LINEの個人情報管理における問題点

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2021年3月25日
• タイトル：LINEの個人情報管理における問題点
• 発表者：データサイン 代表取締役社長 太田祐一

政府機関がLINEに事態の報告を求める

2021年3月17日、朝日新聞デジタルに、無料通信アプリ「LINE」利用者の個人情報を保存する日本のサーバーが、中国人技術者によってアクセスされる状態だった、と報じる記事が掲載されました。データサイン 代表取締役社長 太田祐一が問題となった論点を取り上げました。

LINE Business Guide（Summary：2021年1-6月期版）によると、日本国内におけるLINEの月間利用者数は8600万人（2020年9月末時点）です。新型コロナウイルス感染症のワクチン接種の予約システムや住民票の写しの交付請求といった国や自治体が提供する行政サービスにもLINEは広く利用されています。

「生活のインフラとして利用されるLINEの個人情報管理に関する問題が発覚したことで政府は素早く動きました。報道から2日後の3月19日に個人情報保護員会がLINEに報告を求め、総務省は電気通信事業法に基づく報告の徴収を行いました」（太田）

同じく3月19日に、LINEをグループ会社とするZホールディングスは「グローバルなデータガバナンスに関する特別委員会」の設置を発表、3月23日にLINEは記者会見を行いました。

プラポリの説明が不十分だった？

去る2020年8月3日、Zホールディングス、LINE、ソフトバンク（Zホールディングスの親会社）、NAVAR Corporationの4社は業務提携に関する基本合意書を締結。2021年3月1日にZホールディングスとLINEが経営統合を発表しました。LINEが新生Zホールディングスのグループ会社としてスタートしてまもなく、朝日新聞の報道で今回の事態が世間の知るところとなりました。

「3月23日の記者会見でLINEは、データを保管する国名などの説明が同社のプライバシーポリシーに不足していた点を釈明しました。LINEとしてはこの会見で幕引きにしたかったかもしれませんが、炎上は収まりませんでした」（太田）

LINEのサイトにあるプライバシーポリシーの「5.パーソナルデータの提供」には、「当社のパーソナルデータの提供先には、お客様のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者を含みます」と記されています。

「『委託先』と書かれているため、データ提供に関するユーザーの同意が不要とされる業務委託先へのパーソナルデータの提供と思いきや、『第三者』とも記されており、同意が必要とされる可能性のある第三者提供に該当するとも読み取れます。この辺りはどちらなのか、わかりやすく整理するのが望ましいでしょう」（太田）

「9.c.プライバシーポリシーの変更」から、2021年3月31日にLINEのプライバシーポリシーが改定されたことがわかります。その後のプライバシーポリシーにはパーソナルデータの主要な移転先となる国名と目的などが記されています。

中国からLINEの情報にアクセスできた可能性

「報道によると、少なくとも４人の技術者がデータを保管するサーバーに34回アクセスできたそうです。LINEの発表によるとモニタリングツールや社内管理ツール等の開発・保守運用を手がける子会社のLINE Chinaや、このツールを使ったモニタリング業務を行うグループ会社のNAVER Chinaなど5社からアクセスできる可能性がありました」（太田）

LINEの発表では、通報モニタリングツールの開発保守では、ユーザーから通報されたトーク、タイムライン、公式アカウントのテキストや画像、動画が、またLINE Credit のローンコアシステム開発保守では氏名、携帯電話番号、メールアドレス、住所、生年月日、本人確認書類番号（運転免許証やパスポートなど）といったプライバシー性の高い個人情報が、アクセス可能な状態だったとされます。

なお、2021年3月17日にLINEから発表された「ユーザーの個人情報に関する一部報道について」というプレスリリースには、「日本国内のユーザーからの「通報」については、LINE Fukuokaにて行われ、NAVER Chinaからのアクセス権限はございません」と記されています。LINE FukuokaはLINEの子会社です。

LINEのデータは日本にあると思いきや実態は

LINE上のやりとりに関するデータは、大きくトークテキストと画像・動画等に分類されます。前出のプレスリリースによると、そちらを管理している場所は日本だけでなく、韓国が含まれています。

「ユーザーの皆さまのトークテキストおよび会員登録情報などのプライバシー性の高い個人情報は日本国内のサーバーで管理されており、日本の法規法令に基づく当社のデータガバナンス基準に準拠して適切に取り扱っています。加えて、画像や動画などのデータは、韓国のデータセンターにて適切なセキュリティ体制のもとで管理が行われています」（前出のプレスリリース「ユーザーの個人情報に関する一部報道について」より）

「トークで使われるテキストや通話の内容はLetter Sealingと呼ばれるエンドツーエンド暗号化プロトコルを用いて暗号化されているとの一方で、画像データは通信経路上で暗号化してサーバーに送信される、とあります。サーバー上のデータは見ようと思えば見られる状態ではないか、ということで問題視する指摘もあります」（太田）

LINEの発表では、画像・動画を保管するサーバーに関しては、今後の各国の法制度等の環境変化に合わせて、2021年半ば以降、段階的に日本国内への移転を行う計画を進めているとのことです。

さて、LINEのサイトには「他社モジュールの設置について」というページがあり、広告掲載効果の測定や利用状況の分析などに利用するSDKが一覧化されています。

「行動履歴などに関わるSDKの提供会社には韓国企業や中国企業と資本関係にある企業などが含まれています。記者会見では特に取り上げられませんでしたが、これらも個人のプライバシーに関わる情報であることを組織全体で認識していただきたいと思います」（太田）

中国や韓国に限らず、どの国との間であっても、またデータを扱う人が（日本人を含む）どこの国の人であっても、組織としてデータ・セキュリティのガバナンス体制と情報保護をいかに強化していくのか。今回の出来事を他山の石として取り組む必要がありそうです。