国内で8600万人以上が利用するコミュニケーションの必需品として私たちの生活に定着している通信アプリLINEが、個人情報の取り扱いに関して問題が発覚し、大きなニュースとなりました。画像や動画のデータを韓国のデータセンターに保存し、アプリ内でやりとりするデータ管理を中国企業に委託していることが報道されました。報道を受けてLINE社はプレスリリースを発表し、「個人情報の流出があったわけではないが、ユーザーのデータ管理を日本国外で行っていることに対して、説明が不十分だった」とし、画像や動画データ保存先の日本国内への移転や、データ管理のアクセス権の管理厳格化をすると発表しています。今回は中国からプライバシー性の高い情報にアクセスできる状態にあったことが問題となっています。今回はこのLINEのデータアクセス問題における、データの取り扱いの実態や何が問題かについて詳しくみていきたいと思います。
LINEデータアクセス問題の発覚
国内サーバーに32回アクセス LINEの中国関連会社 - 2021年3月19日
個人情報保護委員会は19日、LINE利用者の個人情報が中国の関連会社で閲覧可能になっていた問題に関し、技術者4人が日本国内のサーバーに計32回アクセスしたと明らかにした。関連会社側は中国政府への情報提供などは否定しているとも説明した。
個情委の福浦裕介事務局長が同日の衆院内閣委員会で立憲民主党の後藤祐一氏の質問に答えた。LINEの親会社のZホールディングスから8日に個情委に連絡があったと発言した。個情委は個人データの越境移転規制を適正に順守していたかを確認するため、18日に委託契約書の提出を受けた。
引用:https://www.nikkei.com/article/DGXZQOFS194GJ0Z10C21A3000000/
この問題の発端は今年1月下旬、LINEとの経営統合を目前に控えたZホールディングス(ZHD)に、LINEの個人情報取り扱いに疑義があるとの情報が外部からもたらされたことによります。ZHDからの指摘でLINEが確認したところ、管理の不備が発覚したというものです。
LINEの親会社であるZHDは、今回の問題で外部有識者による検証・評価の特別委員会(座長:宍戸常寿 東京大学大学院法学政治学研究科教授)を設置すると発表し、23日に初回会合を開くとしていています。ZHDによれば、特別委員会は、LINEにおける国内ユーザのデータ取り扱いの実態把握などについてプライバシーやセキュリティ、ガバナンスの観点から評価、検証し、各国の法制度などを踏まえた今後の対応策を提言していくとのことです。
何が問題なのか
中国からプライバシー性の高い情報にアクセスできる状態にあったこと
LINE社は中国企業である「LINE Digital Technology (Shanghai) Limited」(所在地:大連)へデータ管理を委託していたと発表しています。また適切なアクセス権限によって管理されており、あくまで個人情報の流出があったわけではないと説明しています。しかし問題はアクセス権限ではなく、中国からプライバシー性の高い情報にアクセスできる状態にあったことが問題視されています。
昨年改正された個人情報保護法では、外国にある第三者へ個人情報を提供する場合にはあらかじめ本人の同意を得なければならないとしています。LINEは利用規約において、「利用者の居住国と同等のデータ保護法制を持たない第三国に個人情報を移転することがある」と説明するも国名までは明記していませんでした。LINEはこれについて「説明不足」だったと発表していますが、大きく報道されるまでこれが非常に危うい状況だったことは周知されていませんでした。
中国には「国家情報法」で政府に対する情報提供義務があります。同法律は「いかなる組織と公民も国の情報活動に協力しなければならない」と明記されています。情報セキュリティ大学院大(横浜市)の湯浅墾道副学長(情報法)は「中国企業は国家の要請があれば、情報を提供する義務がある。LINEは国会議員も使っており、流出の懸念が拭えない」と指摘しています。
管理不備があったとされるデータの内容
LINE社のプレスリリースによれば、プライバシー性の高い情報である電話番号やメールアドレス、友だちリスト、トークテキストなどは日本のデータセンターに保管し、不適切なコンテンツに対するモニタリングは、中国へ委託していたと説明しています。利用規約に国名明記がなく管理不備があったとして報じられた点は次の内容です。
- 開発業務を担当していた中国関連企業スタッフによる国内利用者データへのアクセス
- タイムライン等のモニタリング業務委託先から中国企業への再委託
- すべての画像、動画を韓国NAVERのデータセンターで保管。韓国関連企業がアクセス権を保有。
LINEはこのうち閲覧されていた可能性があるのは、利用者の名前や電話番号、メールアドレスなどで、通常の会話内容は暗号化されていると説明しています。またLINEは「不適切な利用は確認されていない」と発表していますが、中国企業は国家の要請があれば、情報を提供する義務がある以上、本当に流出がなかったかは不透明になっています。
通報などモニタリング業務を海外企業に再委託
モニタリング業務の委託先である国内の通信業務代行企業から、再委託を受けた同企業グループの中国現地法人「LINE Digital Technology (Shanghai) Limited」(大連)がモニタリングの一部(タイムライン、オープンチャット)を担当。通報を受け、対象となるタイムラインは1日平均約1万8000件、オープンチャットは約7万4千件でした。
業務の一部を海外企業に委託することは「オフショア開発」と呼ばれ、コスト削減や人材確保を目的に、中国や東南アジア諸国を主要な委託先として広く行われています。実際にLINEも今回の運用が行われた理由として、LINEは十分な人材が日本におらず、様々な国のメンバーとの協力していかなければ国内や海外の競合サービスに負ける恐れがあったと答えています。しかしコストを抑えていることで、利用者の個人情報流出の懸念が高まるようでは安心してサービスを利用することができません。
個人情報漏えいと企業の責任
事業者が、個人情報を漏えい、滅失又は棄損した場合には、対行政、対本人(漏えいされた本人)との関係で、法的責任を負う可能性があります。
行政に対する責任
個人情報保護法上の個人情報取扱事業者は、以下の義務を負っています。
- 安全管理措置義務(法20条)
利用目的の達成に必要な範囲内において、個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務
- 従業員に対する監督義務(法21条)
従業者に個人データを取り扱わせるに当たり、当該個人データの安全管理が図られるよう、当該従業者に対し必要かつ適切な監督を行う義務
- 委託先に対する監督義務(法22条)
個人データの取扱いの全部又は一部を外部に委託する場合に、当該個人データの安全管理が図られるよう、受託者に対し必要かつ適切な監督を行う義務
企業が個人情報漏えいを起こすと、当該企業の安全管理措置義務違反、従業員がその漏えいに関与していた場合にはその従業員に対する監督義務違反、委託先が漏えいを行った場合には委託先に対する監督義務違反が生じます。2020年6月の法改正により、法人処罰規定は、1億円にまで法定刑が引き上げられました。
民事上の責任
個人情報の漏えいによってユーザーの中に被害者が出てしまった場合、国からのペナルティとは別に、被害者に対し、損害賠償責任を負う可能性と謝罪金を支払う可能性があります。企業が個人情報を漏洩させてしまう行為は、「不法行為」にあたります。不法行為によって誰かに損害を与えてしまったとしたら、その損害を賠償する責任が発生します。
『2018年 情報セキュリティインシデントに関する調査報告書』によれば、個人情報漏えいインシデントを起こした企業が負った平均賠償額について次のように記載されています。
一件あたり平均想定損害賠償額 6億3,767万円
一人あたり平均想定損害賠償額 2万9,768円
一社あたり、6億も超える賠償が発生しています。金銭的にも流出を起こしてしまうと膨大なリスクとなることがわかります。
さいごに
LINEは東日本大震災をきっかけに開発され、安否確認などを簡単にできる手段として利用が広がりました。個人同士の連絡のほか、企業が宣伝に使ったり、国や自治体が情報伝達の手段として導入したりと、すでに社会インフラになっています。そうしたサービスで個人情報が適切に扱われていなかったとなると、多くの人に影響を及ぼしてしまいます。またLINEの企業としての信用も落ちてしまいました。
LINEの事例を基に、各企業も改めて個人情報の取扱いについて適切に管理されているか見直してみる必要があります。個人情報の流出は従業員による紛失/置き忘れ、誤操作、管理ミスが大半をしめますが内部犯罪不正行為によっても起こり得ます。これらを未然に防ぐには、日頃からコンプライアンスを徹底させること以外にも、データの暗号化や、適切なアクセス権限でデータベースを管理できるようなシステムの導入等、システムによって管理できる体制を取り入れることも有用です。
