NISCから「政府機関・地方公共団体等における業務での LINE 利用状況調査を踏まえた今後の LINE サービス等の利用の際の考え方（ガイドライン）」が公表されています。

ちなみに概要版は、こちらです。

まずは、「政府機関・地方公共団体等における業務での LINE 利用」について、コメントをなしうるようになったのは、なせ、ということになると、

令和 3 年 3 月 17 日に SNS サービス LINE（ライン）について、個人情報等の管理上の懸念が報じられたこと

から、このようなガイドラインが公表されたこととされています。

3月17日というのは、朝日新聞の「LINEの個人情報管理に不備　中国の委託先が接続可能」という記事を指すことになります。

無料通信アプリ「LINE」が、中国にある関連会社にシステム開発を委託するなどし、中国人技術者らが日本のサーバーにある利用者の個人情報にアクセスできる状態にしていたことがわかった。LINEはプライバシーポリシーでそうした状況を十分説明しておらず、対応に不備があったと判断

ということです。

でもって、LINE社のプレスリリースです。(主たるもの)

• 3月17日ユーザーの個人情報に関する一部報道について
• 3月23日 個人情報保護委員会からの個人情報の取扱い等に係る報告および当社における今後の方針について
• 3月31日 日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示

です。

NISC等のガイドラインに戻ります。同ガイドラインは、利用状況や利用態様の分析をなしています(状況について1-2頁、態様について2-3頁)。

ここでポイントとなるのが「機密性を有する情報/住民等の個人情報を取り扱う」という概念です。といっても、この概念の定義・判断基準とかが詳細に分析されているわけではないです。

それは、さておいても、「 各政府機関・地方公共団体等のセキュリティポリシーへの合致」が大原則であるということが記載されています。そこで、公式アカウントを利用して、サービスを提供する場合に

住民等とのコミュニケーション（相談内容等）はLINE 社側で一定期間保存され、その情報は、公式アカウント開設の際に承諾する利用規約に基づき取り扱われ、各行政主体において LINE 社に対し特別の取り扱いを求めることは通常できず、その取扱いが各行政主体のセキュリティポリシーを満たしているかも、確認することはできない。

このため、LINE 公式アカウントの利用に関し、LINE 社とは別の委託先に適切にセキュリティが確保されたシステムを構築させることと

となっています。上に図を示しておきましたが、プラットフォームのLINEとの間には、データがわたらないように、「適切にセキュリティが確保されたシステムを構築させること」を求めています。

具体的には、

• 相談業務等のコンタクトポイントの一つとして LINE サービスを利用する場合は、相談内容等の機密性を要する情報等が LINE 社側に残らず、これらの情報は委託先等のデータベースに直接格納・保管されるシステム構成とすること
•  発注元である各行政主体は、契約等を通じて、相談内容等の機密性を有する情報等を格納・保管する委託先が自組織のセキュリティポリシーを満たすことを確認したうえで、委託を行うこと
• LINE サービスでの画像ファイルの送信ボタンを非表示にするなど、相談する住民等と委託先等の双方が、LINE サービス上で要機密情報を取り扱わない運用を図ること
•  各行政主体は、これらの措置を委託先に担保させるため、委託先に対して、事前にこれらの事項を確認したうえで各主体に LINE サービス利用の承認を求めるとともに、定期的に利用状況を報告することを委託先への仕様内容に含める、また、各行政主体は本ガイドラインに則って、委託先による LINE サービス利用の可否を判断する

ということが記載されています。

個人的には、この問題は、あまり深く追っていないので、何かの機会に勉強したいと思っています。今のところの疑問は、以下の二つということになります

1. オンライン申請では、なるほどという感じです。
2. ただし、公式アカウントによるチャットボットなどの処理おいては、自然言語認識の仕組みにおいては、質問自体をLINEの仕組みの上で分析しないといけないはずです。なので、質問している人の個人的なデータをLINE本社で取り扱わないこと、分析しないことというリクエストが、実質的に可能なのかということを疑問に思います。
3. この問題は、どうも、中国であるとか、韓国といって、日本以外における個人データの取扱、それについてのデータ主権的な思惑で批判がなされていたようにおもえるのですが、そのようなものと別の観点からのガイドラインというのは、果たして有意義なのか、国家安全の見地からそもそも一定のデータについては、国外において保存されるべきではない、ということがあるのではないか、もしそうだとするとその場合の根拠、範囲、等は、どうか、ということについて各国の具体的な定めをみてみたいように思います。これは、トラストのもとでの自由なデータフローというのと矛盾するわけではないと思います。