見出し画像

LINE問題について思うこと

でんぞう@しがない個人情報保護士

画像12

2021年3月17日、中国企業が日本国内のLINE利用者の個人情報にアクセスできる状態にあったことから、個人情報が流出しているのではないかといった趣旨の問題が報じられました。

このLINE問題について、2021年4月23日、個人情報保護委員会はLINE社に対し行政指導を行いました。

この問題は、個人情報保護法だけで結論付けるのは難しいと思います。

委託先が中国・韓国ということからか?外部誘因バイアスが強く働いている印象を感じます。

とはいえ、LINEは国内の通信インフラ(国内の月間利用者約8600万人)として確固たる地位を確立している以上、プライバシー保護について十二分な配慮を求められるのは当然だとも思います。

と、いうことで、
LINE問題について、個人情報保護委員会の報告を中心に整理してみました。

◆何が問題として指摘されていたか

画像7

(1)開発業務を委託されていた中国関連企業の技術者が、国内利用者データにアクセスできる状態にあった

💡 中国上海のLINE Digital Technology (Shanghai) Limitedのスタッフ4名が開発業務において少なくとも32回アクセス


(2)通報などモニタリング業務の委託先である国内の通信業務代行企業から、同企業グループの中国現地法人(大連)へ再委託していた。

💡 対象となるタイムラインは、1日平均約1万8000件、オープンチャットは約7万4千件


(3)LINE Payの取引情報や、画像、動画などが韓国NAVERのデータセンターに保管され、韓国関連企業(LINE Plus Corporation)がアクセス権を保有していた。

💡 LINE Payの取引情報には、利用者の出入金、決済、送金のデータの他、一部の利用者情報が含まれる

グループ企業(下請けを含めて純国産企業がどれだけあるのか?)に業務委託することは、一般的にありふれた事業形態ではないでしょうか?

✔ 業務に必要最低限のアクセス権が付与されていたか?

✔ 不正アクセスがないか監視していたか?

といった管理体制が主な論点になりますが、情報セキュリティに関わっている方なら御存知の通り、完全なゴールが無い議論になります。

しかし、LINE社に限らずどこの企業でも優先度をつけて継続的な改善活動を実施しているはずです。

⚠️ 中国政府の介入については、安全保障(外交)問題にまで発展するので、一企業の努力でどうにかできる問題では無いと思います。


(4)利用規約において「利用者の居住国と同等のデータ保護法制を持たない第三国に個人情報を移転することがある」と説明するも、国名までは明記していなかった

(第三者提供ではない)委託先企業の国名まで明記しているプライバシーポリシーを探す方が大変です。

委託先の企業に、LINE社の監督のもと適切に個人情報を管理する体制(基準適合体制)が整備されていれば、本人の同意を取得する法的義務は発生しません。

また、LINE社の監督のもと、つまり利用者から見て、委託先企業がLINE社と同一の企業とみなすことができる場合は、委託先の企業名や国名を明記する法的義務も発生しません。

したがって、プライバシー保護の観点から国名などを明記する必要性があるかどうかについては、LINE社の自主的な判断に委ねられることになります。


画像12


画像11

◆個人情報の保護に関する法律に基づく行政上の対応について

令和3年4月 23 日 個人情報保護委員会

個人情報保護委員会は、LINE株式会社(以下「LINE社」という。)等に対し、令和3年3月 19 日に個人情報の保護に関する法律(以下「法」という。)第 40 条第1項に基づく報告徴収を行うとともに、同年3月 31 日より立入検査を実施している。

(報告及び立入検査)
第 40 条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる

立入検査は継続中であるところ、今般、一定の確認が終了した。

LINE社が委託等した個人データは秘匿性が高く、数量も多いことから、不適切な取扱いが生じた場合の影響も大きい。

LINE社には、それに応じた高い安全管理措置が必要であり、この観点から改善を要する事項が認められ、法第 41 条に基づく指導を行った。

(指導及び助言)
第 41 条 個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。


画像3


指導の内容及び現在の確認の状況は以下のとおり。 

1.法第 41 条に基づく指導の内容

⑴ 個人データの取扱いを委託する場合には、法第 22 条に基づき委託先に対する必要かつ適切な監督を行う義務があるところ、法第 20 条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、例えば次のような手法により必要かつ適切な監督を行うこと。

○委託先(再委託先を含む。以下同じ。)のシステム開発者に個人データへのアクセス権限を付与する場合には、その必要性及び権限付与の範囲を組織的に検討した上、必要な技術的安全管理措置を講ずること。

○委託先のシステム開発者に個人データへのアクセス権限を付与する場合には、不正閲覧等を防止するため、アクセスしたデータの適切な検証を可能とするログの保存・分析など組織的安全管理措置を検討した上、必要な措置を講ずること。

○委託先における個人データの取扱状況を把握するため、定期的に監査を行うなど、委託契約の実施状況を調査した上で、委託内容等の見直しの検討を含め、適切に評価する措置を講ずること。

(委託先の監督)
第 22 条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(安全管理措置)
第 20 条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

⑵ LINE サービスの提供に関してメッセージ等の個人情報を取得する場合には、取得する個人情報の範囲を分かりやすく通知するとともに、通知内容が適切に表示されているか確認する体制を整備すること。

後述のLINE社のニュースリリース「指導内容(2)」によると、「通報」の際に表示される説明文言が適切ではなかったとのことらしいです。


画像4


2.現在の確認の状況

⑴ 法第 22 条の委託先の監督については、上記1.⑴のとおり一部改善を要する事項があり、改善を求めた。

⑵ 法第 24 条の外国にある第三者への提供の制限

○「基準適合体制」については、一部改善を要する事項はあるものの、基準適合体制を整備するための措置が概ね講じられていた

個人情報保護委員会では、個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う基本的な体制は整備されているとの判断。

○「本人の同意」については、プライバシーポリシーにおいて、利用者の個人情報の利用目的(サービスの提供・改善、コンテンツの開発・改善、不正利用防止等)及び業務委託先の外国の第三者へ提供することが明記されており、利用者にとって外国にある第三者に提供する場面を特定できなかったとは言い難い

国名まで明記する必要性までは言及されていない。
つまり、法制度上は国名まで明記していなくても大きな問題は無し



画像2


画像11

◆当社に対する個人情報保護委員会からの指導および当社の改善策について

2021.04.23 

LINE株式会社(以下、当社)は、本日付で、個人情報保護委員会より指導を受けたことをお知らせいたします。ユーザーの皆さまをはじめとする関係各位には、ご心配・ご迷惑をおかけしておりますことを改めて深くお詫び申し上げます。今回の指導を真摯に受け止め、適切な改善策を講じることで皆様からの信頼回復に努めてまいります。

(中略)

指導内容(1)について

当社は、当社サービスにおけるコンテンツのモニタリング業務を行うための社内ツールであるLINE Monitoring Platform(以下、LMP)を含む各種システムの開発・保守業務を、中国子会社であるShanghai LINE Digital Technology Limited. Dalian Branch(以下、LINE China)に再委託しておりました。

また、当該業務委託においては、業務の過程で個人データを取り扱い得ることから、当該業務に必要な範囲におけるアクセス権限を付与したうえで、個人データの取扱いも委託しておりました。


このたび、再委託先であるLINE Chinaの監督について、法第20条に定める「自らが講ずべき安全管理措置と同等の措置」が十分に講じられていなかったとのご指摘を受けたため、今後は、委託先(再委託先を含む。以下同じ。)の監督について、以下の点を改善してまいります。


◯ 委託先のシステム開発者に個人データへのアクセス権限を付与する場合におけるアクセスの必要性や範囲・期間などについて、組織的なリスクアセスメントを行い、その結果を踏まえて必要な技術的安全管理措置を実施できる体制を構築してまいります。

◯ 委託先のシステム開発者に個人データのアクセス権限を付与する場合における、従前のアクセスログの記録・管理の方法を見直し、事後検証・不正検知をより実効的に実現できる組織的安全管理措置を検討のうえ、これを実施してまいります。

◯ 委託先のシステム開発者に個人データのアクセス権限を付与する場合における、従前の当社の委託先監督の基準を見直し、定期的な監査を含め、より実効的に委託先の業務実施状況を評価できる組織的な施策を実施してまいります。


画像10

指導内容(2)について

当社は、当社サービスのユーザーの皆さまに対して「通報」機能を提供しております。

「通報」画面においては、「通報」に際して当社に送信されるトーク等の情報の範囲を記載した文言が表示されますが、過去にLINEアプリを修正した際に生じたバグにより、本来当社が意図していた通報時の説明文言とは一部異なる文言が表示されていたことを確認しました。

本来のものとは異なる説明文言が表示されていた期間は、Android版では2018年8月20日から2021年3月28日、iOS版では2017年12月4日から2021年3月30日、デスクトップ版では2021年3月4日から2021年3月30日です。

当社は、2021年3月下旬に当該事実を認識し、2021年3月28日から2021年3月30日までの間に、本来意図した文言が表示されるよう、LINEアプリのバージョンアップデートを実施しています。

なお、本件は、監督官庁への報告に係る調査期間中に判明し、監督官庁に速やかに報告していたものです。

今後は、個人情報を取得する際に、取得される個人情報の範囲を分かりやすく通知するとともに、通知文言が適切に表示されることを確認するチェック体制を強化するなど、抜本的な再発防止策を検討・実施してまいります。

「通報」機能は、多くの利用者には、あまり馴染みのない機能だと思われるので、それほど影響はなかったと思いますが、内容が内容だけに通報者(通報された人も?)にしたら看過できないミスだと思います。



◆個人情報保護法だけでは不十分

画像5

個人情報保護法で、すべての事業形態、未知のリスクまでカバーすることは無理だと思います。

LINE問題に関心を持った多くの方にとって、恐らく個人情報保護委員会の行政指導は物足りないと感じたのではないでしょうか?

しかし、これが一般法である個人情報保護法の限界なのだと思います。

・法で義務化されていなければ、配慮しなくて良いのか?

・ガイドラインの事例の通りにしていれば足りるのか?

だから事業者には、個人情報保護法やガイドラインを踏まえた上で、より高い水準の自主的な補完ルールの整備が求められているのだと思います。


画像8

(あくまで個人的な意見です)

LINE社に不手際があったとは思いますが、他に比べればきちんとしている方だと思います。
それは、LINEの丁寧なプライバシーポリシーを見れば想像する事ができます。

【参考サイト】
【LINEの危険性まとめ】実は業界標準セキュリティという事実
この記事は約29分で読めます


なぜ、世の中のネットサービスが無料で利用できるのか?

そこには、サービスを提供する事業者がマネタイズするために、一定の個人データ活用があることを改めて認識し、利用者も自衛する意識を持つ必要があると思います。


今回のLINE問題に関する一部メディアの報じ方、煽り方に違和感を感じましたが、この報道を通じて、事業者は自社における委託先の監督体制や、プライバシーポリシーを見直す良いきっかけになったのではないかと思います。


LINE問題について思うこと

それは

LINEの振り見て我が振り直そう

ということです。


画像9

本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります

では、また!



この記事が気に入ったらサポートをしてみませんか?