個人情報保護委、フェイスブック利用者のアカウント情報に対する
不正アクセスについて
岩田合同法律事務所
弁護士 藤 原 宇 基
個人情報保護委員会(以下「個人情報保護委」という。)は、平成30年10月22日付けで、米フェイスブックインク社(以下「フェイスブック社」という。)に対して、個人情報保護法41条及び75条の規定に基づく行政指導(以下「本件行政指導」という。)を行った。
1. 行政指導の概要
行政指導の対象となった事案は、以下の3件である。
- ⑴ ソーシャルプラグイン事案
-
フェイスブックの利用者(以下「ユーザー」という。)が、ソーシャルプラグインである「いいね!」ボタンが設置されたウェブサイトを閲覧した場合、当該ボタンを押さなくともユーザーID、アクセスしているサイト等の情報がフェイスブック社に自動で送信されている事案。
- ⑵ ケンブリッジアナリティカ事案
-
性格診断アプリを介して取得したユーザーの個人情報が不正にケンブリッジアナリティカ社(英国の分析会社)に共有された事案。
- ⑶ 不正アクセス事案
- 本年9月末に公表された、フェイスブック社のシステムの脆弱性を利用したハッキングによってユーザーアカウントの認証情報(アクセストークン)を窃取され、約2900万人の個人情報が不正アクセスを受けたことが判明した事案。
具体的な行政指導の内容は、以下の4項目である。
|
|
|
|
2. 国境を越えた個人情報の取扱いに対する個人情報保護法の適用範囲
本件行政指導は、個人情報保護法75条に基づき、国外の個人情報取扱事業者であるフェイスブック社に対してなされたものである。
平成29年5月30日施行の改正法より、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名個人情報を取り扱う場合にも個人情報保護法の一部の規定が適用されることとされた(同法75条)。
これは、近時、日本国外の事業者が、インターネット等により日本国内の居住者に対して物品または役務を提供することに関連して個人情報等を取得する機会が増えていることから、これらの個人情報等が国外においても適切に取り扱われるよう、国外の個人情報取扱事業者に対しても個人情報保護法を適用するとしたものである。国境を越えたインターネットサービスとそれに伴う個人情報の移転は今後も増え続けることが見込まれ、同条に基づく、個人情報保護法の適用の機会も増えるものと思われる。
個人情報保護委も、平成30年度上半期における活動実績として、国外に所在する事業者において国内居住者の個人情報の漏えい等が生じた場合に、海外の個人情報保護当局とも連携を図るなど積極的な対応を行ってきたとアピールをしている。
もっとも、本件行政指導は、あくまで指導に留まるものであり、フェイスブック社による個々の個人情報取得行為や情報の共有行為が個人情報保護法違反であると認定したわけではなく、また、違反行為の中止や是正の勧告・命令(同法42条1項、2項)を行ったわけでもない。本件行政指導を受けて、フェイスブック社はホームページにおいて、「日本の利用者のプライバシーを保護するための取り組みについて」として、「プラットフォームの変更とデータアクセスを制限する対策」を取っていること、「より明確なポリシー」を策定すること等を述べているが、上記行政指導の4項目に対応したものであるかは疑問のある内容となっている(例えば、⑴の事案について、「本人の同意の取得」「本人からの削除要求への適切な対応」については、いかなる対策が取られているのか不明である。)。
個人情報保護委としては、今後、日本の居住者等の個人情報の外国における適切な取扱いを確保するために、国外の事業者に対して、個人情報保護法をどのように実効性をもって適用するのかについて、より一層の検討が求められると考える。
以上