LINE個人情報問題を考えてみる。
またもや個人情報保護関連のニュースが流れてます。
個人的には「一企業がやっちゃったのね」ぐらいしか思っていなかったのだが、各社のニュースで街のインタビューの映像を見てるとゆうちょDocomoやセブンイレブンで話題になった際の問題点と混同しているような意見も出てきており、そこじゃないんだけどなぁ・・と思ったのと、はて自分が「ダメじゃん」と思った部分もあるので整理してみることにします。
問題となっているのはLINEの規約分にある以下の項目。
ただし、以下のような場合には、当社は、パーソナルデータを第三者に提供することがあります。
当社のパーソナルデータの提供先には、お客様のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者を含みます。
ではここで個人情報保護法の確認をしていきます。第二十三条並びに二十四条が対象となっていると考えられます。ここで二十四条を見てみます。
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない
今回の問題の対象となっているとなっている件はLINEの関連会社が委託をしている会社の委託先(二次委託)が中国の現地企業である点だと考えます。委託内容としてはいわゆる捜査機関への情報提供を担当するスタッフが使う機能の開発と公開チャット並びに通報案件に対する監視業務の2点のようです。
さてそこでLINEの報道資料を参照してみると
これらのアクセス権限は、開発業務においてリリース時の検証または不具合発生時の原因追跡のために、適切に付与されたものです。
とあります。開発に本番データ使ってたのでしょうか。
まぁ適切なアクセス権管理をしているのであればダメではないのでしょうが普通は本番データで開発を行わないというのが日本では一般的です。
つまりアプリ開発「あるある」の状況が発生していたと想像できます。これが「本番環境のマスキングデータを使って開発をしており」とあればまぁ正論であると納得できるのですが適切って言われても世間が納得するかどうかはなんとも言えません。そして「原因追跡」であれば調査が終了すれば外すのが当たり前の運用です。これをやっていなかったということになります。
また2021年3月現在、中国において個人情報保護法の草案はあれども施行はされていません。いくら「適切な運用」と言われても第三国にあるものは子会社とはいえ現地法人である以上、そのような管理は疑問を感じてしまいますし。
なお、朝日新聞報道の個人情報が含まれている管理サーバが韓国にありそこに情報が保管されている、という点は、韓国側には個人情報保護法が存在していることもあり、おそらく災害時にはそちらのサーバより復旧を行うということであれば説明がつかないわけではないです。(もっとも朝日の記事によれば国内保管へむけて移行中とのこと)。
今後の個人情報保護委員会からの発表がどんな内容になるのか引き続き着目していこうかと思います。
この記事が気に入ったらサポートをしてみませんか?