LINE、2024年までかかるデータ移転「スケジュールを説明することが重要」有識者ら批判

このエントリーをはてなブックマークに追加

特別委員会の座長を務める東京大学大学院法学政治学研究科 教授の宍戸常寿氏、特別委員会の委員を務める株式会社川口設計 代表取締役の川口洋氏(左から順に)

Zホールディングス株式会社は6月11日、LINE株式会社が提供するコミュニケーションアプリ「LINE」の利用者情報について、業務委託先の中国企業がアクセスできる状態になっていたとする報道を受け、外部有識者による「グローバルなデータガバナンスに関する特別委員会」の一次報告を実施した。AI(人工知能)時代において、データはきわめて重要な要素と言える。

同報告では、特別委員会の委員を務める株式会社川口設計 代表取締役の川口洋氏が「データ移転に関する状況をヒアリングしていた技術検証部会のなかで、2022年や2024年というキーワードが出てきました。事前にユーザーの方に出ているリリースでは6月や9月といった数字でしたが、ずいぶん先だと思いました」と、違和感を明らかにする場面もあった。

特別委員会の座長を務める東京大学大学院法学政治学研究科 教授の宍戸常寿氏は「中国企業からのアクセスに加え、政策渉外活動における一部の説明とは異なり、韓国にあるデータセンターでテキスト以外のLINEのメッセージのコンテンツが保存されていたことも明らかになった結果、LINEの利用者の不安が高まり、行政サービスにおけるLINEのサービスの利用が停止されるなど、大きな社会的な影響が生じました」と、これまでの状況を振り返る。

「私たちも、本件事案の本質は『サービスに関する説明・コミュニケーションが不足していただけで、法令に違反する行為はなかった』ということに収まるものではないと捉えています。そして、LINE社が各方面からの指摘や批判を真摯(しんし)に受け止めて、社会インフラとして信頼されるためのガバナンス体制を構築していくべきものと考えています」(宍戸常寿氏)

宍戸常寿氏は特別委員会について「私たちはまず本件事案に関する徹底的かつ総合的な調査をするとの方針を立てて、LINE社の開発体制や利用者のデータの取り扱いの全体像を把握しつつ、本件事案の詳細やその原因を明らかにしようと努めてきました」と述べた。

特別委員会による調査の結果、「LINE」の日本ユーザーの個人情報(通報したメッセージの内容を含むもの)が、中国法人でありLINE社の業務再委託先であるLINE China社および、中国法人であり、資本関係のない1社からアクセス可能だったことが明るみになった。

具体的には、サービスの開発および保守業務にともないLINE China社(LINE社内の業務ツールの開発を担当)において、モニタリング業務支援システム(LMP)の開発および保守業務について4名、32回のアクセスがあったことに加え、捜査機関対応業務従事者用コンテンツマネジメントシステム(LPL)の保守業務について1名、11回のアクセスがあった。

公開コンテンツのモニタリングのために資本関係のない中国法人において、公開されているコンテンツについて、不適切なコンテンツを発見、削除などする業務として1日約9万900件におよぶ。

特別委員会からは「『LINE』が急成長したためエンジニアの確保が大きな経営課題であったとしても、中国における開発・保守体制は比較的小規模であり、リスクを勘案すれば、中国でなければならなかった理由が見いだせない」「中国でのモニタリング業務の開始にあたって、経済安全保障に関する懸念が社内で持ち上がるような備えと社内の感度が必要であった」などの意見が見られた。

また、「LINE」で送信されたコンテンツのうち、画像・動画・PDFなどのファイルが韓国にあるサーバーに保管されていたことも明らかになった。「LINE」のメッセージのコンテンツのうち、テキスト部分は日本にあるデータセンターで保存されていたが、画像と動画とファイルは韓国にあるデータセンターで保存されていた。

特別委員会からは「LINE社の説明は、社内の技術・サービスの建て付けに沿ったものであるとしても、通常のユーザーにはトークに関する画像・動画などが完全に日本国内に移転するものと受け止められるのが自然である。LINE社において、ユーザーファースト目線および正確な情報提供を目指す意識の欠如があったのではないか」などの意見があった。

川口洋氏は質疑応答のなかで、「データ移転に関する状況をヒアリングしていた技術検証部会のなかで、2022年や2024年というキーワードが出てきました。事前にユーザーの方に出ているリリースでは6月や9月といった数字でしたが、ずいぶん先だと思いました。私もその説明を受けるまでは、今年中に終わると思っていました」と、違和感を明らかにした。

LINE社はこのような意見を受けてか、6月11日にスケジュールを発表した

川口洋氏は「LINE」は膨大なデータを保有しているため、技術的にデータ移転は半年以内では難しいといった背景があるとしても、「実際データの移転に時間がかかってしまうのが仕方ないのであれば、ユーザーにこのようなスケジュールで実施するとしっかり説明することが重要ではないか」と指摘する。

現在、LINE社は経済安全保障に関する懸念を受け、Zホールディングスのサイバーセキュリティポリシーにあわせて、アメリカ「NIST(米国国立標準技術研究所)」が定める世界トップクラスのセキュリティ基準「NIST SP800-171」への準拠に向けた取り組みを開始した(※)。

(※)「NIST SP800-171」はNISTが定めた米国の政府調達の要件で、サプライチェーンの全般を対象として「人的セキュリティ」や「システムと通信の保護」などの基準の充足を求める、経済安全保障上のリスクへの対応も取り入れたサイバーセキュリティフレームワークを意味する。

今後、特別委員会は引き続き「過去における再委託先であるLINE China社の従業員による日本のユーザーのデータへのアクセスについての技術検証部会による再検証」「メッセージングサービスで送信されたコンテンツのうち、日本のユーザーの画像、動画およびファイルについて実施される国内への移転の適切性」などについて検証する。