- 韓国でLINEトークの画像・動画データ
- 中国子会社がLINEのデータを閲覧できた可能性
- プライバシーポリシーの強化を表明
- 海外拠点でのデータ管理は珍しくはない
- LINEのガバナンス体制の「問題」は何か
- 「配慮が足りなかった」
- 社会インフラ化するSNSに求められる“配慮”
「配慮が足りなかった」──LINEのプライバシーデータ管理体制について、出澤剛社長はこう反省の弁を述べた。
LINEの親会社であるZホールディングスは外部有識者による特別委員会を立ち上げ、第一回会合を3月23日に開催した。同日に開催した会見で、出澤氏らが登壇し、LINEのデータ管理体制について説明した。
トークアプリ「LINE」や関連サービスで扱うプライバシーデータの管理を日本国内に完全移転すると発表した。一部の個人情報が中国の関連会社からアクセス可能となっていたことが報道で公になり、対応を迫られた形だ。
今回注目されたのは、一部のデータが中国や韓国のLINEグループ会社や業務委託先からアクセスできるという管理体制上の機構だ。3月17日に朝日新聞が報道し、政府の個人情報保護委員会や総務省がプライバシーデータ管理について報告を求める事態となっていた。
ただし、LINEはデータの管理体制上について法令上の問題はなく、個人情報の漏洩や流出も確認していないとしている。その一方で、プライバシー保護の強化のため、日本国内のサーバーで管理を強化する方針を示した。
LINEの会見内容は、立て付けこそ「LINEのグローバルガバナンスの現状と今後の方針について」という説明会だったが、その雰囲気は不祥事後が発覚した際の謝罪会見と見まごうような内容だった。
会見の場においては、出澤氏は「世の中の環境の変化を見落としていたものが多くあり、非常に反省している」と述べるなど、終始、反省の姿勢を示していた。その上でLINEが中国や韓国で扱っていた個人情報の種類や業務体制などを説明している。
一方で、個人情報にアクセス権限があったのは何名かなど、具体的な説明について出澤氏は「個人情報保護委員会の判断を待ちたい」などと答えて明確な回答を避ける場面も多かった。
報道で当初、指摘された課題は「韓国でのデータ保管」と「中国の業務関係者らが個人情報にアクセスできる可能性」の2点だ。それぞれ、どのような点が問題にされたのかを見ていこう。
韓国でLINEトークの画像・動画データ
LINEのメインサービス「トーク」は、プライバシー保護を特に厳重に行っており、通信内容をLINE社が閲覧できない体制を取っている。
LINEトークのテキストデータや音声通話、ビデオ通話の内容は、日本国内のサーバー上で扱われている。さらに、その内容もEnd-to-End方式の暗号化を行い、LINE社のサーバー上や通信経路上でその内容が判別できないようになっている。
一方で、同じLINEのトーク機能でやり取りする内容でも、画像や動画については、これまで韓国国内のデータサーバーで保管されていた。
今回の報道を受け、LINEはトークデータの管理体制を日本国内のサーバーに集約すると表明。韓国で管理していた画像、動画、文書ファイルなどのデータを、2021年6月までに順次、日本国内での管理に移行するとしている。
企業や自治体向けの「LINE公式アカウント」のデータ管理体制についても、2021年8月までに日本国内での管理に一元化される。
また、LINEでは、決済サービス「LINE Pay」の一部のデータについても韓国で保管していた。LINE Payカード利用者など、一部のユーザーや加盟店企業のデータが対象で、個人の特定につながるような情報はデータベース単位で暗号化を施した上で管理を行っている。LINE Payのプライバシーデータについては、2021年9月までに日本国内へ移転する予定だ。
中国子会社がLINEのデータを閲覧できた可能性
中国においては、開発・保守体制の仕組み上、中国の現地子会社や委託先企業の従業員が、一部の個人情報データにアクセスできた可能性が指摘されている。LINEは3月23日時点で、中国関連企業からのプライバシー性の高い個人情報へのアクセスを遮断する措置を取っている。
LINEは東アジア各国にサービス開発拠点を構えている。中国・上海の子会社LINE Digital Technology(通称LINE China)もその1つだ。
LINE China社はSNSのサービス運用に用いる「通報モニタリングツール」を開発している。これは、違法や不適切な投稿をユーザーが「通報」した際に、保守スタッフが対応するための業務ツールだ。
このツールは、LINEトークやタイムライン、公式アカウントの投稿のうち、通報されたものだけを扱う内容となっている。このツールを開発するLINE Chinaの現地スタッフが、業務上で必要なデータを閲覧する権限を保有していた。
また、LINEは中国の委託先企業2社を通して、タイムライン、オープンチャットと通報コンテンツのコンテンツ監視を行っている。グループ企業のNAVER Chinaと日系企業の中国法人が、コンテンツ監視の実務に当たっていた。
LINE関連サービスの一部の開発・運用も中国で行われている。具体的には、個人向けローンサービス「LINE Pocket Money」を展開するLINE Credit社のコアシステム開発や、「LINEレシート」のデータ検収を委託企業の中国法人で扱っていた。このうちLINE Creditのシステムでは、登録ユーザーの本人確認書類の番号や債権管理情報など、特に秘匿性の高いプライバシーデータも含まれている。
LINEではこうした中国法人の従業員からのプライバシーデータへのアクセスを遮断したとしている。加えて、LINEのコミュニケーション機能に関連するサービス開発を中国では行わない方針を示している。LINE Chinaが開発していた「通報モニタリングツール」については、LINEの日本法人が引き継ぐ。
なお、LINE Chinaなど海外拠点で開発されたプログラミングコードは、日本法人の開発スタッフを含めた拠点間でのクロスレビューを必ず実施していると説明された。すなわち、仮に中国関連先の一部の従業員が不正なプログラムを仕込もうとしても、そのまま本サービスに実装されてしまう可能性は薄いという。
プライバシーポリシーの強化を表明
LINEのプライバシーポリシー上では、サービスの提供に当たって第三国へデータ提供する可能性について明確に言及されている。
「当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります」(2021年1月28日版改定 LINE プライバシーポリシー)
ただし、どのような個人情報をどのような形でどの国で管理しているのかについては、具体的な言及はない。出澤社長はこのプライバシーポリシーの不備に触れた上で、第三国でデータを管理する場合は、対象国とデータの内容を明示するようなポリシー改訂を行う方針を示している。
海外拠点でのデータ管理は珍しくはない
今回、LINEのプライバシーデータに管理体制が問われることになった。実際に個人情報が流出したといった犯罪に関する被害は確認されておらず、開発スタッフのアクセス権管理も適切に行われていたという。
そもそも、LINEのように世界各国で展開するインターネットサービスでは、サービスで扱うデータの一部が国外に存在すること自体は珍しくはない。世界中にサーバー網を持つクラウドストレージ事業者は多数存在し、インターネットサービスの提供者はそのサービス内容や目的にあわせてサーバーの立地を選んでいる。
現に、LINEが過去に画像・動画の保存サーバーを韓国に置く決定をしたのも、費用対効果の観点から判断した結果だ。LINE CSMO(最高戦略・マーケティング責任者)の舛田淳氏は以下のように弁明した。
「快適なサービスを提供するために、データサイズが大きい画像や動画を扱うサーバーには、レイテンシー(応答速度)が求められる。一方で、LINEは台湾、タイなど日本国内以外にもユーザーが多く存在している。東アジアの各国へレイテンシーを保ちつつ、データの保護体制も整っており、データを扱える人材も豊富な韓国を選んだ。LINEは親会社に韓国NAVERがあり、リーズナブルな選択肢でもあった」(舛田氏)
保守運用などのサービスを海外拠点へ委託する、いわゆるオフショアリングについても、何らかのサービスを提供する企業においてはよくある事業形態と言える。
すなわち、実際の運用がLINEの説明の通りであれば、個人情報保護法や電気通信事業法上の「通信の秘密」に関する法的な問題は存在しない可能性が高い。
LINEのガバナンス体制の「問題」は何か
LINEが中国や韓国の拠点でユーザーデータを扱っていた点については、それ自体が問題とは言えない。一方で、朝日新聞の報道以来、「炎上」状態となり、社会的な注目を集めているのも事実だ。
政府の平井卓也デジタル改革担当大臣は、国会答弁の中で、中国での開発体制について個人情報保護委員会で調査を行う方針を示した。3月23日の会見は、その個人情報保護委員会におけるLINEの報告後に行われたものだ。
この問題に関しては総務省も「通信の秘密」の観点から調査を進めており、LINEに対して状況を説明するように求めている。
それでは、LINEの「問題」は果たしてどこにあるのか。
「配慮が足りなかった」
個人データの管理というテーマでは、ここ数年で世界的な環境の変化が起きつつある。その一方で、LINE自身も国内最大のSNS企業となり、より社会インフラに近い存在を目指している。その状況下で今回の一件が注目されたのは必然だったと言えよう。
世界の動きを見ると、欧州政府が個人情報データの保護をを基本的人権の一部と位置づけ、2018年の「EU一般データ保護規則(GDPR)」によって、企業に対するプライバシー保護の規制を強めつつある。
その一方で、中国は2019年に「国家情報法」を施行し、企業が有する情報を政府機関に提供することを義務づける法的根拠を与えている。LINEの一件に日本政府が注目するのは、この個人情報データが中国政府へ渡る可能性を懸念してのことだろう。
当のLINEといえば、日本で最大のユーザー数を抱えるSNS企業となり、2021年3月にはソフトバンクの資本を受け入れ、Yahoo! JAPANを擁するZホールディングスとの経営統合を実現した。日本最大級のインターネットサービス企業のYahoo! JAPANと一体化することで、LINEが扱うサービスの範囲も大きく広がる見通しだ。
そして、LINEは政府機関・自治体向けのサービスを経営統合後の重点分野として掲げている。LINEでは、多くの地方自治体が市民向け情報を発信しており、住民票の申請などをLINE上で受け付けている自治体も存在する。2020年の新型コロナウイルス感染症の流行拡大時には厚生労働省と協力し、LINEを活用した感染状況の調査を行ったことも記憶に新しい。また、新型コロナのワクチン接種を予約するためのシステムも開発されている。
SNSが多くの人の生活に浸透しているだけでなく、政府や自治体のサービスとも密接に結びつくようになったことで、LINEの公的インフラとしての存在感は高まっている。
社会インフラ化するSNSに求められる“配慮”
今回の問題が浮き彫りにしたのは、単なる手続き上の問題ではなく、LINEがこれまでに説明してきた内容との不整合だ。
LINEはこれまで、個人情報の重視を標ぼうし、「日本国内でデータを管理している」と記者会見などの場で数多く説明してきた。
たとえば、2020年11月11日に公表した『捜査機関への対応』と題した文書では、「『LINE』を構成する主要なサーバは日本国内にあり、「LINE」は日本法に準拠して運用されています」と明記した上で、日本の捜査機関への対応方針を説明している。
これらの説明に一部でも誤解が含まれていたとするなら、半公的サービスとしての信頼性を大きく損ねることになりかねない。出澤氏が言及したように、LINEに欠けていたのはユーザーの個人情報に対して“配慮”する意識だったのだろう。
「ユーザーへの分かりやすさ、配慮が欠けていた。法的動向うんぬんは置いておいて、ユーザーの『なんだか気持ち悪い』という思いへの配慮ができていなかった。今日の対応は第一歩。総務省からも報告聴取命令を受与している。まずはそういったことへのご報告と第三者による監査を通して信頼回復に務めたい」(出澤氏)
