楽天・メルカリ・GAFAに聞いた 個人情報の保管先は

篠健一郎、益田暢子
【動画】私のデータはどこに…

 LINEの個人情報管理に不備があった問題を通じて明らかになったのは、データがどこで保管され、どのように使われているのか、利用者にきちんと知らされていないという実情だ。総務省は26日、個人情報の取り扱いについて利用者への説明が不十分だったなどとしてLINE行政指導をした。個人情報保護委員会も業務委託先の中国企業への監督などに不備があったとして、23日に同社に改善を指導している。

個人データをどの国で保管、管理?

 グローバルに事業を展開する国内外のIT企業は個人データをどこで保管し、管理しているのか。主要な7社に取材した。

 各社への取材は3月下旬に行った。対象は国内外でeコマース事業を展開する楽天グループメルカリの国内2社と、グーグル、アマゾン、フェイスブック、アップル、ツイッターの海外5社。

 各社に、①日本の利用者の個人情報の保管場所②そのデータの利用・管理をどこの国でしているか③利用・管理を関連会社やグループ外の企業に委託しているか④利用者に②、③についてプライバシーポリシー(個人情報に関する指針)などでどのように説明しているかを聞いた。

写真・図版
主なIT企業のトップ

 日本の個人情報保護法では、個人データの国外移転についてプライバシーポリシーで触れることを義務づけていない。ただ、来年に施行予定の改正法では、個人データを国外に移す場合、プライバシーポリシーに移転先の国名を記すよう求めている。

 LINEをめぐっては、個人情報が利用者への説明が不十分なまま、中国の関連企業からアクセスできる状態にあったことが分かった。また、利用者同士がやりとりする「トーク」内の画像や動画データを韓国のサーバーに保管しており、指針での記述が不十分だったとLINEは説明した。

 3月17日の報道を受け、LINEは日本のサーバーにある利用者の個人情報に対する中国からのアクセスを遮断。韓国で保管するデータについては6月までに国内に移すと表明した。

 3月末には指針を改定し、システム開発・運用業務に関連するデータの「主要な移転先」として韓国とベトナムを明記した。

 では、楽天グループメルカリの国内2社は個人データをどこに保管し、どの国で利用・管理しているのか。

 楽天グループは保管先についての具体的な国名を明言しなかった。同社の個人情報保護方針でも、具体的な国名は記していない。

 利用・管理については方針で「利用者が住む国と同等の個人情報保護法制でない国に移転する可能性がある」と明記する。また第三者に個人情報の取り扱いを業務委託することがあるとし、第三者には日本国外の企業も含まれる場合があるとしている。移転先や委託先の具体的な国名はいずれも書かれていない。

 米国でも事業を展開するメルカリは、日本の利用者の個人情報の保管先は、バックアップデータなど一部は海外にあるが、基本的に国内と回答した。

 その利用・管理については、指針に「取得情報の取り扱いの全部または一部を業務委託先に委託することがある」と記している。具体的な国名については、米国を含む12カ国から日本のサーバーにアクセスすることがありうると答えた。この12カ国に中国は含まれていないとしている。

グーグル、アマゾン、フェイスブック、アップル、ツイッター

 世界に利用者がいる米IT大手は、個人情報をどのように取り扱っているのか。

 グーグルは指針で、利用者が住む国以外で利用者の情報が処理されることもあると記す。欧米を中心とした23カ所にあるデータセンターをサイト上で公開しており、アジアではシンガポールと台湾にある。

 フェイスブックは、米国と欧州連合(EU)のサーバーでデータを処理していると回答。

 指針では、利用者情報が米国や利用者の居住地以外の国に移転、転送、保存、処理される場合がある、と明記している。

 ツイッターは「個別の質問への回答を控える」としたが、指針には米国やアイルランド、同社が事業を展開をする国で利用者のデータを移転、保存、使用することがある、と記している。

 アマゾンとアップルは保管先について、具体的な国名は明言しなかった。

写真・図版
個人データの流れ(イメージ)

 アマゾンは規約に、米本社や米国内外の子会社間で個人情報を共同利用すると記載。アップルは、個人データはスマートフォンなど利用者の端末に保管され、クラウドにデータを保管した場合も利用者以外はアクセスできないと回答。ただ、一部の個人データを収集することがあり、指針では「利用者の個人データは世界中の組織に移転されたり、世界中の組織からアクセスされたりすることがある」と記す。その上で米国外に住む利用者の個人データは、利用者の管轄区域で個人データを管理するアップル法人に代わって、米本社が処理する場合があると明記している。

 その例として、アップルの地図機能を改善するため、アップルが集めた画像や関連データが米本社に移転されることが挙げられている。

 また指針には同社のパートナーなどと個人データを共有することがあると記しているが、共有する相手がデータを保管する国名には言及していない。

改正個人情報保護法、国名の記載求める

 日本の個人情報保護法では、企業が利用者の個人データを国外の事業者に提供したり、国外からのアクセスを可能にしたりする場合、利用者本人の同意を得るか、国外の事業者に適切な保護体制をとらせることを条件としている。

 移転先の国がEU(欧州連合)もしくは英国であれば、日本との間で個人データの越境移転を認めているため、同意も保護体制の徹底も不要だ。

 個人情報保護法に照らすと、個人データの国外移転についてプライバシーポリシーで触れていなくても直ちに法律違反とはならない。

 ただ、同法では個人データの取り扱いを外部に委託する場合は、委託先を監督するよう求めている。LINEの問題では、運営会社のLINEが委託先の中国企業の監督に不備があったとして、個人情報保護委員会がLINEに改善を指導した。

 一方、来年に施行される予定の改正個人情報保護法では、個人データを国外に提供する場合、プライバシーポリシーに国名を記載するよう求めている。

 国名以外にも、その国の個人情報保護制度に関する情報や委託先の体制なども記す必要がある。個人データを扱う企業は今後、プライバシーポリシーの改定を迫られそうだ。

「コストで優位な海外にデータ、自然な発想」

 利用者にとって分かりづらいデータの保管場所や企業の指針の記述を専門家はどうみるのか。

 多くの企業の規約を研究し、法律相談ポータルサイト「弁護士ドットコム」で電子契約事業を担う橋詰卓司さんは「コスト面から企業がデータの保管場所やデータを管理する委託先を変える場合があり、その度に指針を改定しなくていいよう、最初から保管場所や委託先がある国名を書かない企業も多い」と話す。

 その上で「コストで優位な海外にデータセンターを置くのは、企業として自然な発想だ。国内だから安全というわけでもなく、地震や台風などで停電するリスクも高い」と指摘。「利用者が国内に限定したデータ保管を強く求めれば、企業側も国内移転に踏み切るかもしれないが、世論はそこまで高まっていない」とみる。篠健一郎、益田暢子)