ニュース

LINE、個人情報取り扱いと今後の方針を説明――出澤氏が不適切な情報管理について謝罪

 LINEは、コミュニケーションアプリ「LINE」における情報管理の不備問題について、今後の対策と方針を示す記者会見を実施した。

 記者会見では、LINE 代表取締役社長の出澤剛氏が説明。LINEが現状で認識している課題とそれらへの対策が語られた。

LINE 出澤氏

 出澤氏は冒頭、「ユーザーの皆さまにご迷惑とご心配をおかけしたことを心よりお詫び申し上げます」と今回の問題について陳謝。「非常に多くのユーザーの皆さまからの信頼を裏切ることになったことを重く受け止めています」と語った。

 本稿では、プレゼンテーションのみを紹介し、質疑応答で交わされたやりとりについては別途掲載する。

データの国内移転、中国での業務は終了へ

 出澤氏は、LINEが抱える現状の課題として中国での個人情報にアクセスする業務を実施していたこと、LINEのトーク上の画像や動画といったテキスト以外のデータを韓国のサーバーで保管していること、またプライバシーポリシー内でデータを移転する可能性のある国を具体的な国名を挙げていなかったことの3つと指摘。

 その上で日本のLINEユーザーに安心してLINEを使用してもらうための「2つの国内化」として中国からの完全アクセス遮断と業務終了、トークデータの完全な国内移転を挙げた。中国からの個人情報へのアクセスはすでに遮断されており、LINEのコミュニケーションに関連する機能開発や保守・運用の業務は中国では終了した。

 現状では、テキスト以外のトークデータは韓国のサーバーに保管されているが、2021年6月を目処に国内のサーバーへ移動される。タイムラインのデータについても個人ユーザーのものは段階的に移動を進め、公式アカウントについては2022年6月を目処に移転されるという。

 また「2つの透明性強化」としてプライバシーポリシーを改訂、これまでなされていなかった具体的な国名を明示しての表記やユーザーへの説明をより一層明確なものにしていくという。出澤氏は「3月29日週までに必ず実施する」と語り「プライバシーポリシーは随時アップデートしていくもの。改正個人情報保護法を見据えた形で進めていく」とした。

 さらに、データ・セキュリティのガバナンス体制と情報保護の強化として、有識者による特別委員会での検証や「CBPR認証」(データ越境プライバシールール)と米NISTによるセキュリティ基準への準拠を進める。

 これら個人ユーザー向けの施策とは別に、政府や自治体ユーザーへの対策も語られた。政府自治体向け公式アカウントデータ保管・アクセスは、日本国内のみに限定される。データの保管場所については、2021年8月までに国内へ移転する。

 また、新型コロナウイルスのワクチン予約システムに関連するデータは国内のデータセンターのみに保管され、アクセスもまた日本国内からのみに限られる。

テキストデータは国内、画像などは韓国で保管されていた

 続けて、出澤氏はLINEの開発体制についても言及した。

 日本と韓国、中国を含めた世界7カ国にある開発拠点が連携してLINEの機能開発を行ってきたという。データセンターは日本、韓国、シンガポール、アメリカ、ドイツの世界5カ国に設置されている。

 データセンターに保管されるデータのうちトークのテキストについては日本のデータセンターに保管されている。また、End-to-End暗号方式により保護されLINEの従業員であっても会話の内容は閲覧できないとしている。

 一方で、トーク上でやりとりされる画像や動画、ファイルといったデータは、認証管理のみが日本で行われ、韓国のデータセンターに保管されている。

 また、公式アカウントデータにおけるデータも個人ユーザーのものと同様でテキストは日本で、そのほかのファイルなどは韓国で保管されており、2021年8月までに日本国内に移転される予定。

LINE Payカードの番号なども韓国に保管

 スマートフォン決済サービスのLINE Payのデータもまた、一部韓国に保管されていた。出澤氏によると本人確認情報については日本で保管されているものの、取引情報と利用者情報は韓国で保管されている。

 利用者情報に含まれるのは、LINE Payカードの番号、カード配送先住所や不正利用検知に使用するユーザーデータ(住所、生年月日、クレジットカード保有者氏名)、LINE Checkoutを利用するユーザーの商品配送先住所。

 加盟店情報についても加盟店の企業情報や品行口座番号が同様に韓国で保管されている。

 これらのデータは2021年9月までに日本国内へ移転される予定としている。

中国では、ツール開発と運用がメインの業務だった

 出澤氏は「中国でやっている業務はモニタリングツールの開発とそれらの運用がメインだった」と説明する。

 中国拠点での業務は、主に5社の子会社や委託会社が中心となって業務を行っていた。中核となる子会社のLINE China(LINE Digital Technology)は、開発・保守運用を手掛け、グループ会社であるNAVER Chinaと外部委託先の日系企業Aはサービスのモニタリングを実施。

 このほか、委託先の日系企業B(上述の日系企業とは別会社)はLINE Creditのローンコアシステムの開発とその保守を担当していた。また、LINE CONOMIのレビューのモニタリング(スパムやフィッシングの監視、通報の確認など)やLINE レシートデータの研修は委託先の中国企業が行っていた。

 LINEでいうモニタリングとは、タイムラインやオープンチャット、LINE公式アカウントの一斉送信メッセージなど誰もが閲覧できる場所においてスパムやフィッシングなどが発生していないか、未成年との不適切な出会いや児童ポルノの公衆送信などが行われていないかという監視が該当する。

 また、ユーザーから不適切と判断され通報されたメッセージの確認もモニタリングに含まれる。

 モニタリングツールは、上述のLINE Chinaが開発したもので、NAVER Chinaと日系企業A社はLINEのタイムライン公開投稿やオープンチャットなどをモニタリングに使用されている。

 LINE Chinaがアクセスすることのできた情報は、ユーザーによって通報されたトークやタイムライン、公式アカウントのテキストや画像、動画だった。一方で中国に拠点をおく日系企業とNAVER Chinaがアクセスできたのは、通報されたテキストや画像。動画・ファイルなどだった。

LINE Creditの氏名や住所などアクセス可能状態に

 一方、モニタリングとは無関係に、LINE Creditに関わった日系企業はユーザーの氏名や携帯電話番号、メールアドレス、自宅電話番号に加えて住所・生年月日、本人確認書類番号、債権管理情報全般へのアクセスが可能だった。

 LINE CONOMIのモニタリングなどを実施していた中国企業はニックネームやプロフィール画像、性別・生年月日に加えてユーザーが投稿したレビューやレシート画像などを入手できる状態だった。

 モニタリング時にアクセス可能だったものも含めて、これらのプライバシー性の高い情報はいずれも中国からのアクセスは遮断済みという。

 出澤氏は「LINEの開発体制はグローバルで成長してきた。一方で世の中の情勢の変化で見落としてきたことが多かったと非常に反省している」とコメントした。