メッセンジャーアプリ「LINE」を運営するLINEは2021年3月23日、LINE利用者の個人情報が一部中国から閲覧できる状態にあるなど、個人情報管理に関する問題を指摘されたことを受けて記者説明会を実施。一連の状況に至った経緯と、今後のデータガバナンスの方針について説明した。
中国からのアクセスを遮断、韓国内のデータも国内へ
2021年3月17日、LINEの個人情報の一部が中国から閲覧できる状態にあったことなどが報道されて以降、個人情報管理の在り方が大きく問われているLINE。一連の問題を受ける形で、同社のデータ管理に関する課題と今後の対応について、2021年3月23日に説明会を開催した。
LINEは2021年3月23日、一連の個人情報管理に関する問題に関する説明会を実施。その冒頭で代表者らが陳謝した説明会に登壇したLINEの代表取締役社長である出澤剛氏は一連の問題について、「LINEはグローバルで協調する体制でやってきたが、世の中の情勢変化を見落としていたことが多かった」と陳謝するとともに、現状の課題について説明。「LINEの個人情報にアクセスする業務を中国で実施していたこと」「トーク上の画像や動画を国外で保存していたこと」……にもかかわらず、「プライバシーポリシーでその国名を明記していなかったこと」の3点が「大きな課題と認識している」と出澤氏はしている。
説明会に登壇するLINEの出澤社長
LINEは中国からの個人情報アクセス、画像や動画の国外での保管、そのことをプライバシーポリシーで明記していなかったことが課題だったとしているそこで同社では、課題解決に向けた大きく3つの取り組みを進めるとしている。1つ目は「安心・安全な2つの国内化」で、中国からの個人情報へのアクセスを遮断し、中国でのコミュニケーションに関わる開発や保守業務を全て終了した他、韓国のデータセンターで保管していた画像や動画などの情報を、2021年6月までに国内に移転。LINE公式アカウントのタイムラインも2022年6月までに段階的に移転するとしている。
中国からの個人情報アクセスを遮断し、コミュニケーション関連の業務は終了。韓国にあった画像データなども国内に移転するという2つ目は「2つの透明性強化」で、プライバシーポリシーを改定してデータを管理する国名を明記するなど説明を強化するとともに、データ・セキュリティのガバナンス体制と情報保護を強化し、Zホールディングスが設立した「グローバルなデータガバナンスに関する特別委員会」での検証や、「CBPR認証」の取得申請など、国際的な外部認証の取得も目指すとのことだ。
プライバシーポリシーにデータを保管する国名を明記。データガバナンスも強化するとしているそして3つ目は「2つの国内化」で、政府や自治体向けLINE公式アカウントのデータへのアクセスは国内のみに制限する他、データ保管場所についても2021年8月までに国内に移転予定とのこと。自治体向けコロナワクチン予約システムも、関連するデータは国内のデータセンターのみに保管し、国内でしかアクセスできないようにするとしている。
政府や自治体のLINE公式アカウントデータへのアクセスは国内のみに制限。自体向けのコロナワクチン予約システムも、データは国内のみで管理するとのことこの他にも、一部韓国で保管している「LINE Pay」のデータも2021年9月までに国内移転する予定であるとしており、トークや公式アカウントに関する主要なデータは2021年中に国内に移転するとしている。
なぜ画像や動画を韓国で保管していたのか
では、どういった経緯からLINEのデータ管理が海外でなされるようになったのか。出澤氏はその背景にある、LINEの開発とデータ管理の体制について説明した。LINE社は現在、日本の他に韓国や中国、台湾、タイなど世界7つの国・地域に開発拠点を持ってLINEの開発を進めており、データセンターも日本と韓国の他、米国、ドイツ、シンガポールと5つの国に設置している。
そしてLINEのトークデータは全て日本に保管しているが、送信時に暗号化され、相手に届いたときに暗号が解除される「End-To-End暗号方式」(E2EE)で保護されていることから、サーバにあるのは暗号化されたデータのみでLINE従業員も閲覧できなとのこと。ただし画像や動画、ファイルなどのデータは韓国のデータセンターに保管しており、その認証や管理を日本でしていたという。
LINEのトークでやりとりしている画像や動画は韓国のデータセンターに保管。それを日本から管理する形を取っていたというこうしたデータ管理はLINEの公式アカウントでも共通しており、トークや個人情報は日本、画像や動画などは韓国に保管するという体制が取られていたという。また「LINE Pay」に関しても、本人確認情報などは日本で保管していたが、入出金などの取引情報に加え、「LINE Payカード」の番号および発行先住所などの情報や、加盟店情報などは適切なセキュリティの下に韓国で保管していたとのことだ。
「LINE Pay」に関しても、取引情報や利用者・加盟店情報の一部を韓国で保管していたとのことただ一部報道では、それだけでなく「LINEドクター」に関連する保険証や医師免許などの画像データが韓国で保管されているとの情報も出ている。この点についてLINE社の取締役CSMOである舛田淳氏は、LINEドクターでの受信時に、医師と患者の双方が会員登録する際の画像データ、具体的には保険証や医師免許などを、トークと同様に韓国で保管していたとのことで、これらは2021年2月に日本へ移管したとしている。
そもそもなぜ、テキストは日本で画像や動画は韓国という保管体制を取っていたのか。舛田氏は、LINEが日本だけでなく台湾やタイなどでも利用されており、以前には中東や欧州でも人気があったことから、大容量のデータをスピーディーに利用できる体制を整える上で「レイテンシ(遅延)が小さく高いセキュリティを確保できるデータセンターと人材がある所で、一番リーズナブルだった親会社(NAVER)がある所(韓国)を選んだ」と舛田氏は話している。
関連記事
中国で個人情報へアクセスの可能性があった業務とは
続いて出澤氏は、今回の大きな焦点となった中国での業務について説明。LINEでは中国拠点の5つの企業に業務を委託しており、中でも一連の報道で注目されたのがLINEのトークのモニタリング業務に関してだ。
モニタリング業務とは、主にLINEのタイムラインやオープンチャットでのやりとり、そしてLINEのユーザーが「通報」ボタンを押して通報された投稿内容をチェックし、不適切な内容でないかをチェックするもの。そのツールを開発している子会社のLINE Digital Technology(LINE China)が、開発時の確認のため通報されたトークやタイムラインなどのデータを見る可能性があった他、モニタリング業務を委託しているNAVER Chinaと日系企業のA社が、実際に通報されたテキストや画像などを確認して削除などをしていたという。
中国の企業には、ユーザーからの通報があったトークなどのモニタリングと、モニタリングするためのツール開発などを委託。それが一連の問題へとつながっているさらに日系のB社には、LINE Creditのシステム開発を委託しており、ローンのコアシステム開発を手掛けていたこともあって、住所や氏名などを扱う業務をしていた。また国外C社は「LINE CONOMI」に登録された情報のモニタリングや、LINE レシートの画像データ検収などしており、それに付随する情報を扱っていた。そこで一連の問題の指摘を受ける形で、LINEは説明会と同日に、中国からの個人情報へのアクセスを遮断。コミュニケーションに関する機能の開発・保守運用を終了したとのことだ。
日系のB社にはLINE Creditのローンコアシステム開発を、国外のC社には「LINE CONOMI」のモニタリングなどを委託していたとりわけ、中国でのデータアクセスを問題視する向きが強いのは、中国が2017年に国家情報法を施行し、中国企業が中国政府から情報提供などの要請があった際に従わなければならない状況となったことが大きい。この点について出澤氏は「中国で長く開発を続けてきたので、国家情報法の潮目の変化を見落としていたというのが偽らざるところ。ユーザーへの配慮が足りなかった」と釈明している。
ただ先にも触れた通り、LINEの開発体制は7つの国や地域にまたがっており、中国や韓国以外の拠点で問題が出てくる可能性も完全に否定はできない。出澤氏は他の国での開発・運用状況に関しても個人情報委員会で報告し、タイミングに応じて適宜開示していくとしている
なぜデータ管理の国名を明記してこなかったのか
さらに出澤氏は、2021年3月29日週にプライバシーポリシーを変更すると説明。これまで第三国にデータが移転することは明記されていたものの、国名の記載がなく透明性に欠けていたとし、変更後は具体的な国名と目的を明記するとしている。さらに出澤氏は、2020年3月に国会で可決され、2年以内に施行するとされている改正個人情報保護法を見据え、プライバシーポリシーを随時改定していきたいとも話している。
従来「第三国」としか記されていなかったLINEのプライバシーポリシーも改訂し、具体的な国名と目的を記すとしているなぜ「第三国」という記述をそのままの状態にしていたのか。実はLINE社内でも改正個人情報保護法を見据えた検討を進めており、データの国内移転などは2019年から徐々に進めていた。その際、プライバシーポリシーの表記についても問題として議論の俎上(そじょう)に上がっていたというが、同社では2022年の変更に向けた準備を進めていたことから「この記載なら現行法では大丈夫なんじゃないか」(出澤氏)と考え、変更を急ぐに至らなかったとのことだ。
もちろん一連の問題で、現時点で明確な違法性があったり、直接的な問題が起きたりしたわけではない。だが出澤氏は「ユーザーの分かりやすさに対する配慮が欠けていた。法的にどうかではなく、ユーザー感覚としておかしい、気持ち悪いというところ、その対処ができていなかったことが問題」と説明。「あらゆる面で(対応を)検討していく」と、当面は信頼回復に向けた取り組みに注力するとしている。
関連記事
関連リンク
からの記事と詳細 ( LINEの個人情報問題、グローバル開発体制で起きた“見落とし”とは?(1/2 ページ) - - ITmedia )
https://ift.tt/3tPc6yd
No comments:
Post a Comment