LINEは3月23日、情報管理不備に関する一連の報道を受けて緊急の記者会見を開催。現在問題となっている課題は何なのか、現時点でどのような対策を講じているのか、今後のロードマップも含めて説明しました。
一部報道では「LINEユーザーの個人情報が中国からアクセス可能だった」「LINEの医療相談サービスで送った保険証画像などの健康関連データは韓国で保管しているらしい」とされていますが、日本ユーザーの個人情報に関する中国からのアクセスは現在すべて遮断したほか、中国で行っていたコミュニケーション関連機能の開発や運用については終了。日本と韓国で保管しているデータは2021年9月までに日本のデータセンターに統一すると発表しました。
「現時点で情報漏えいは確認されていない」今回の問題点は何だったのか
LINEの出澤剛社長は会見の冒頭、「ユーザーの皆さまにご迷惑とご心配をおかけしており、心からお詫び申し上げます」と陳謝したうえで、今回同社が認識している課題を3つに分けて説明しました。
1つ目は、「中国で個人情報にアクセスする業務を実施していたこと」。LINEでは公式アカウントの一斉送信メッセージやタイムライン、オープンチャットなど誰もが閲覧できる場所でスパムやフィッシングなどが発生していないか、未成年との不適切な出会いや児童ポルノの公衆送信などが行われていないかの監視を行っています。
また、個人間のやりとりについては、ユーザーが不適切なコンテンツを見つけた場合にLINEに通報する仕組みを設けています。トークやタイムライン、オープンチャットなどLINEの各サービスで扱うデータはすべてが残っているわけではなく、ユーザー利便性のため一定期間だけ保存しています(※期間はサービスごとに異なります)。
上記の監視で検知、およびユーザーから通報があったコンテンツを対象に専用のモニタリングツールで確認を行いますが、その業務の一部が中国で行われていたとのことです。
2つ目はLINEのトーク上で扱われた画像や動画、LINE Payカードの番号や不正利用検知に使用するユーザー情報(住所、生年月日、クレジットカード保有者氏名)、オンライン診療サービス「LINEドクター」の会員登録時に必要となる健康保険証などの画像データを、韓国のデータセンターで保管していたこと。
さらに3つ目として、そうした画像などのデータを国内外で保管することを、LINEのプライバシーポリシーで国名や目的を具体的に明記しておらず、今回の報道で多くのユーザーが「LINEのデータは海外で保管されていたの?」と驚く事態となりました。
LINEでは2022年に施行予定の改正個人情報保護法への対応や3月1日に発表したZホールディングスとの経営統合もあり、かねてより今回の挙げられたような課題への対策を進めていました。開発者向けイベントなどでは一部説明していたものの、一般ユーザーへは明確な説明を行っておらず、今回の事態を受けて信頼を失う結果となったことを重く受け止めているとしています。
同社によると現時点で情報漏えいは確認されておらず、今回はユーザーへの配慮が欠けており「ユーザーの感覚で見て“おかしい”、“気持ち悪い”と思うことに対して、センスや配慮が怠っていた」点が大きな問題であったと繰り返し説明しました。
どのような対策を取っていくのか
信頼回復に向けて、同社では既に中国からのアクセスを完全に遮断。中国で行っていたモニタリング業務は、今後LINE Fukuokaで行うとのことです。
韓国で保管しているデータについても、2021年9月までに順次、国内のデータセンターに移転していく計画を発表しました。
LINEトークのデータ(画像、動画、ファイル)は2021年6月までに、LINE公式アカウントのデータは2021年8月までに、LINE Payの決済情報は2021年9月までに日本のデータセンターへの移転を完了する予定です。
ユーザーの私たちができる対策
なお、LINEユーザーが最もよく使うトークのテキストについては、「Letter Sealing(レターシーリング)」と呼ぶ暗号化機能によって送信者と受信者以外はメッセージ内容を解読できないように設計されています。
Letter Sealing機能はほとんどのトークルームでオンとなっていますが、不安な場合はLINEアプリのホーム右上にある「設定」→「プライバシー管理」から確認ができます。
暗号化はユーザーの端末で行われるので、内容はLINE社の社員でも閲覧はできません。ただ、LINEトークでのやりとりは、参加者全員がこの「Letter Sealing」をオンにしていなければ有効にはなりません。全員がオンにしているかは、トークルーム右上にある三本線マークをタップした先の画面一番下に「このトークルームではLetter Sealingが適用されています」と出ているかで確認ができます。
プライバシーポリシーを3月29日週に改定
LINEは透明性を強化するため、プライバシーポリシーを3月29日週に改定すると発表しました。現在は国名の記載がないなど透明性に欠けていたことへの対応として、データ移転先の可能性がある国名および目的をポリシーに明記します。
今後は上記のプライバシーポリシーの改定に加え、データセキュリティのガバナンス体制と情報保護の強化に向けて有識者委員会での検証、国際的外部認証「CBPR認証」の取得申請、米国「NIST」が定める世界トップレベルのセキュリティ基準への準拠などを予定しています。
政府自治体向けの対応は
今回の報道を受け、総務省はLINEを活用した行政サービスを停止すると公表し、自治体やNPOも相次いでLINEの利用を停止するなど、世の中に大きな影響が出ています。
LINEでは政府自治体に向けて、公式アカウント運用に伴うデータアクセスを国内のみに制限し、新型コロナウイルスワクチンの予約システムに関連するデータは国内のデータセンターのみに保管、国内からのみアクセス可能とするなど、迅速に対応していくとしています。
2011年6月のサービス開始から約10年が経つLINE。今や多くの人の生活に欠かせないサービスになっただけに、今回の件は早期の収束が求められます。
【関連リンク】
