LINE騒動「何か問題だったのか」「どのような対応をしたのか」Zホールディングス外部有識者の回答一覧

このエントリーをはてなブックマークに追加

Zホールディングス株式会社は6月11日、LINE株式会社が提供するコミュニケーションアプリ「LINE」の利用者情報について、業務委託先の中国企業がアクセスできる状態になっていたとする報道を受け、外部有識者による「グローバルなデータガバナンスに関する特別委員会」の一次報告を実施した。

一次報告では、報道関係者向けにPDF資料が配付された。PDF資料は当日の有識者が説明したスライドに加え、当日の報道関係者による質疑応答とは別に、特別委員会による本騒動に関する「Q&A」が付いている。

Q&Aでは、特別委員会が「何が問題だったのですか?」「この問題をうけてLINEはどのような対応をしたのですか?」「中国からの日本のユーザーの個人情報へのアクセスについて詳しく教えてください」「LINEの官庁・自治体などへの説明に問題はなかったのですか?」など、さまざまな質問に答えている。

これらの回答はLINEによる本騒動の詳細をわかりすく把握するだけではなく、AI(人工知能)時代における重要な資源とも言うべきデータへの意識を高められる資料にもなり得る。

そこで、この記事では特別委員会によるQ&Aをすべて掲載する。なお、PDF資料はすでにWeb上で一般公開されている。

「中国で個人情報にアクセスする業務を実施」が問題

──Q1:何が問題だったのですか?

A:中国でLINEの日本のユーザーの個人情報にアクセスする業務を実施していたこと、トーク上の画像・動画・ファイル(PDFなど)を国外(韓国)で保管していたことについて、ユーザーの皆様への説明を含む対外的な説明が不十分であったことが問題でした。また、昨今の経済安全保障の観点からも、データの国外移転については慎重に対応する必要がありました。

特別委員会では、この問題の本質は「サービスに関する説明・コミュニケーションが不足していただけで、法令に違反する行為はなかった」ということに収まるものではないと捉えています。そして、LINE社が各方面からの指摘や批判を真摯(しんし)に受け止めて、社会インフラとして信頼されるためのガバナンス体制を構築していくべきものと考えています。

特別委員会では、引き続きLINE社においてユーザー目線での説明が十分にできなかった原因などについて調査し、これを改善するために必要となる体制などについて、また、経済安全保障に関しLINE社の経営判断に活用できるようなガバナンス体制の強化について、LINE社およびLINE社の親会社であるZホールディングス社に対して提言していきます。

──Q2:この問題をうけてLINEはどのような対応をしたのですか?

A:2021年3月23日までに中国でのLINEのコミュニケーションに関する機能やサービスに関する開発・運用業務を終了し、また、中国からの日本のユーザーの個人情報へのアクセスを遮断したとLINEから説明を受けており、今後、これらの措置が適切に完了しているかを特別委員会で検証していきます。

また、LINE社は、国外で保管していたデータは順次国内に移転するとしており、その移転スケジュールについてはこちらからご確認いただけます。その他のLINEの対応についてはこちらをご覧ください。

なお、特別委員会は、社会インフラというべき存在になっているLINE社に求められるガバナンス体制のあり方を 引き続き検討し、その実現のために必要な具体的な対策を提言します。LINE社においては、親会社であるZホールディングスの監督の下、引き続き特別委員会の提言を誠実かつ着実に実施していくことが求められます。

──Q3:この問題の影響によって、LINEユーザーに何が起こるのですか? LINEを使い続けても大丈夫なのですか?

A:現時点で、中国での業務の実施にあたって、LINEのサービスの提供に必要のない日本のユーザーの個人情報へのアクセスなどは確認されておらず、また、国外で保管していたデータの漏えいや目的外での利用は確認されておらず、ユーザーの皆様に具体的な悪影響が発生する状況は確認されていません。

特別委員会においては、引き続き徹底的かつ総合的な調査を実施し、この問題の詳細やその原因を明らかにしていきます。そして、調査の結果判明した事実を公表するとともに、LINE社が社会インフラとして信頼されるためのガバナンス体制のあり方について提言を行っていきます。

今後、LINE社においては、特別委員会の提言を踏まえ、どのように対応していくかを適切にユーザーや社会に対して公表し、Zホールディングス社においては、親会社としてLINE社を監督し、その対応状況を適切にユーザーや社会に対して公表していくことが必要であり、ユーザーの皆さまには、これらの公表の状況および内容をよくお読みいただき、LINEの使用の是非についてご判断いただくとともに、そのあり方に不十分なところがあれば、積極的に声をあげていただきたいと思います。

──Q4:この問題の影響によって、LINEユーザーの個人情報の漏えいはあったのですか?

A:LINE社は、中国での業務の実施状況を含め、個人情報保護委員会および総務省に報告を行っており、両監督官庁の調査においても不正アクセスや情報漏洩(ろうえい)などの事実は確認されていません。

ただし、その検証に必要なログが十分記録されていないシステムもあったため、今後は適切にログを記録するよう両監督官庁から改善の指導を受けています。

──Q5:LINEユーザーの個人情報が外国政府にアクセスされたのですか?

A:現時点においてそのような事実は確認されていません。

政治家らに「データは日本に閉じている」と説明

──Q6:LINEユーザーの個人情報が法令に違反して取り扱われたのですか?

A:LINE社は、現時点において、監督官庁から法令違反があったという指摘は受けていません。しかしながら、LINEは多くのユーザーに利用され、今では社会インフラともいうべき存在となっていることを踏まえると、法令の遵守にとどまらずより高いレベルでの信頼を得るための体制構築が不可欠であると考えています。特別委員会では、LINE社においてこのような体制を強化していくための具体的対応策等を提言していきます。

──Q7:LINEユーザーの個人情報について海外での取り扱いがあることはどのようにユーザーに説明されていたのですか?

A:LINE社のプラバシーポリシーにおいて、個人データの越境移転について以下のように説明が行われていました。

当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。

(略)

当社のパーソナルデータの提供先には、お客様のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者を含みます。

(略)

当社は、信頼性が高く、責任ある方法で当社サービスを提供するため、主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています。

しかしながら、LINE社は現時点では、この説明は同社に求められる高い社会的責任に照らして不十分であったと考えています。これを踏まえて、LINE社では、プライバシーポリシーを改定、移転の目的(開発や保守、カスタマーサポート)ごとに越境移転先の国名を記載する対応を行うとともに、データセンターの所在国について、日本と同等の保護水準の国(欧州経済領域や欧州委員会が十分な保護水準を確保していると認定している国や地域など)またはAPECによる越境個人情報保護に係る枠組み(CBPRシステム)の加盟国であることを記載しました。

また、LINE社において、CBPR認証の取得を目指した取り組みを開始しています。

──Q8:中国からの日本のユーザーの個人情報へのアクセスについて詳しく教えてください。

A:中国からのアクセスには、(1)中国法人でありLINE社の業務委託先であるLINE China社によるサービスの開発および保守業務に伴い行われたもの、(2)資本関係のない中国法人による公開コンテンツ(タイムラインおよびオープンチャット)のモニタリングのために行われたものの、2つの類型がありました。

(1)について、モニタリング業務 支援システム(LMP)の開発および保守業務において2020年3月19日から2021年3月19日の間に、通報されたトークの内容を直接閲覧しうる画面に4名が合計32回アクセスし、捜査機関対応業務従事者用コンテンツマネジメントシステム(LPL)の保守業務において同じく2020年3月19日から2021年3月19日の間に1名が11回アクセスしたこと、(2)について、公開されているコンテンツについて、不適切なコンテンツを発見、削除する業務において1日約9万900件(2021年2月1日から2021年2月28日までの間の平均件数)のアクセスが行われたことが判明しています。

なお、(1)については検証に利用可能な記録の保存期間が1年間に限定されていたことから、このアクセス数が全てのアクセスを網羅しているかについてまでは確認できておりません。

──Q9:LINEの「KEEP」および「アルバム」に保存されたコンテンツはトークデータとは異なるのですか?

A:「KEEP」は、自ら閲覧するためにテキストや画像、動画、ファイル(PDFなど)を保存する機能であり、「アルバム」は、グループやトークルームのメンバーが閲覧できるようにするために画像を保存する機能です。その他にも、グループやトークルームのメンバーが閲覧できるようにするため、「LINE」で送信されたコンテンツにテキストメッセージや写真、動画、位置情報などを追加して保存できる機能である「ノート」があります。

LINE社は、2021年3月23日に、韓国のデータセンターに保管されているトーク内の画像・動画・ファイル(PDFなど)の国内移転を2021年6月までに完了予定であること、タイムラインについてはLINE公式アカウントは2022年6月、LINEユーザーは段階的に移転予定であることを公表しました。しかしながら、これまでの特別委員会の調査の結果、「KEEP」、「アルバム」および「ノート」に含まれる画像や動画、ファイル(PDFなど)については、2021年6月までの国内移転の対象には含まれていないことが分かりました。

特別委員会は、通常のユーザーにはトークに関する画像・動画等が完全に日本国内に移転するものと受け止められるのが自然であると考えており、今回の対応が求められる経緯、データの性質等を踏まえれば、このような説明は移転計画の実態に即した、わかりやすい内容へ緊急に改めるよう、LINE社に対して要請しました。

(参考:LINE社によるアルバムやKeepなどのデータの国内移転スケジュールについてのプレスリリース

──Q10:LINEの官庁・自治体などへの説明に問題はなかったのですか?

A:LINE社による過去の政策渉外活動において、データの保管およびアクセスについて、官庁・自治体などへ実態と異なる説明が一部においてなされていたことが分かっています。

LINE社においては、日本ユーザーのデータの保管場所に関する対外的な説明の具体的内容について、2013年、2015年、2018年にそれぞれ検討して決定していましたが、政策渉外活動において、決定した対外的な説明の内容にかかわらず、政治家、官公庁、地方自治体の担当者等に対して、「LINEのデータは日本に閉じている」という趣旨の説明をしている場合があったこと、また、中国からのデータへのアクセスがあることについての説明がなされていなかったことが分かっています。

この問題については今後、政策渉外活動におけるコミュニケーションと現実の間の乖離がなぜ発生したのか、その原因を踏まえ、正確な情報を発信し、受け手と適切なコミュニケーションをとるために必要な具体的な改善策について特別委員会において議論する予定です。

「最終的には詳細な報告書を公表したい」

──Q11:LINEはワクチン接種予約システムなどの国や地方自治体と連携したサービスを提供していますが、この問題の影響はないのでしょうか?

A:ワクチン接種予約システムについてはデータが国内保管される形で開始されているとの報告を受けています。また、自治体でのLINE等のサービスの利用の際の考え方については、総務省による政府機関・地方公共団体等におけるLINE社のサービスの利用実態の調査を受けて、政府から以下のガイドラインが出されています。

政府機関・地方公共団体等における業務でのLINE 利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)

──Q12:LINEは今後このような問題を起こさないためにどのような対策をするのですか?

A:特別委員会では、ユーザー目線を取り入れたサービス運営、ユーザーコミュニケーションのあり方を検討するための有識者会議の開催や、国際的なサイバーセキュリティ基準(NIST SP800-171)への準拠のための取り組みを 開始するなどを含めた様々な対策を講じていくとの報告を、LINE社から受けています。

LINEは多くのユーザーに利用され、社会インフラというべき存在であり、法令の遵守にとどまらずより高いレベルでの信頼を得るための体制構築が不可欠です。特別委員会では、LINE社においてこのような体制を強化していくための具体的対応策等を提言していくとともに、LINE社の親会社であるZホールディングス社においては、LINE社によるその改善を適切に監督していくよう提言していきます。

──Q13:特別委員会の活動はこの報告をもって終了するのですか?

A:あくまでもこの報告は第一次報告であり、引き続き特別委員会として活動を行い、最終的には詳細な報告書を公表したいと考えています。

なお、有識者による一次報告の様子は以下の記事をチェックしてほしい。