Zホールディングス 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

こんにちは、丸山満彦です。

Zホールディングスが「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について発表していますね。。。

● Zホールディングス株式会社

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告

 ・[PDF] 最終報告要旨 (Downloaded)

 ・[PDF] 最終報告書（詳細全体版） (Downloaded)

参考

 ・2021.06.11 第一次報告の要旨

 ・2021.08.04 第二次報告の要旨

 ・グローバルなデータガバナンスに関する特別委員会の過去の開催状況

 

報告書の要旨によると、問題は、

---

 LINEアプリにおいて

①通信内容である送受信されたテキスト、画像、動画及びファイル（PDFなど）のうち、ユーザーから通報されたものについて、委託先中国企業からの業務に基づくアクセスがあり、そのことについてユーザに対して説明をしていなかったこと、

②画像、動画及びファイル（PDFなど）が韓国のデータセンターに保存されていたにもかかわらず、対外的に「LINEの個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をしていたこと、また、中央省庁等に対して、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の客観的事実に反する説明を一部で行っていたこと

---

ということのようですね。。。

内部統制の目的でもある、報告の正確性の問題のように思います。

安全保障の問題という話もあるようですが、安全保障の問題であるのであれば、「正しい報告、情報提供がされていれば安全保障上の理由から利用しなかったであろう組織が利用していた」ことによる副次的な問題なのだろうと思います。ガバメントアクセスについては、捜査令状に基づくものであれば日本でもあるし、捜査令状に基づかないものに限るとしても米国についてどう考えるかとか、難しい問題があるかもしれませんね...

ところで、Lineのサービスは、ISMAPクラウドサービスリストには含まれていませんね（at 2021.10.19）。。。検討するように提言されていますね。。。

 

なお、提言・・・

---

委員会による提言（第5、6章）

本委員会は、これまでの検討を踏まえ、次の提言を行った。また、個別の領域においても提言を行った（次頁参照）。

(1) LINE社に対する提言
• LINE社の政策渉外を含む対外コミュニケーションについて、客観的な事実を誠実に伝えるという点にコミットすべく必要な体制を整備すること
• LINE社において適切な「横のガバナンス」を確立し強化していくこと

(2) ZHD社に対する提言
• ZHD社が実現すべきグローバルなデータガバナンスについて、「ユーザー目線での横と縦のガバナンス」を構築すること
• 各事業会社において「3ライン・モデル」を導入すること等によって「横のガバナンス」を強化し、ZHD社において、事業会社による「横のガバナンス」が適切かつ円滑に運用され、ZHDグループ全体が一元的な体制の下、調和をもった形で適切に事業運営を行うための諸条件を満たしていることをチェックする「縦のガバナンス」を高度かつ適切なバランスで実現すること

↓

本委員会の提言に関するZHD社及びLINE社における対応の状況に関しては、別途ZHD社が設置する有識者会議等に継続的に報告し、その助言を受けながら確実に実現していくよう提言した。

---

委員会による提言（第6章 ZHD社に対する個別の領域に関するもの）

本委員会は、ZHD社に対して、個別の領域においても以下のとおり提言を行った。

①政策渉外
「縦のガバナンス」を適切に効かせ、ZHDグループ全体から適材適所の人事配置を推進していくこと、ZHD社においてユーザー代表を含む第三者
の意見を求める有識者会議を設置すること

②経済安全保障
ZHDグループ全体において複雑化する地政学的リスクに対応することができるよう動的なガバナンスが求められることから、 外国における法令等の検討状況や日本と外国の関係の状況等について調査する体制を強化し、一元的に情報を収集、分析、評価することができる体制を整備するとともに、各国政府と的確なコミュニケーションを取るために経済安全保障に関する政府渉外活動の一元的な連携・管理を行うこと

③セキュリティ
ZHDグループ全体ですでに取り組んでいるNIST（米国標準技術研究所）の定めるSP800-171をはじめとしたセキュリティ基準への準拠及び各事業会社の実態に応じた適切なリソース配分実現のための人的支援の実施に加え、政府情報システムのためのセキュリティ評価制度（ISMAP）への対応についても検討すること

④プライバシー
主要事業会社における独立性の高いData Protection Officer（データ保護責任者、DPO）とPrivacy Impact Assessment（プライバシー影響評価）の導入、事業会社のDPO等が連携できる体制や教育プログラム、コンサルティングの提供を含むグループ内の人的リソースの最適化のための体制の整備、CBPR認証取得の推進、NISTプライバシーフレームワークへの準拠、ZHD主体の事業会社における令和2年改正個人情報保護法の越境移転規制への対応についてZHD社が主体となってZHDグループ全体で取り組んでいくこと

⑤リスクマネジメント
今後の新たに生じるリスクに対し適切な対応が取れるようZHD社の体制を強化すること

---

ここでの「経済安全保障」という言葉の定義はどういうことなのでしょうかね...