- 元記事:ユーザーの個人情報に関する一部報道について
- 元記事:個人情報保護委員会からの個人情報の取扱い等に係る報告および当社における今後の方針について
- 元記事:日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示
- HP:LINE
発表日時2021/3/17
LINEの利用者個人情報が、中国の委託先企業5社にて日本国内サーバにアクセスでき、個人情報の閲覧が可能状態であったことが発覚。同社にて2018年の夏ころからスパムやフィッシングなどの迷惑行為などのアプリ監視不適切なメッセージややりとりがないかのモニタリング、開発業務目的で日本国内のサーバにアクセス可能で、利用者が通報した内容や個人情報などが閲覧できる状態であった。また、利用者の画像や動画データは韓国の関連会社のサーバに保管されていたことが発覚した。個人情報の同意なしでの第三者提供や海外への持出しは禁止されているが、同社では利用者のデータの国外への持出しに関する言及を行っていなかった。
この問題を受け、同社は個人情報の取り扱いについての説明を行った。同社によると、今回の個人情報問題は、外部からの不正アクセスや情報漏えいが発生したというものではなく、また、ユーザのプライバシー性の高い個人情報や金銭が関係する情報に関しては日本国内のサーバにて保管していると言及した。しかしながら、開発や運営業務上の必要性から国外でも個人情報を取り扱っていることについて説明が十分でなかったとして、日本国外での個人情報の扱いについて説明を行った。
まず、データ管理についてはテキストと画像や動画に分類されており、プライバシー性の高い個人情報であるテキストや電話番号、メールアドレスなどの情報は日本のデータセンターで保管され、トークテキストや通話内容は暗号化され、同社のサーバ管理者でも閲覧はできないとしている。画像や動画、アルバムなどは複数のサーバーにファイルを分散化し、韓国のデータセンターにて適切なセキュリティ体制の元で管理を行っている。
データの国外からのアクセスについては、同社サービスは世界230以上の国で利用され、7カ国にて開発、運営しており、LINEグループ内で統一のルール、ガバナンスのもと開発・運営を行っており、国外のグループ会社の拠点や委託先で開発やモニタリングを行っているため、データベースへのアクセス権限は適切な権限付与を行い、厳格に管理している。報道のあった中国でも2拠点の委託先で開発業務と1拠点でモニタリング業務を行っているが、LINEトークの「通報」機能により通報されたテキストのみサーバにアップロードされ、アカウント停止等の適切な対応判断のために平文のテキストデータのモニタリングを行っており、通報などの迷惑行為の報告がない限り通常のトークテキストや画像・動画のモニタリングは行っていないとしている。
上記のように、同社では高いセキュリティ基準を設け、適切な運用を行ってきたが、更なる透明性を高めるため、Transparency Reportを開示するとともに、各国の法制度等の環境変化に合わせてさらに先回りした対応や情報開示を行うとしている。また、LINEはグローバル企業としてサービス価値を高めるためにも海外拠点での開発は必要なものとしたうえで、国・拠点・職種・業務内容に関わらずプライバシー性の高い情報へのアクセス権限付与は今後も要最小限の範囲にとどめるよう厳格に運用するとしている。
同社は、3月19日付けで個人情報保護委員会より受けた報告徴収を受けた事項に関する報告書を、同委員会に提出。報告書は、同社としての今後の方針として、・日本ユーザーの個人情報へのアクセスを遮断済であり、LINEのコミュニケーションに関連する機能・サービスに係る機能開発・保守業務や運用業務については、中国での業務を終了。・韓国のデータセンターに保管されているトーク内の画像・動画・ファイルデータの国内移転を2021年6月までに完了予定、タイムラインにおいてLINE公式アカウントデータは2022年6月完了、LINEユーザーのデータは段階的に移転予定としている。また、ユーザー向けプライバシーポリシーの改訂およびデータ・セキュリティのガバナンス体制と情報保護の強化を日本ユーザーに安心いただくための2つの透明化として発表した。また、4月19日に総務省への報告を行う予定であることも公表した。(2021/3/23発表)
同社は、日本ユーザー向けにプライバシーポリシーを改定し、個人情報へのアクセスや保管に係るデータ移転について、当該業務が発生する拠点がある国名やそのケースおよび関連業務等について明示した。改定されたプライバシーポリシーには、システムの開発や運用について、韓国、ベトナムに所在する企業に顧客のパーソナルデータを移転することがあり、当該業務の実施に必要な範囲で、それらの企業の従業員がパーソナルデータにアクセスする旨が追加されており、日本語以外でのカスタマーサポートについては、タイ、台湾、インドネシア、韓国、フィリピンに所在する委託先企業から回答をする場合がある旨の記載が追加された。また、日本のユーザーのパーソナルデータを日本および韓国のデータセンターで保管しており、APECによる越境個人情報保護に係る枠組みに参加している旨が追加されている。同社は、今後、LINE Payなどグループ会社が提供するサービスや、個別の規約やポリシーに基づいて運営されているサービスについてもプライバシーポリシーを改定予定であると公表した。(2021/3/29発表)