LINEを起動したら、「大切なお知らせ」という青い通知画面が表示されました(2021年3月31日)。
大切なお知らせ
LINEのプライバシーポリシーをわかりやすく更新しました。ご確認ください。
LINEが一連の情報管理問題を受けて、2021年3月31日に変更したプライバシーポリシー。変更点は2箇所なので、何が変わっているのか、読み合わせてみましょう。
1. 改定箇所を比較する
改定箇所が文章ではなく、画像になっていたので、文字にして確認してみましょう。
変更箇所は、2箇所。「パーソナルデータの提供」と「パーソナルデータの安全管理」についてです。
1-1. パーソナルデータとは?
改定内容を確認する前に、話の大前提なんですが、「パーソナルデータ」には、どんなデータが含まれるのでしょう。
確かに「個人情報」とか「プライバシー情報」とか、いろんな言い方があるよね。
LINEのプライバシーポリシーで言うところの「パーソナルデータ」は、「個人に関する情報」のことで、法律的な「個人情報」よりも幅広いです。
3.取得するパーソナルデータ
当社は、以下のパーソナルデータを取得します。
・アカウント開設時に登録する電話番号、サービス利用時に設定するプロフィール情報など、お客様から当社にご提供いただく情報
・お客様が投稿されるテキスト、画像、動画のコンテンツやアクセスログなど、お客様のサービス利用状況に関する情報
・当社以外の外部SNSアカウントを利用してLINEアカウントを作成する場合において、当社が取得する当該外部SNSアカウントの識別子など、当社以外の第三者から取得する情報
・お客様の友だちが投稿するお客様自身の顔写真の画像など、他のお客様がアップロードされるお客様に関する情報
・当社以外の第三者のアプリに設置された「いいね」などのLINEのプラグインを経由して取得する情報など、外部から取得する情報
・インターネット上で公開されたオンラインニュースなど、パーソナルデータを含む公開情報(以下、「パーソナルデータ」といいます。
LINEプライバシーポリシー
中でも大事なのは、
・プロフィール情報、連絡先と、
・送信したメッセージ・写真・動画ですね。
2. 第三国にパーソナルデータを提供する場合の条件
まずは、「パーソナルデータの提供」からです。
もとの規約はこちら。
なお、当社は、パーソナルデータの提供にあたり、お客様のお住まいの国または地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転する場合があります(2019年1月23日現在、欧州委員会は、日本がパーソナルデータについて十分な保護水準を確保していると決定しています。)。この場合、当社はお客様の国または地域で承認されたデータ保護に係る標準契約やその他手段を採用し、パーソナルデータの第三国移転を適用法の要件に従って行います。
改定前のプライバシーポリシー
「個人データ保護法制を持たない第三国にパーソナルデータを移転する場合は、データ保護に係る標準契約やその他手段を採用」と書いてあります。
要は、「パーソナルデータを個人データ保護の法制度がない外国(グレーな国)に移転するときには、契約で縛りますよ」ということです。
うーん、「その他手段を採用」があるのが、気になるね……
2-1. 海外のデータセンター拠点へのデータ移転
改定後は長くなっています。分割して読んでみます。
まずは、海外のデータセンター拠点の話。
当社は、日本と同等の個人データ保護法制を持つ国若しくは地域(欧州経済領域や欧州委員会が十分な保護水準を確保していると認定している国や地域など)又はAPECによる越境個人情報保護に係る枠組み(CBPRシステム)の加盟国にデータセンターの拠点を有しています。
改定後のプライバシーポリシー
欧州委員会とAPECのお墨付きがあるところ、ということね。
2-2. 個人情報保護法制を持たない国からのアクセス
次は、「グレーな国」についてです。
また、以下に記載するとおり、当該データセンターに保管されているパーソナルデータに対し、日本と同等の個人データ保護法制を持たない第三国からパーソナルデータのアクセスが生じる場合がありますが、このような国からのアクセスが生じる場合においても、当社は当該アクセスを行う企業に対して委託契約等で適切なセキュリティ管理を義務付け、管理監督するなどの対応を行うほか、パーソナルデータへのアクセス経路において適切な暗号化措置を講じるなど、当社のセキュリティ基準に則った適切なパーソナルデータの保護が図られるよう必要な措置を講じます。
改定後のプライバシーポリシー
まず、変更があったのが「グレーな国」へのデータ移転は削られ、データアクセスはありうる、となったことです。
データをコピーすると、規約に違反しますね。
もしデータ解析をするなら、キャッシュを保存しないと遅くなるのですが、どうするのでしょう。
また、個人データ保護を担保する方法としては、
つまり、(1)(2)は委託先企業からの情報漏洩の防止で、(3)データ転送で経由する海外サーバからの情報流出を防止する対策になっています。
2-3. 海外へデータ移転をする目的
次は、どんなケースに、どこにデータを移転するか、についても詳しく書かれました。
システムの開発・運用は、韓国、ベトナムなどで行われています。
■システムの開発や運用
LINEやファミリーサービスなどの開発・運用に関する業務のために、主に以下の国又は地域に所在する企業(グループ会社や当該企業の委託先等も含みます。)にお客様のパーソナルデータを移転することがあります。当該業務の実施に必要な範囲で、それらの企業の従業員がお客様のパーソナルデータにアクセスします。
主要な移転先:韓国、ベトナム
改定後のプライバシーポリシー
日本語以外の問合せ対応は、海外委託先(タイ、台湾、インドネシア、韓国、フィリピン)から回答しています。
■カスタマーサポート(日本語除く)
日本語でのお問い合わせは原則日本国内で対応しておりますが、日本語以外でお問い合わせ頂いた場合や、フォームにて日本国外での使用を申告された場合には、主に以下の国又は地域に所在する委託先企業(グループ会社や当該企業の委託先等も含みます。)から回答させていただく場合があります。頂いたお問い合わせの対応に必要な範囲で、これらの企業の従業員がお客様のパーソナルデータにアクセスします。
主要な移転先:タイ、台湾、インドネシア、韓国、フィリピン
改定後のプライバシーポリシー
、言語が「日本語」、地域が「日本」に設定していれば、海外企業の従業員がパーソナルデータにアクセスすることはない、というルールです。
3. パーソナルデータの保管場所に韓国が加わる
次は、「パーソナルデータの保管場所」です。こちらは改定によって短くなっています。
当社は、信頼性が高く、責任ある方法で当社サービスを提供するため、主要なパーソナルデータの保管を、当社が所在する日本の安全なサーバーで行っています。日本におけるデータ保護の水準が、お客様がお住まいの国または地域の法令の要求水準に達しない場合があり得ます。そのような場合には、当社は適用法に従って、日本にある当社のサーバーに適法にパーソナルデータの移転が行われるようにします。なお、2019年1月23日現在、欧州委員会は、日本がパーソナルデータについて十分な保護水準を確保していると決定しています。
改定前のプライバシーポリシー
改定前は、「主要なパーソナルデータは 日本のサーバーに保管している」が、「海外の利用者の場合は、その国の個人データ保護法制を満たす国にデータを移転することがある」と読み取ることができます。
えっ、それなら日本の利用者のパーソナルデータは、日本のサーバーにないとダメじゃない……
パーソナルデータの提供でもちょっと気になったんだけど、2019年以前は、日本の方が個人データ保護ができていない扱いだったんだね。
改定されたパーソナルデータの保管場所には、韓国のデータセンターが明示されました。
当社は日本のお客様のパーソナルデータを日本および韓国のデータセンターで保管しています。
なお、日本および韓国はAPECによる越境個人情報保護に係る枠組み(CBPRシステム)に参加しております。
これは、変更だよね💦
4. それでもLINE社の姿勢に感じる不安
LINE社は、プライバシーポリシー改定の理由として、「書いてはいたが、具体的に説明できていなかった」としています。
これまでのプライバシーポリシーでは、個人に関する情報(パーソナルデータ)を海外の委託先などに移転する場合がある旨を記載しておりましたが、当該業務が発生する国名およびそのケースについてご説明できておりませんでした。今回、皆さまに安心してサービスをご利用いただくために、具体的な情報を追記し、改定いたしました。
今後も、2022年4月1日に施行予定の改正個人情報保護法を遵守するための検討を継続してまいります。
プライバシーポリシー改定のお知らせ|LINEみんなの使い方ガイド
しかし、以上を踏まえて重要な点をまとめると、
・「システムの開発や運用」のときには、主に韓国・ベトナムのデータセンターにパーソナルデータを移転することがあること。
・さらに個人データ保護法制を持たない第三国の委託先から、パーソナルデータのアクセスを許可する場合があること。
・日本利用者のパーソナルデータは、日本だけでなく韓国のデータセンターでも保管していること。
が明記されたことになります。
曖昧なところをはっきりさせたどころか、現状を追認するために変えているところがあるんだよね。
「具体的な情報を追記し、改定しました」というのが微妙な言い回しです。
「具体的な情報 = 追記・改定内容」とも取れますが、
おそらく「具体的な情報の追記 + 改定」の意味になっています。
プライバシーポリシーには、「主要な」や「等」という文言があるので、これまでのパーソナルデータの管理が「規約違反」と言えるかは不透明です。しかし、規約からイメージされることと、実態はかなり異なっていたことがわかります。
正直なところ、「新しいプライバシーポリシーにしたから安心」とは、言いにくいのが現状です。
4-1. インターネットに書き込んだ情報には「公開される」危険性がある
LINEは、便利なメッセージアプリとして使われていますが、もともとは「SNSサービス」としてスタートしました。つまり、LINEを仲介に人と人をつなげるサービスです。
LINEは利用する場合は、個人情報、「友だち」、メッセージなどは、すべて LINEサーバに保管されます。つまり、自分の手元以外に情報が残ってしまいます。無料で便利なサービスが使えるのは、利用者もこの「パーソナルデータ」の活用をある程度 認めているという側面があります。
もちろん、第三者によるメッセージの閲覧は認められないですし、暗号化の仕組みがあります。
個人でLINEを利用するときの心配、なにも 海外からのアクセス だけではありません。
メッセージの機密性はかんたんに崩れてしまいます。それは、メッセージの送信相手によって、画面内容を撮影したスクリーンショットを晒されるということが少なくないからです。
4-2. LINEのもたらしたコミュニケーション
教室の連絡手段の一つにも、LINEがあるので他人事ではありません。
LINEは、長い文章を入力するのが苦手な方でも、メッセージやスタンプ・写真のやり取りを楽しむことができます。ビデオ通話を使って、入院している家族と「対面」することもできます。
これは、LINEアプリのもたらした良い面です。
教室でも、授業の予約だけでなく、ちょっとした季節の写真や俳句のやり取りなど、ステキな交流も生まれています。だからこそ、LINEのパーソナルデータが適正に管理されることを期待したいです。
しかし、LINEに限らず、インターネットに書き込んだ内容は、かんたんに公開・拡散されてしまいます。あくまでインターネット上という 公開の場でやり取りしている、という意識を持って、付き合う必要があるのかもしれません。
最後までお読みいただいて、ありがとうございます。
こちらもどうぞ。
![[iPhone]「au Wi-Fi アクセス」と「au Wi-Fi 接続ツール」の違いを比較した(フリーWi-Fiスポットにつなぐアプリ)](https://chiilabo.com/wp-content/uploads/2021/04/ScreenShot-2021-04-03-20.23.30.jpg)
![[iPhone] Wi-Fiの「プライベート」がオンだとどうなるの?【プライベートWi-Fiアドレス】](https://chiilabo.com/wp-content/uploads/2023/04/image-46-3.jpg)