2021/04/30
内閣官房、個人情報保護委員会、金融庁、総務省は、4月30日に「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表についてを公表しています。
lineはすでに社会インフラになっており、一律に利用を抑止することは現実的ではないことから、今回行政機関等におけるlineの利用のガイドラインに関して、政府としての見解を示したものです。本ガイドラインは、あくまで政府機関や地方公共団体向けであり、銀行・証券等の金融機関にあてたものではありません。
とはいえ、高度な個人情報保護が求められる民間金融サービス提供事業者にとっても、適切な体制を構築するためのガイドラインして役立つ内容ですので、ここで取り上げます。
資料によれば、要旨は以下の通りです。
(1)機密性を有する情報/住民等の個人情報を取り扱わない場合
・ 公表・公開することを前提とする情報や第三者が知り得ても問題の無い情報などのみをLINEサービス上で取り扱うことが明確な場合は、各行政主体におけるLINEサービスの利用は許容されるものと考えられる旨を記載。
(2)機密性を有する情報/住民等の個人情報を取り扱う行政サービスの場合
・民間企業等が不特定多数のユーザーに対して同一条件で提供するサービス(いわゆる「約款による外部サービス」)では、要機密情報を取り扱わせることは原則として禁止されている」ことを明記。その上で、下記の利用態様に応じて確認すべき事項を記載。
①公式アカウントを利用した相談業務等
LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させることとし、
・相談内容や行政が保有する住民等の個人情報がLINE社等が提供するサービス上に保存されないシステム構成とする
・当該情報を保存する委託先に対する適切なセキュリティの確保等 の確認すべき事項を記載
②LINE Payを利用した公金決済
・収納代行業者との契約等を通じて、行政が保有する住民等の個人情報をLINE Pay社に提供する仕組みとなっていないことを確認
・収納代行業者が自組織のセキュリティポリシーを満たすことを確認したうえで委託を行うなど確認すべき事項を記載
③その他(LINE社等と行政主体が直接契約する稀なケース)
・個別の契約において、LINE社の対応が各行政主体のセキュリティポリシーに合致していることを確認・要求しつつ事業を進めることを記載(3)個人アカウントを用いた業務連絡
・ 個人アカウントでの機密性を有する情報等の取り扱いはセキュリティポリシー違反になる。各行政主体におけるポリシー適用の徹底を要請。
・ 業務でメッセージアプリを利用する場合は、ISMAP登録クラウドサービスリストから適切に選択し、各行政主体が契約をして利用することを推奨。
統一的な情報発信では、lineアカウントを利用しても問題ない、ただし、個人情報を含む場合には、line社以外に業務委託してセキュリティを確保したうえで、line社には情報が保存されないシステム構成にすることが必要であるとしています。つまり公式lineアカウントを改修せずにカスタマーサポートに利用したり、line payをそのまま利用することはできないといえます。
あくまで政府機関向けのガイドラインではありますが、これに準ずるセキュリティが求められる金融関係事業者も、これを参考にした対応が求められるといえます。
