「LINE問題」が、有識者総立ちで安全保障案件になるまでの解説

「LINE問題」が、有識者総立ちで安全保障案件になるまでの解説

©iStock.com

 日本人8,600万人というLINE利用者の個人に関する情報が中国や韓国に出て行ってたという、朝日新聞の峯村健司さんらがぶっ放した大ネタがいまなお騒動になっております。

 そもそも、ヤフージャパン社とLINE社とが経営統合してZホールディングス(ZHD)社になる、というだけである種の悪魔合体的な雰囲気だったんですが、問題勃発の当初はZHD社が公式には「規約上の不備」であるとして、あくまで規約の書き方が不適切で、利用者への説明が不十分だったというかたちで問題の矮小化を図ったため、「そんなわけあるか」と有識者が総立ちになったのは記憶に新しいところです。

■日本の安全保障問題のど真ん中

 ところが、この問題は「俺たちのLINEに入れといた個人情報が中国や韓国に漏れちゃったぞ大変」というような単純な構造ではないために、何をどう対処しなければならないか整理されないまま大騒ぎになってしまいました。

 もともと韓国企業であったLINE社が、日本人を含むユーザーの情報(画像、動画、LINE Payの決済情報など)を韓国のサーバーに暗号化せず置いておいたり、国際的な情報保全の仕組みを導入しているはずなのに謎の中国人技術者4人が利用者同士のトーク内容を閲覧可能な状態になってたり、インハウス(企業が雇用している)弁護士が日本で一番多い部類のヤフージャパン社とLINE社との経営統合に際してのデューデリジェンス(法的な事業内容の検査、精査)が行われているはずなのに、この問題が見逃されたまま経営統合が強行されちゃったりと、ツッコミどころは山ほどあります。

 ただ、問題勃発から半月ちょっと経過してなお爆心地から黒い煙が上がっている理由は、一連の「LINE問題」が実は日本の安全保障問題のど真ん中に位置する要素てんこ盛りだったからです。「単に俺たちの情報が中国や韓国に」という話から、何を問題視すべきで、どう理解し、何を考えればいいのかについて、改めて整理していきたいと思います。

■この問題は4つの階層に分けられるステキ事案となった

 本件「LINE問題」は、各所でも指摘されてきたように、7年以上前から「問題だぞ」と言われ続けてきたものです。朝日新聞が上手いこと事実関係を確認して一面でドーンと打ってくれたので、ようやく世の中に知れることになりました。ありがとう朝日新聞。

 で、LINEが利用者の個人に関する情報を流出させた件で大前提になるのは「情報漏洩で実害があった」ことだけではなく、「第三国(中国や韓国など)が情報を閲覧しようと思えばできる状態にあった」ことにあります。中国や韓国の政府機関や情報部門などに「何を見られたか」ではなく「見られる状態にあった」だけでアウトです。

 んじゃあアメリカ資本であるFacebookやGoogleが個人所法を漏洩させたらどうするのか、中国や韓国だけの問題なのかという話になりますが、Facebookだろうがどの会社だろうが、情報漏洩はどこの国の企業であろうがやっぱり問題になります。当たり前ですね。

■個人情報とプラットフォーム事業者の関係は世界でも問題

 2019年に5億件以上の個人情報を漏洩させて問題になったFacebookのデータが、先日、改めて誰もが見られるネット上のフォーラムにアップロードされていて物議を醸しましたが、LINEと同様に問題視されています。何してくれてんだよ。それどころか、Facebookはさらに個人情報を承認なく収集していたかどで訴えられて、すでにアメリカ最高裁で1兆8,000億円の賠償を求める裁判を起こされるなどのほのぼの事案に発展しています。

個人情報収集巡る提訴は可能、米最高裁がFBの訴えを棄却
https://reut.rs/3lIocpW

 個人情報とFacebookをはじめとするプラットフォーム事業者の関係についてはアメリカでもEUでも非常に面倒くせえ議論の渦中にあり、先日ヤフージャパン社とLINE社の経営統合で「これからは日の丸プラットフォーム事業として世界で渡り合える会社に!!」とか記者会見しているのがヤバイぐらいの周回遅れであることは誰か指摘してやってくれと思うわけです。そういうレベルの話じゃねえんだよ。

本気でGAFA解体へ…バイデン政権「反独占最強布陣」とその思想
https://gendai.ismedia.jp/articles/-/81849

 で、この問題は一連のプラットフォーム事業と国際的なデータコングロマリット的な個人情報の取り扱われ方をどうするかという階層も含めた、概ね4つの階層によって構造ができております。

(1)は前述の通り、プラットフォーム事業と産業・公正取引、中立性といった、より広い意味での情報流通の政策を国・政府や担当省庁がどうやって操縦するのかという話なのですが、これを担当するはずだった総務省のテレコム系官僚の皆さまが谷脇康彦さん以下みんな消えてしまいました。おお、いままさにこのクソ大事なところで、しんでしまうとは、なさけない。

 次いで、(2) 個人情報の保護の、会社の仕組みや法的枠組み、技術的なセキュリティといった分野です。これは、先日報じられましたが、中立な独立行政委員会である個人情報保護委員会(PPC)が先日LINE社と親会社のZHD社に立入検査やってました。もっとみんな鉄槍とか無反動砲とか持ち込んで派手にドンパチやるかと思ってたんですが、静かに物事が進んでいて大人だなと思います。

■利用規約に書いてあったら「何をしてもいいのか」

 個人情報保護法24条では、LINE社など「個人情報取扱事業者」は、外国にある第三者に個人データを提供するには、あらかじめ外国にある第三者への提供を認める旨の本人の同意がなければなりません。LINEの利用規約では「5.パーソナルデータの提供」で海外に委託するよという風には書いてあるので、一見問題はクリアに見えます。プライバシーポリシーへの外国国名明示(例えば中国とか中国とか中国など)は、現行個人情報保護法上は必須の義務ではないからです。

 しかしながら、今回LINE社が行っていた中国子会社を使った海外(オフショア)開発で、開発環境で常に利用者のリアルタイムな生データのアクセス権があったとされ、それが報じられた通り事実であったならばLINE社の安全管理措置は適切ではないうえ、利用規約に書いてあって利用者の同意を得ていたとしても「書いてあったら何をしてもいいのか」という議論になります。

■利用時点で誰も読んでないようなプライバシーポリシー

 こうなると、LINE社以外のアプリを使ってる会社や、オフショア開発で生データを使ってアプリ作ってるところも泡食って利用規約書き換えなきゃいかんかもしれません。ダミーデータ使えよ。また、そもそも利用時点で誰も読んでないようなプライバシーポリシーや利用規約をユーザーに形だけ承認させたり、よく読んだらこんな規約承認したくないっていうユーザーにはアプリをそもそも使わせないなんてやり方で本当に社会通念上いいのかという問題も出てくるわけですよ。

 これらは、2022年(令和4年)に施行される次回の個人情報保護法改正で「おい、使う外国名をちゃんと明記しろ」と対策が盛り込まれておるわけですが、じゃあ中国は駄目でベトナムはOKだとかいう謎の線引きが横行することもまた目に見えているので、これはもう個人情報はある程度漏れるものとして、ちゃんと通報制度を作ったり、個人情報保護委員会の高い技量を持った職員がマシンガンもって立ち入り検査して隠された金の延べ棒を発見する能力を高めるしかないんじゃないかと思います。

 頑張れ、僕らの個人情報保護委員会。

 そして、(3) 政府の情報アクセス(ガバメントアクセス)の問題があります。これは何なのかというと、まあ要するになぜ中国や韓国が信用ならねえのかという話に直結するわけです。

 まず、中国は「国家情報法」なる代物があって、中国政府(≒中国共産党)が中国国民や中国企業に対し必要とされる情報があるならば、その人物の立場、職業倫理、秘密保持契約その他一切の制約を抜きにして中国政府にその情報を報告しなければならない、しかも中国国内だろうが海外にいようが域外適用とかお構いなしに強制するというトンデモ法律があります。中国人や中国企業はすなわち信用できないと脊髄反射するのは差別的だし良くないことですが、この法律があるお陰でどの企業でも中国国籍の人材を雇用することがダイレクトにリスクになることは知っておいて良いと思います。

■リスクがあるところには個人情報を持ち出してはいけない

 記者会見で、LINE社代表取締役の出澤剛さんが「中国の国家情報法を知りませんでした」とかいう話をしたため、ネットでは何なのそれはと物議を醸しました。日本国民においては中国ヤバイのコンセンサスを確立している悪法です。

 中国だけでなく、企業が自社の顧客などの個人情報を持ち出す先の国では、常に先方の国の政府に「おう、お前ら情報出せや」と言われる恐れがあります。中国政府が情報開示を求めるにあたり、それが正当なものもあれば、なんとなく興味本位で情報提供を求められることもあるでしょう。思い返せば、中国に進出した日本の製造業が、中国地方政府と無理矢理合弁企業を設立させられ、社内に共産党のお部屋ができ、企業の技術情報を全部抜かれて同じビジネスをする地元競合企業が突然設立されるという経験が多々あったかと思いますが、そういうリスクがあるところには個人情報をそもそも持ち出してはいけないよという話です。

 ところが、LINE社に関してはもともと韓国企業であるNAVER社が設立したサービス会社であり、日本でも株式を上場させている手前、オリジンである韓国にデータセンターを置きますと言われても、日本が「いや、待て。韓国のデータセンターに日本人8,600万人のデータを置いとくとかやべえだろ」と言ったところで法的にそれを止める方法がなかなか見当たりません。

■外国政府にデータ保全状況を保証させる制度

 今回の件では、暗号化されない日本人の個人情報が韓国のデータセンターに置かれるにあたり、日本の自治体が住民票発行などの窓口としてLINEを利用することがすでに一般化してしまったものの、LINE社は自社の主たるデータセンターが韓国にあったことを説明せずに利用が広がりました。これが、韓国政府(その関連機関や情報部門を含む)がどこまで閲覧していたのかを、あずかり知らぬ日本側が「教えてください」とご相談にお伺いしたところでシラを切られたら終わりです。

 よって、欧州(欧州データ保護会議;EDPB)でも、そのような外国政府による情報のアクセス(ガバメントアクセス)については、外国政府にデータ保全状況を保証させる制度を検討しています。韓国政府も一応EUの情報当局から「十分性認定」を受ける可能性はありますが、これは欧州との間の話であって、日本人の情報が守られるとは限りません。長らく韓国と北朝鮮のようなステキな隣国と付き合ってきた私たち日本人は、彼らが本当のことを言ってくれる保証などどこにもない、信じられるのは力だけだ、という世紀末な状態であることをよく知っているので、たぶんこの枠組みは機能しないであろうことはなんとなく予想がつきます。

 また、中国は中国で国家情報法がある限り「私たちは平和と繁栄を求める健全で穏便な国家です」とかいう赤ずきんちゃんに出てくる狼みたいなことになることは明確であるため、データ処理や開発費用が安くなるからと言って、このような国々に進出してユーザーの個人情報を触らせるようなことをしては駄目ですよということはジャンジャン警鐘を鳴らす方がいいと思います。

■重要情報インフラの防護という問題

 最後に、(4) 重要情報インフラの防護という問題があります。こりゃまあ要するに安全保障議論の本丸なのですが、LINEもまた、アプリとして日本人に欠かせない情報インフラとして内閣サイバーセキュリティセンター(NISC)に指定されているものです。同様に、LINEモバイル(LINEMO)も含めて電気通信事業者で、またLINE Pay、LINE証券では金融(資金決済)事業者で、さらにLINEヘルスケアは個人の医療情報という機密情報を扱っています。

 電気通信事業者は総務省の、資金決済や証券事業は金融庁の、健康情報は厚生労働省の管轄下で国民の情報を取り扱い、各自治体では行政情報も取り扱っているという点からも、まさに国家の重要インフラをこの韓国資本であった企業は長らく担ってきたのです。

 この安全保障上、極めて大事な重要インフラ防護について、実は長いこと韓国資本だったんだよというのは盲点であり続けました。ボク言いましたよね。いままさに、ガースーご長男が勤務しておられた東北新社が外資規制比率が20%を超過していて無事に免許取り消しになったりしていましたが、この放送事業もまた、重要インフラだからこそ外資規制がしかれているのであって、文春砲を全身に受けて木っ端みじんとなった東北新社の放送事業には心よりお悔やみ申し上げます。

 とはいえ、じゃあ「安全保障上は大変な問題だから、重要インフラをすべて国産で」なんてことができるはずもない。お前らがいまこの記事を読んでいるスマホは、中に入っているチップやメモリは、OSは、通信を支えているサーバはAmazonかもしれないグーグルかもしれない、しかし部品は村田製作所が、一部素材は旭化成や東レが、光学モジュールはキヤノンやソニーが支えているかもしれない、俺たちのアルプスアルパインやTDKに日東電工も頑張っているという、お互い信頼できる国同士が助け合って部品やソフトウェアを供給し合う、サプライチェーンによって成立しているのです。

■アメリカには情報保全のルールがある

 製品でさえそうであるということは、個人に関する情報だってそうです。中国や韓国は信頼できないけどアメリカはまあまあ信頼できる理由は、単に尖閣諸島を日米安全保障条約5条で守ってもらえているからだけではなく、アメリカには情報保全のルールがあり、アメリカ政府もアメリカ企業もそのルールを順守している(風に見える)からです。先にも述べた通り、Facebookが情報漏洩したとなれば政府がバズーカ砲をもって調べ、消費者は巨額訴訟をFacebookに提訴し、議会公聴会にFacebookのザッカーバーグさんが呼ばれれば「悪いことはしてません」と証言するという、透明化に対する手続きは曲がりなりにも成立しています。

 たまにアメリカの情報部門(国家安全保障局;NSA)が日本の携帯電話を全件傍受できてたよとかいうネタが流れてきていましたが気にするな。

 そういう世界的な信頼できる国々ネットワークの一員として我が日本も入り、国益に資するようなサプライチェーンの一角を担うことで、個人に関する情報を守りながら安全保障上のリスクを下げようねということで我が国が提唱しているのがDFFT(データ・フリー・フロー・ウィズ・トラスト)でありまして、各企業も可能な限り個人情報を守る仕組みを用意しながらも、安心できる国々で情報保全をしていこうよという話であります。

■国際的データ流通の中で信頼できる国、事業者を見極めよう

 逆説的には、国を超えてデータ流通をするな的な「データローカライゼーション」を否定することになるのですが、まあぶっちゃけ情報なんて守り切れませんからね。いたちごっこだし、日本には情報部門がないに等しいので、どうにかしろと言われても竹槍でB29落とせって言われてるのと大差ないんですよ。無理無理。なので、今回のLINE社の事件を皮切りに情報保全の在り方をきちんと考え、対応するべきところは対応し、国際的データ流通の中で信頼できる国、事業者を見極めて対応していこうよという流れになるわけでございます。

 その中でも、少なくとも現段階では中国とデータ面で「一緒にやろう」という議論など成立するはずもないし、韓国もあの体たらくなので、やはりアメリカやイギリス、欧州、インド、カナダ、オーストラリアあたりとやっていかざるを得ないのが日本の現状であろうと思います。

 そして何より、そういうこちらから信頼できる国々に対して、いまの日本がどう役に立つか、日本の役割は何であって、如何にして彼らの信頼を勝ち取り、相互に関係を築けるだけの良い法律体系と法執行ができるのか、考えないといけませんよね、という話でございます。

 データ資本主義全盛のいまの時代、日本人の個人情報こそが、我が国の安全保障上守り抜かなければならない最大の戦略資源なんですよ、旅順ですよ、ということはぜひともご理解いただければと存じます。

(山本 一郎)

関連記事(外部サイト)

×