法律の報告書の書き方-「斬新な」LINE事件最終報告書を読む

いわゆるLINE事件については、本ブログでも何回かふれてきました。「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む が直接に検討したものです。ところで、Zホールディングズ社から、「グローバルなデータガバナンスに関する特別委員会 最終報告書」が公表されています(以下、最終報告書といいます)。リンクはこちら

中間報告書については、「データの外国での取扱の国際法の側面-Zホールディングス(a.k.a LINE)「グローバルなデータガバナンスに関する特別委員会」第一次報告について」のブログでふれましたが、法律問題をパワーポイントで報告するという新時代の報告書をみせてくれた委員会です。今度こそは、理解できる報告書になっていることを期待して分析していきたいと思います。

と思って読んでみたのですが、非常に理解の難しい報告書です。私としては、この報告書が法的な報告書であると認識したことが問題なのだろうという結論に達しました。

「もっとも良い効率的な法律報告書の書き方(How to Write an Effective Legal Report the Best Way Possible)」のページがありますHow to Write a Law Reportはこちら。このページで提案されている法律報告書の構成は、以下のとおりです。

  • 提示された質問。あなたの全体の法的レポートの基礎である、この最初のセクションでは、正確な法的問題を強調しています。
  • 短い答え。最初のステップは、明確に正確に問題が何であるかを識別することです。
  • 事実のステートメント
  • 議論をする
  • 結論

ところで、この最終報告書の構成は、こんな感じです。

  • 第 1 章 特別委員会の概要等
  • 第 2 章 LINE アプリ関係の越境データアクセス及びデータ保管の状況
  • 第 3 章 LINE 社のガバナンスに関する検証結果及び LINE 社による改善策
  • 第 4 章 LINE 社の重要なデータを取り扱うグループ会社の状況
  • 第 5 章 LINE 社におけるデータガバナンスの状況と改善に向けた提言
  • 第 6 章 ZHD 社によるガバナンスの状況と改善に向けた提言
  • 第 7 章 おわりに

事実と規範の分離・議論・今後の対応という議論が伝統的な構成だろうと思うのですが、この報告書は、このような枠組に準拠しない斬新な報告書の構成といえるだろうと思います(皮肉)

技術検討部会は、皆さん、よく存じているので、なんなのですが、個人的には斬新な構成の報告書には、ついていけません。

もしくは、情報ガバナンス枠組をベースに考えているとこうなるよというのかもしれません。しかしながら、情報資産があって、そのための要件として、法的要件・リスク対応手法・ポリシ体系・教育・情報という枠組を考えれば、そこら辺が、きちんと切り分けられていないという印象を感じてしまいます。経済安保リスクについての対応の枠組の図については、以下のような感じで考えています。

LINE事件は、客観的な規範違反の問題なのか、それとも企業の透明性・コミュニケーションの問題なのか、上の図でいうと、「法令等遵守」の問題なのか「透明性」の問題なのか、報告書の構成からは、よく分からないところです。もっとも、報告書の構成が斬新であったとしても、内容は、わかりやすく書かれているのかもしれません。具体的な内容が重要です。


第1章 特別委員会の概要等

この章で記載されている内容は、設置経緯、目的、構成、検証の概要、審議の経緯にわけて論じられています。このなかで、チェックしておくのは、(2)本委員会等の目的かと思います。

本事案について、その事実関係の検証・評価、経済安全保障にも配慮したプライバシー及びセキュリティの確保のあり方、これらを実現するためのガバナンスのあり方について、第三者の立場で提言すること等を目的とする。
また、技術検証部会は、本委員会からの指示による LINE 社での日本ユーザーのデータ取扱いの実態把握、及びサイバーセキュリティに関する技術的観点からの監査等を実施することを目的とする。

になります。

すると、「経済安全保障にも配慮したプライバシー及びセキュリティの確保のあり方」についての規範が回答として準備さることを期待してしまいます。ですが、この期待は、全く裏切られることになります。

第2章 LINE アプリ関係の越境データアクセス及びデータ保管の状況

この章は、1. 中国企業への業務委託、2. 韓国のデータセンターから日本データセンターへのデータ移転、3. 個人情報保護委員会・総務省報告からなります。具体的に読みます。イメージとしては、こんな感じです。

 

1. 中国企業への業務委託

(1)検証事項では、検証した事項の記述です。

(2)中国において開発・保守を行うに至った経緯等の調査(本件移管決定時の検討等について)では、

LINE 社において、本件移管決定当時、国家情報法等に関する詳細な議論や検討は行われていなかった。
また、本件移管決定後においても同様に、国家情報法等に係る中国のガバメントアクセスのリスクを踏まえて LINE China 社への業務・開発体制の見直しを検討していなかった。

という記述があります。

伝統的な記載だとすれば、取扱が問題になった時点における中国における国家情報法のリーガルリスクの評価が前提になるかと思います。それがなされて初めて、「詳細な議論や検討」がなされるべきであったとなるのだろうと思います。最終報告書は、そこら辺は、筆者の理解を越えるものになります。

(3)中国開発拠点における LMP に関する日本ユーザーのデータ取扱いの実態等の検証においては、、LINE China 社の従業員による LINE アプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスは、調査対象期間(2020 年 3月19日から2021年3月19日)において、139件存在したことが判明したことが記載されています。

(4)LINE 社による改善策・改善結果については、中国での業務を終了する対応が記載されています。

(5)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェンスの状況についてについては、経営統合時についてのデューディリジェンスの客観的記述です。

(6)本委員会の評価・提言

ここで、若干、ガバメントアクセスのリスクについての議論がでてきます。その部分は、

本件移管決定当時、国家情報法に関して日本国内で活発な議論が行われていた形跡は確認できなかった。しかし、本件移管決定前後において、少なくとも中国のサイバーセキュリティ法のリスクが日本国内で議論されていたこ
と等を踏まえると、LINE 社においては、通信の秘密を含むユーザーの個人情報を扱う以上、国家情報法に限らず広く中国におけるガバメントアクセスのリスクを慎重に検討する必要があった。
本件移管決定後、本事案が問題になるまでの間、国家情報法をはじめとする中国におけるガバメントアクセスのリスクへの対応状況は、日本国内において企業により多様であったといえる(詳細については本委員会第二次報告書第 19~20 頁「(イ)検証結果」をご参照いただきたい。)。しかし、2017 年 6 月 28 日の国家情報法施行以降、あるいはそれ以前であっても、中国拠点における情報の取扱いについて慎重な対応をとる企業が一部に存在するところ、上記のとおり、LINE 社は通信の秘密を含むユーザーの個人情報を扱う以上、中国法に関するリサーチの対象やリスク評価の範囲を継続的に見直すべきであった

となっています。さらに、セキュリティ部門がこれらのサイバーセキュリティのリスクを認知して経営陣に報告していたことはふれられています。そして、結論としては

経営陣が LINE 社に求められるガバメントアクセスのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受信されたテキスト、画像、動画及びファイル(PDF など)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判断する。

とされています。(国家情報リスクなのか、個人情報保護リスクなのかは、?ではあります)

あとは、2022年施行予定の部分(26ページは、ケアレスなはず)については、ガイドライン等を策定し、グループ会社においてはこれに従った取扱いをするよう体制を整えるという報告がなされています

2. 韓国のデータセンターから日本データセンターへのデータ移転

これについては、(1)検証事項で、事件後の移転計画がなされているかの検証がポイントであるという記載がなされています。(2)検証結果については、この計画とおりであったということが検証されています。(3)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェンスの状況について は、経営統合についての事実的な認定です。

この部分は、法的な規範の問題は論じられていません。

3. 個人情報保護委員会・総務省報告

(1)指導内容は、

  • 個人情報保護委員会 2021 年 4 月 23日付けの行政指導
  • 総務省からは 2021 年 4 月 26 日付けの行政指導

が記述されています。(2)LINE 社による改善策については、具体的な改善策がなされている旨が報告されています。(3)評価については、実施がなされているのを確認したということになっています。

第 3 章 LINE 社のガバナンスに関する検証結果及び LINE 社による改善策

1. LINE 社の越境移転に関する対外的なコミュニケーションについて

この章は、(1)中国からのアクセスに関するコミュニケーションと(2)韓国でのデータ保存に関するコミュニケーション につい議論がなされています。

(1)については、

具体的な移転先国又は地域の名称や移転の対象となる情報、生じ得る本人の権利利益への影響の具体的内容、越境移転の必要性の詳細等について、プライバシーポリシー等において積極的に開示していくべきところ(第 2 章1.(6)①(25~26 頁))、法施行前の段階においてこれに係る一部の措置を講じたことは評価できる

としており、(2)については、2014 年に『韓国国情院が LINE 傍受』、「FACTA」2014 年 7 月号 という報道がなされ、また、その前後も継続して SNS 等で韓国との関係について批判的に取り上げられるなどの状況があったにもかかわらず、

「あえて韓国に言及する必要はなく、当時の判断として日本のユーザーの不安を取り除く観点から日本にフォーカスを当てる表現を用いた」という姿勢を維持し、上記対外的な説明を改善しなかったことは、極めて不適切であったと言わざるを得ない。

というような評価がなされています。

2 政策渉外関連

この章は、(1)政策渉外活動における対外的なコミュニケーションの実態についての検証、(2)捜査機関対応の実態についての検証 、(3)JILIS と LINE 社との関係についての検証から成り立っています。野次馬的には、(3)JILIS と LINE 社との関係についての検証は、興味深いのかもしれませんが、とりたててブログで分析するまでもないかと思います。(1)政策渉外活動における対外的なコミュニケーションの実態についての検証においては、

公共政策・政策渉外部門においては、何よりも事実の正確な把握とそれに基づく誠実なコミュニケーションが必要であって、これに係るコミュニケーションについては、慎重かつ確実に事実確認を行ったうえでその内容を決定しなければならなかったところ、LINE アプリで送受信された画像や動画、ファイル(PDF など)のデータについて韓国のデータセンターに保管している事実を認識する機会を活かすことができないまま、客観的事実に反する説明を一部でしていたことは、問題であったと言わざるを得ない。
また、LINE 社の公共政策・政策渉外部門が、議会関係者から「データの海外移転のうわさなどがあるのではないか」という質問が出たときに、「そのような仕組みはないので全く心配はございません」と客観的事実に反する回答をしていたことも、確認されている。このような回答は結果的に極めて不適切であったと言わざるを得ない。このような重要な情報に関する確認を求められた場合においては、仮に過去において事実関係を確認した事柄であっても、それをそのまま回答をするのではなく、事実関係を改めて確認するまで回答を留保するような姿勢が、とりわけコミュニケーションの正確さが求められる政策渉外活動においては必要であったと言わざるを得ない

という報告がなされています。

第4章以下については、興味深いところだけみていきます。

第 4 章 LINE 社の重要なデータを取り扱うグループ会社の状況 については、2. LINE ヘルスケア社の越境データアクセス及びデータ保管の状況等が興味深いところでしょうか。
第 5 章 LINE 社におけるデータガバナンスの状況と改善に向けた提言については、1. LINE 社におけるデータガバナンスについて (1)LINE 社の海外子会社等を含むデータガバナンス体制 あたりは、興味深いです。また、「e 経済安全保障に関する管理体制」において

上記のとおり、LINE 社において、ガバメントアクセスのリスクを含む経済安全保障分野に関する管理体制が不十分であったことから、経済安全保障を考慮したデータガバナンス体制を構築していく必要がある。この点、経済
安全保障の分野については、グループ会社が一体となって対応していくことが重要である

とされています。もっとも、ここでいう、「ガバメントアクセスのリスクを含む経済安全保障分野に関する管理体制」というものが特定されているようにはおもえないところです。

第 6 章 ZHD 社によるガバナンスの状況と改善に向けた提言については、「2. 社会インフラを提供する企業グループにおけるグローバルなデータガバナンスのあるべき姿」で

近時においては米中間の緊張が急速に高まっており、不安定化するグローバル環境の中にあって適切に事業を行っていくには経済安全保障へ十分な配慮が不可欠である。経済安全保障はもはやブラックスワンではなく「灰色のサイ」であり、特にデータが富や利益を生み出す源として認知されその活用のあり方を競っているデータ駆動型社会において、大量のデータを取り扱ってサービスを提供するいわゆるデジタルプラットフォーム事業者は、近時の急速なグローバル環境の変化への対応を最重要な経営課題として位置付けなければならない

としていて、

法律に準拠するということがガバナンスだということでは経済安全保障に適切に対応していくことはできず、法律になっていないことを先取りしていくことが求められる。ZHD 社が、ZHD グループのサービスと外国との関係についてのルールを策定すること等によって外国による影響を適切にコントロールするためには、その前提として外国における法令等の検討状況や、日本と外国の関係の状況等を適切に把握していることが必要である

としています。

第 7 章 おわりにについては、とくにないのですが、注71で「「電気通信事業ガバナンス強化に向けた検討状況の整理」(2021 年 10 月 4 日)が取り上げられています。

健全な民主主義システムに影響を与えるおそれ(国家的法益)、④機密データ等の窃取による国家安全保障上の脅威(国家的法益)、サイバー攻撃による政府機関や重要インフラの機能停止(国家的法益)が挙げられている


ということでみてみました。率直に言って、報告書の構成が、私の思考方法と異なるので、理解がよくできませんでした。

とくに理解できなかったのが、経済安全保障リスクについて、私企業は、どのような規範に直面しているのか、という論点についての回答が与えられていないということです。

私の分析によれば、

  • 国家安全保障、国民経済の生命線、国民生活の重要な側面、主要な公共利益に関連するデータは、国家の中核的データであり、より厳格な管理システムを実施する(中国データセキュリティ法21条2項)
  • 重要情報インフラストラクチャーの運営者が中華人民共和国の国内での運営において収集、発生させた個人情報及び重要データは、国内で保存しなければならない。(中国ネットワークセキュリティ法37条)
  • 国家機関が取扱う個人情報は中華人民共和国の域内で保存しなければならない(中国個情法37条)

などと同様の規範が、我が国でも検討しなければならないのではないか、という状態であると考えているので、そのような分析についてはふれてもらいたかったような気もします。

もっともこの問題は、ネットワークについての国家主権が、どのようなか形で国内法に影響を与えるかという、いわば、ゾーンディフェンスのシームの問題なので、この委員会のメンバーですと、専門家がいないということなのだろうと思います。難しいところです。

関連記事

  1. 脅威情報共有のプラットフォーム(4)-MISPとISO/IEC …
  2. CyCon2017 travel memo 8) Day2 午後…
  3. 脅威インテリジェンスサービスの利用とコンプライアンス(4)
  4. マイク・シュミット教授のニュージーランドのサイバーセキュリティ政…
  5. NFT電子印鑑は、「信頼できる電子署名」(UNCITRAL)であ…
  6. 域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国デー…
  7. シンガポール・スマートネーション2.0について
  8. ホワイトハウスや同盟国の「悪意あるサイバー活動および無責任な国家…
PAGE TOP