「気持ち悪い」配慮欠けたLINE 個人情報管理で浮かんだ3つの問題点

    中国からの個人情報へのアクセスを完全に遮断したこと、今後国外にある利用者のデータはすべて国内で保管することを発表した。

    LINE株式会社の出澤剛社長らは3月23日、同社のサービスにおける個人情報の取り扱いや海外拠点でのデータ管理について記者会見を開き謝罪した。

    あわせて中国からの個人情報へのアクセスを完全に遮断したこと、今後国外にある利用者のデータはすべて国内で保管することを発表した。

    時事通信

    お詫びをする出澤社長ら

    (LINEを連結子会社とするZホールディングスはBuzzFeed Japanに出資しています。この記事は、資本関係にかかわらず社会に影響を与える重要なニュースと捉え、BuzzFeedの編集・倫理ガイドラインに基づいて取材・出稿しています)

    広がる影響、経緯を振り返る

    冒頭、出澤社長は「ユーザーの皆様にご迷惑とご心配をおかけし、心からお詫びを申し上げます」「非常に多くの皆様のユーザーからの信頼を裏切ることとなったこと、重く受け止めております」と述べ、頭を下げた。

    事の発端は、LINE利用者の個人情報などが、業務委託先の中国の企業からアクセス可能な状態にあったという朝日新聞の報道だ。

    LINEは人工知能やシステム運用に使う社内ツールの開発を、上海の関連会社に委託。その関連会社から、日本のサーバーに保管されている利用者の氏名や電話番号といった一部の個人情報にアクセスできる状態になっていた。

    LINEは「外部からの不正アクセスや情報漏えいが発生したということはございません」としながらも、17日の段階で利用者への説明が不十分であったことを認めている。

    Tomohiro Ohsumi / Getty Images

    また、LINEは「タイムライン」や「オープンチャット」などで不適切な書き込みがされていないかを監視する業務をLINE Fukuokaに委託、LINE Fukuokaが大連にある中国法人に業務を再委託していた。

    決済サービスである「LINE Pay」の取引情報や加盟店の情報、銀行口座番号が韓国のサーバーに保管されていることも朝日新聞の取材でわかっている。

    こうした事態を受けて、総務省はLINEに問題の経緯などの説明を要求。

    個人情報保護員会も19日、LINEと親会社であるZホールディングスに対し、個人情報保護法に基づき報告を求め、必要に応じて処分も検討するとしている。

    金融庁は23日、LINEに「報告徴求命令」を出し、防災情報を発信する内閣府の公式アカウントも、23日に運用を停止した。

    新型コロナ感染防止対策にLINEを活用する厚生労働省も同日、海外からの入国時の健康観察について、LINE以外で代替可能なものは一時停止する考えを示した。

    LINEが各自治体向けに提供するワクチン予約システムは、データ保管とデータアクセスを国内に限定したうえでスタートしているという。

    何が問題?知っておくべき3つのポイント

    時事通信

    LINEは行政も活用しており、影響は多岐にわたる。同社は23日に一連の問題を検証する有識者による第三者委員会を開催し、個人情報保護委員会へ報告した。

    LINE側が問題点として認識していると説明したポイントは3つだ。

    (1)中国の関連会社から個人情報にアクセスする業務を行っていたこと

    中国では2017年に国家情報法が成立して以降、中国政府が求めれば国内にある事業者はサーバーにあるデータを提供することが義務付けられている。

    日本の利用者の個人情報が中国政府へ提供される懸念がある、ということだ。

    出澤社長は「国家情報法のタイミングでの潮目の変化、そういったところを我々として見落としていたのが偽らざるところ」とコメント。

    「皆さんの信頼を失う事態になっている」「(中国の国家情報法について)情報は入っていたが、そこに対する手立てが不足していた」と認めた。

    LINE株式会社

    LINEは23日、日本の利用者情報への中国からのアクセスを完全に遮断したこと、LINEのサービスに関する機能開発や保守・運用について中国での業務を終了したと発表した。

    (2)トーク上の画像や動画のデータを韓国に保管していたこと

    韓国にデータを保管すること自体に違法性はないが、個人情報保護法では外国への個人情報の移転や外国からのアクセスには、利用者の同意を得る必要がある。

    同社の規約には「お客様のお住まいの国や地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転することがある」と記述されていたものの、具体的な国名の記載がなかった。

    (3)プライバシーポリシーに国名を明示しなかったこと

    昨年成立し、2022年に施行予定の改正個人情報保護法では、原則として移転先の国名を記載するよう求めている。

    改正個人情報保護法の施行に先んじて国名を記載をすることも検討したが、出澤社長は「やるタイミングについては、社内で議論していた」「先んじてやるまでに至らなかったことを反省している」と振り返った。

    LINEはこれまで「主要なサーバーは日本のデータセンターに集約されており、個人情報は日本の法令に従い管理されます」と説明してきた。しかし、今回の一件で、実際には一部データが海外で保管されていたことが明らかになった。

    説明に矛盾はなかったのだろうか? 出澤社長は次のように述べた。

    「我々の説明がミスリーディングだったのではないかと……これは先ほどのプライバシーポリシーのこともそうかもしれませんが、我々として反省すべき点だと思います」

    「開発イベントでは、グローバルに開発をしていると言ってきましたが、データの保管に関してはクリアなコミュニケーションはしてこなかった。そこが今回の問題点。今になって、こういった結果になっていると思っています」

    LINE株式会社

    LINEは韓国のデータセンターで保存していた画像や動画にも、今後段階的にすべて国内に移転すると発表。

    また、利用者に向けたプライバシーポリシーも2021年3月29日週に改訂するとした。

    保険証の画像データも韓国に?→すでに移転済み

    日経新聞によると、LINEアプリを使った健康相談・オンライン診療をサービスをめぐって、利用者が登録時に送信する保険証の画像データが2021年1月まで韓国のサーバーに保管されていた。

    舛田淳取締役は「診療する際の動画は保存しないが、受診していただくために患者様と医師の双方に会員情報を登録していただく。その過程で登録していただいた画像データは、韓国のデータセンターに保管されていた」と述べた。

    これらのデータは、すでに日本国内への移転を済ませているという。

    出澤社長も「保管自体は韓国だが、そこにアクセスできる人間は非常に限られていた」「権利管理も適切に行われていた」と重ねて説明した。

    「ユーザーのわかりやすさへの配慮が欠けていた。法的にどうこうではなく、ユーザー感覚でちょっとおかしい、気持ち悪い、というところに気を回せていなかった」