行政サービスはどのように提供されるべきか
基本的には、ITサービスのデータが海外に存在していること自体は、社内管理体制がしっかり整えられている限りにおいては日本法上、問題になりません。したがって、LINE社の個人情報保護体制についても、当初の記載が曖昧な部分はあったにせよ、致命的な問題ではありません。
しかし、国や自治体が管轄している行政サービスを民間のITサービス上で扱う場合は話が変わります。
その行政サービスには、国民に関する情報(マイナンバー含む)や、国家機密が含まれている可能性も残ります。それらの情報を海外において良いかどうかについては、委託する国や自治体の方にこそ、慎重な判断が求められます。
先日のCOCOAの件にしても、今回のLINEの件にしても、発注側である国や自治体が、開発時の座組・データ管理体制について適切か「判断できていない」状況の方が大きな課題です。
発注側も受託側に任せきりにすることなく、
- 機密情報/個人情報は国内のデータセンターで保存することを求める
- 該当情報を扱える社員/スタッフの範囲を制限する方法の詳細提示を求める
など、必要な確認を能動的に行う必要があるでしょう。
参考資料
- 個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」
- LINE株式会社「LINEにおける個人情報の取り扱いに関連する主な予定および取り組みについて」
- LINE株式会社「日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示」
- LINE株式会社「2020年12月期 第3四半期報告書」
- ソフトバンク株式会社「当社完全子会社である汐留 Z ホールディングス合同会社と LINE 株式会社の吸収合併契約締結に関するお知らせ」
- 一般社団法人 電子情報技術産業協会「IT サービス海外展開における留意点」
- 當瀬ななみ「新型コロナウイルス接触確認アプリCOCOAの不具合を長期放置。開発体制の課題を考察」LIMO
當瀬 ななみ
