステムの開発プロセスでも外部向けの同等のプロセスを採用することや、アクセス権限の適切な付与を遂行するための開発組織のガバナンスの在り方の見直し、情報の適切な取扱いに係る透明性・アカウンタビリティの向上、利用者への適切な説明等を指示した。但し、通信の秘密の侵害又は個人情報の漏えい等は確認できないと判断した。
【参照ページ】個人情報の保護に関する法律に基づく行政上の対応について
Sustainable Japanの特長
Sustainable Japanは、サステナビリティ・ESGに関する
様々な情報収集を効率化できる専門メディアです。
- 時価総額上位100社の96%が登録済
- 業界第一人者が編集長
- 7記事/日程度追加、合計11,000以上の記事を読める
- 重要ニュースをウェビナーで分かりやすく解説※1
さらに詳しく ログインする※1:重要ニュース解説ウェビナー「SJダイジェスト」。詳細はこちら