すこし、間が空いてしまいましたが、Zホールディングスの「グローバルなデータガバナンスに関する特別委員会」第一次報告受領についてというプレスリリース と報告書を、分析しながら読んでみました。
いわゆるLINE事件については、「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む というエントリで検討しました。
まずは、ショックは、このような報告書が、パワーポイントで作成されているということです。学会報告でも、予稿が、パワポで書かれたりする時代なので、そんなものなのだろうと思います。が、自分としては、報告書というのは、
「相談をうけた事実」「法的見解」
という構成で書かなければなりませんと、教わった人ですので、どう考えても周波数があいません。
それは、さておき、スライドを見ていきます。
7ページ目
本件事案を徹底的かつ総合的に 調査し利用者および社会に 明らかにする。
•その上で、以下の視点から課題の 改善案を 議論する。
①日本発のデジタルプラットフォームを目指す公的な側面を有する企業グループが社会からの要請を満たしつつイノベーションを実現していくためにどのような ガバナンス体制 を内在すべき か
②いかにして 利用者や社会への 説明 責任 (アカウンタビリティ を果たしていくべきであるか
だそうです。
では、事実関係から。(委員会がどう開催されされたか、というのは、パス)
事実関係 (12ページ以下)
意見をもとめられている事実としては、
- 海外委託関連の事実(LINE 社が提供するメッセージングサービス「 LINE 」の日本ユーザーの個人情報(通報されたメッセージの内容を含む)が、中国法人であり LINE 社の業務再委託先である LINE China 社 および中国法人であり資本関係にない 1 社からアクセス可能であった。)
- データ保存関係の事実 (「 LINE 」で送信されたコンテンツのうち、画像・動画・ファイル( PDF など)について、韓国にあるサーバーに保管されていた。)
- 通報機能に係る表示不具合 (「 LINE 」 における不適切なメッセージ等を利用者が通報する機能において、通報を行う際に表示される LINE 社に送信されるメッセージ等の範囲についての記載が、プログラムの不具合によって、 以下の期間、 本来表示されるべきものとは異なる表示がなされていた 。)
があるとのことです。
1 海外委託関連の事実
LINE 社が提供するメッセージングサービス「 LINE 」の日本ユーザーの個人情報(通報されたメッセージの内容を含む)が、中国法人であり LINE 社の業務再委託先である LINE China 社および中国法人であり資本関係のない 1 社からアクセス可能であった。
という事実については、
- LINE China社(LINE 社内の業務ツールの開発を担当)により、サービスの開発および保守業務に伴い行われたものとして、モニタリング業務支援システム( LMP )の開発および保守業務 として、4 名、 32 回のアクセス)、捜査機関対応業務従事者用コンテンツマネジメントシステム( LPL )の保守業務として、 1 名、11 回のアクセスが行われた。
- 資本関係のない中国法人(日本企業現地法人)により、公開コンテンツのモニタリングのために行われたものとして、公開されているコンテンツについて、不適切なコンテンツを発見、削除等する業務( 1 日約
90,900 件)の履行としてアクセスが行われた。
2 データ保存関係の事実
「 LINE 」で送信されたコンテンツのうち、画像・動画・ファイル( PDF など)について、韓国にあるサーバーに保管されていた。
という事実関係です。
認定された事実は、
「 LINE 」のメッセージのコンテンツのうち、テキスト部分は日本にあるデータセンターで保存されていたが、画像と動画とファイル( PDF など)は韓国にあるデータセンターで保存されていた。
タイムライン、公式アカウントについてもテキスト以外のコンテンツは韓国にあるデータセンターで保存されていた。(以下、略)
になります。
3 通報機能に係る表示不具合
ですが、これの事実認定については、わかりませんでした。
なお、この事実認定部分については、
LINE 社による政策渉外活動において、データの保管およびアクセスについて、官庁・自治体などへ実態と異なる説明がなされていた。
というものがあるようです。
事実認定と規範鼎立・評価が分離されていないので、分かりにくいのですが、この部分も前提事実として評価がもとめられているのかと思います。
法的見解について
1 海外委託関連の事実
これに対して、13ページでは、報告書は、「委員からの主な意見」がそのまま書いてあります。
国家情報法が施行されて、そのリスクが日本国内で議論されるようになった後にも、中国での開発・保守体制を見直すことができなかったのは問題ではないか(第 5 回特別委員会)。
あたりが、主たる意見の方向性ということでしょうか。
ということで図解を考えてみました。が、ここで思ったのが、
この海外委託の事実は、国内法で論じるべきなのか、国際法で論じるべきなのか、
ということです。まずは、イントロの図。
国際的な問題を考えるときは、国内法と国際法という二つのパラレルワールドを考えないといけません。パラレルワールドのお話は、SF好きの人には、説明いりませんね。個人的には、ドクターフーは、おすすめ。
で、普通に考えるときは、個人情報保護法があって、中国からアクセスできるよね、中国って、個人情報保護のレベルでいくとどうなの、とか、その同意って、中国を念頭においていたの?という問題ですね。
でも、ちょっと考えてみます。これって、日本の国民の重要なデータが中国で取り扱いうるとか、アクセスしうるとか、特に情報機関がアクセスしうるということを問題にしていませんか?ということです。このような観点から考えると、逆に国際法といういま一つのパラレルワールドからみたほうが問題点が見えそうな気がします。
それをみるとこんな感じ。
このパラレルワールドだと情報主体の同意は、意味をもたなくなりそうです。(厳密にいうと「ドメイン・レザベ」への介入で解釈されるのでしょうか。研究が必要です)
ちなみに国家情報法の解説はこちらです。【中国】国家情報法の制定 主任調査員 海外立法情報調査室 岡村 志嘉子 (ここで、国家情報法をだすのは、とょっと違う気がします?普通は、ネットワークセキュリティ法 28条なんじゃないの? という問題があります)
関連する法としてネットワークセキュリティ法(网络安全法 2016)、データセキュリティ法(数据安全法 2021 私のエントリだと「域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国データセキュリティ法を読んでみる」)があるわけですが、これらの関係については、別の機会に(というか、まだ調べてません-調査資金お待ちしています)。
国民とか、国内の電気通信インフラで取り扱われるデータについて、国家は主権をもつのではないかということで「データ主権」という言葉が使われることがあります(まあ、また、専門家風用語が好きな人は、データアクセス権をそう呼ぶ人もいますが)が、むしろ、この問題は、そのような現れのような気がします。
2 データ保存関係の事実
「 LINE のグローバルデータガバナンスの現状と今後の方針」( 2021 年 3 月 23 日)において説明していたのが異なっていたということの認定がなされています。あと、
LINE 社において、個人データの越境移転が生じていたが、それに関するプライバシーポリシーにおける説明が、求められる社会的責任に照らして不十分であった。
そのプライバシーポリシーというのは
当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。
(略)
当社のパーソナルデータの提供先には、お客様のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者を含みます。
(略)
当社は、信頼性が高く、責任ある方法で当社サービスを提供するため、主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています。
というものです。
これは、今後の対応策の検討ということなのかどうか、
8.経済安全保障に係る懸念(18ページ以下)
デジタルプラットフォーム事業者は開発拠点やデータセンターを置く国のプライバシーやセキュリティ等の法規制や社会政治状況に関する情報を収集、分析および評価して経営判断を行うことが求められる。
委員会によるヒアリングや LINE 社による記者会見( 2021 年 3 月 23 日開催)を通じて、 LINE 社では個人情報保護やセキュリティ等の法規制に関する評価および分析を行うための適切な体制を構築しているのに対して、プライバシーや経済安全保障の観点からの分析および評価を行うための体制が不十分であることを確認した 。
という検討がなされています。
経済安全保障というのは、
我が国の独立と生存および繁栄を経済面から確保すること
ということになります。(「提言 『経済安全保障戦略策定』に向けて」参照)
でもって、これによって、どのような規範が鼎立されるべきなのか、ということをLINE社には、きちんと明らかにしてほしいものだと思います。
国家の主権と主権のせめぎ合いというのは、懐かしのマークリッチ事件(「「クラウド時代のセキュリティと法律の関係」 」23ページ参照)、レイカー航空機事件など昔からあったのですか、今は、この主権のせめぎ合いがデータをめぐってなされるようになったということで捉えるのがいいのかなと思っています。
その意味で、このLINE事件の朝日新聞の報道(LINEの個人情報管理に不備 中国の委託先が接続可能)は、それ自体、この問題が、漠然とした経済安全保障に対する警鐘であるという自覚はなかったように思います。個人情報という用語しか書いてありません。
ただ、上の図でも触れておきましたが、むしろ、これは、日本の国民の重要なデータが、中国から、その国家の安全保障に関する限りにおいてアクセスしうる状態になる という問題が提起されたとよむべきなのであろうと思います。
LINE社も、問題ですねといったきり、という現状を物語っているように思えます。
ここで引っかかったのが、外為法のコア業種の指定です。「外為法による対内投資の規制枠組と改正のための議論」で触れたのですが、コア業種を定める告示(対内直接投資等)21では、
百万人以上の者の個人情報(個人情報の保護に関する法律(平成十五年法律第五十七号)第二条第一項に規定する個人情報をいう。)であって
イ 位置情報
ロ 個人情報の保護に関する法律施行令(平成十五年政令第五百七号)第一条に掲げるもの又は第二条各号に掲げる事項を内容とする記述等が含まれるもの
ハ 信用情報(資金需要者である顧客又は債務者の借入金の返済能力に関する情報をいう。)の収集及び他のものに対する信用情報の提供を行う業務を行う機関において取り扱う信用情報を扱うために特に設計したプログラムを作成する受託開発ソフトウェア業、パッケージソフトウェア業、インターネット利用サポート業又はこれらの情報の処理のために専ら用いる情報処理サービス若しくはインターネット利用サポートサービスを提供する情報処理サービス業若しくはインターネット利用サポート業(略)
は、コア業種として、対内投資について、特別の配慮がもとめられています。ユーザの数であるとか、データの性質とか、などから、どこでデータの保存がなされるか、というのが分析されて、リスク評価がなされるべき時代になっているのだろうと思います。