【日本】LINE、中国グループ会社からの暗号化保護された個人情報アクセス認める。個人情報漏洩等は否定
Zホールディングスは3月17日、傘下のLINEで、SNSアプリ「LINE」で、データ処理を委託している中国のグループ企業で、ユーザーの暗号化済み個人情報にアクセスできるにようになっていたことを明らかにした。日経クロステックの報道によると、LINEは、Zホールディングスに統合する前に発覚した2月にアクセスを遮断する措置を実施。その後、Zホールディングスに報告した上で、政府の個人情報保護委員会にも事実関係を伝えているという。LINEは、本事案について、外部からの不正アクセスや情報漏洩はないことを強調している。
LINEは今回、LINEのプライバシー性の高い個人情報は、原則として日本国内のサーバーで安全に管理しつつ、一部の個人情報は、LINEのグローバル拠点から日々の開発・運営業務上アクセスできるようになっていたことを認めた。その点について、ユーザーへの説明が不十分だったと謝罪した。しかし、体制面やオペレーション面では万全を期していたと説明した。
まず、LINEは今回、データ保管体制の詳細を明らかにした。まず、トークテキスト・LINE ID・電話番号・メールアドレス・友だち関係・友だちリスト・位置情報・アドレス帳・LINE Profile+(氏名、住所等)、音声通話履歴(通話内容は保存されません)、LINE内サービスの決済履歴等は、日本のデータセンターで保管。ユーザー間のトークテキストや通話の内容については、LINEが開発した「Letter Sealing」というエンドツーエンド暗号化プロトコルを用いて暗号化しており(ユーザーによるオプトアウト可)、データベースへアクセスするだけではデータの中身を確認することはできないという。
そして、画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報は韓国のデータセンターで保管。画像・動画データについては複数のサーバーにファイルを分散化して保管しているという。画像・動画を保管するサーバーに関しては、2021年半ば以降、段階的に国内への移転を行う計画を進めていた。
次に、ユーザー情報の国外拠点からのアクセスでは、韓国、インドネシア、ベトナム、中国、タイ、台湾の6カ国の開発・運営拠点からも、モニタリング業務や開発業務の一環として、LINEグループ内で統一のルールでアクセスできるようになっていることを明らかにした。加えて、モニタリングにおいては、ユーザーが「公開」設定で投稿したコンテンツおよびユーザー自身が「通報」機能を利用して報告を行ったコンテンツのみが対象となっているという。
その中で、中国では、LINEの子会社LINE Plus Corporationの子会社LINE Digital Technology (Shanghai) Limited(大連)と、NAVER Corporationの中国法人であり、LINEの業務委託先であるNAVER China(北京)の2拠点で開発業務を、LINEの子会社LINE Fukuokaの外部委託先(大連)で、一部公開コンテンツおよびユーザーから「通報」されたトークテキストのモニタリング業務を実施。
そのうち、今回の報道に該当するのは、不正アクセスの検知を担当しているLINE Digital Technology (Shanghai) Limitedの事案で、開発業務においてリリース時の検証または不具合発生時の原因追跡のために、適切に付与されていたものだったという。しかし、一部の開発業務でアクセスできた以下のデータへのアクセス権限の削除を今回実施している。
- LINEの捜査機関対応業務従事者用CMSの開発(名前・電話番号・メールアドレス・LINE ID・トークテキスト)
- LINEのモニタリング業務従事者用CMSの開発(通報によりモニタリング対象となったトークのテキスト・画像・動画・ファイル、および、通報または公開によりモニタリング対象となったLINE公式アカウントとタイムラインの投稿)
- 問い合わせフォームの開発(名前・電話番号・メールアドレス)
- アバター機能、LINEアプリ内のOCR機能の開発(同機能の利用において明示的に当社のデータ活用についてご同意いただいた顔写真)
- Keep機能の開発(ユーザーが同機能を利用して保存したテキスト・画像・動画・ファイル)
なお、LINE公式アカウント・サービスに関しては、すべてLINE Fukuokaでモニタリングが行われており、NAVER Chinaからのアクセスは遮断されていることを明言。NAVER Chinaでは、主要4カ国である日本・台湾・タイ・インドネシア以外のデータを取り扱っているという。
しかし、今回の報道を機に、行政機関の間では一部LINEの利用を停止する動きもある。千葉県市川市は、住民票や駐輪場使用許可等で、本人確認で運転免許証など顔写真付きの証明書の画像を市のLINEアカウントに送信する利用を停止。但し、アクセスの安全性が確認されるまでの措置だという。
[2021.3.20追記]
Zホールディングスは3月19日、LINEにおけるデータの取り扱いをセキュリティ観点およびガバナンス観点から外部有識者にて検証・評価する特別委員会「グローバルなデータガバナンスに関する特別委員会」を設置。さらに。特別委員会を技術的知見から支援するため、サイバーセキュリティ分野における外部の専門家で構成される技術検証部会も設置した。
一方、内閣府の個人情報保護委員会は3月19日、ZホールディングスとLINEに対し報告を要求。また、法律に基づき、会社側に3月23日までに関連資料の提出を求め、委員会として検証し、必要であれば法的措置を行うことも検討するとした。
電気通信事業法を所管する総務省は3月19日、LINEに対し、「報告徴収」と呼ばれる措置をとる方針。地方行政も所管する総務大臣は、総務省としてLINEを活用して行っている意見募集や問い合わせ等の行政サービス運用を停止する意向も示した。さらに、LINEを行政サービスに活用している自治体に対し、3月26日までにLINEの利用状況を報告するよう依頼した。
【参照ページ】ユーザーの個人情報に関する一部報道について