LINEの情報管理不備騒動で何が問題であったのか整理する

　長い記者会見が終わりました。

　昨日のnoteでも書いたのですが、ルールから外れた運用、つまり情報漏洩と呼ばれる事案が発生したようでは無かったようです。

　改めて今回の件において、何が問題であったのかを整理してみた。

プライバシーポリシーとパーソナルデータの移転

LINEプライバシーポリシー | LINE（ライン）

　LINEのプライバシーポリシー第5条が最大の争点になるのだと思う。3月29日週には、移転先の国名と目的を明記するということだが、現時点では以下のような内容となっている。

なお、当社は、パーソナルデータの提供にあたり、お客様のお住まいの国または地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転する場合があります（2019年1月23日現在、欧州委員会は、日本がパーソナルデータについて十分な保護水準を確保していると決定しています。）。この場合、当社はお客様の国または地域で承認されたデータ保護に係る標準契約やその他手段を採用し、パーソナルデータの第三国移転を適用法の要件に従って行います。

　第三国、つまり日本以外の国のデータセンターで保管をするということになりますが、海外のデータセンターにデータを置くことは至って普通のことで、全てではないがどこの企業も行っている事である。

　違法性は無い。しかし、何のデータをどこの国のデータセンターで保管しているのかが全く示されていない。この点が最もユーザの神経を逆なでしている。

　さらにその保管先の国が韓国ということで、一部の日本人に対して火に油となっているのかもしれない。

【日本のデータセンターで保管されているデータ】
トークテキスト・LINE ID・電話番号・メールアドレス・友だち関係・友だちリスト・位置情報・アドレス帳・LINE Profile+（氏名、住所等）、音声通話履歴（通話内容は保存されません）、LINE内サービスの決済履歴 等

【韓国のデータセンターで保管されているデータ】
画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報

　これらの韓国に保管されているデータは順次、日本のデータセンターへ移設していくという方針のようだ。画像/動画/ファイルのデータが対象となるようだが、相当なボリュームのデータになるため、移行にも時間がかかりそうだ。

※2021年3月23日　LINE記者会見資料より

　会見では、「なぜ日本ではなく、韓国のデータセンターに保管していたのか？」と質問がありました。LINEの親会社が韓国企業だから当たり前の話ではあって、一体何を質問しているのか分かりかねる。一応、出沢社長は「日本に限らず世界中でデータのやり取りが行われているため、レイテンシーを上げるため」と回答はしていたが、地理的には日本でも韓国でも変わりはないはずだ。

　一部ネットでは、韓国側でデータを搾取するためだ、という書き込みをする者もいるが、データの分散保管や単純に韓国の方が保管コストが安価など、経済的合理性なだけであると個人的には思う。

中国子会社での開発運用と国家情報法

　中国にある委託先関係会社が、LINEの各種システムの開発運用を行っていたとのことです。こちらも、会見の内容を聞く限りではそこに違法性はなく、法的に問われる内容ではない。

　しかし、昨日のnoteでも書いた通りで、中国には2017年より国家情報法という法律が制定されており、中国政府からの要請があれば中国企業はそれに従わなければならない。

いかなる組織及び個人も、法律に従って国家の情報活動に協力し
国の情報活動の秘密を守らなければならない。国は、そのような国民、組織を保護する。

　つまり、LINE CHINAやその他の現地子会社は、発令した時にはそれに従わざるを得ないということのようですが、データそのものは日本或いは韓国に保管されているため、差し出そうにも差し出すデータが中国内にないので、差し出すことは現実難しいのではないかとも思う。データの所有者もLINEとなるので、中国現地子会社の所有ではないが、実際のところはどうなのだろうか。冷静に情報をお知らせいただける方がいれば、教えていただきたい。

　次に、オペレーターによるデータへのアクセスがあったようですが、いずれも悪意があって、ルール外で行ったということではなく、あくまでオペレーションの一環で行ったということです。

　また、アクセスできるデータというのもごく一部で、ユーザから通報のあったトークやユーザに限られており、会見での説明はありませんでしたが、アクセスログの履歴管理や監視、データダウンロードのブロックなど、ハイレベルでのセキュリティ環境が準備されているはずだ。（と信じたい）

　しかし、このモニタリングツール（要は監視ツール）の開発そのものがLINE CHINAで行われていた、という点だけが個人的にはひっかかってしまう。LINEからの開発委託であったはずですが、どこまでLINEがこのツールのセキュリティ監査を行っていたかどうかまでは分からない。一抹の不安は残る。

LINEが開けたパンドラの箱

　今回LINEはパンドラの箱を開けてしまったのかもしれない。しかし、これはいい意味でのパンドラの箱だと思う。

　EUのGDPRのような考え方、つまりデータローカライゼーションについての議論が今後国内でも再燃する良い機会なのかもしれない。あるいは、データローカライゼーションだけに限らず、データの保護政策が議論されても良い。

　データローカライゼーションとは、越境データ流通を規制する動きのことだ。

　今回はLINEのデータが韓国に保管されていて、中国から見られているかもしれない、という危機感からの騒動となるが、我々日本人の個人情報なんざは米国企業に吸い尽くされている実情がある。中国はダメで、アメリカは良いのか？という議論をするチャンスなのかもしれない。

　Facebook、Google、Amazonなど、toCのビジネスを展開している企業に個人のデータを握られている、ということは説明するまでも無いが、EUのように待ったをかける機運が日本でも高まればいいのではないかと思う。

　また、今回の騒動で多くの自治体がLINEの利用を停止して大騒ぎをしているが、政府や自治体系のシステムで外資クラウドを利用することについても、改めて議論すべきだ。

　Azure、AWS、GCP、SFDCが利用されている中心とはなるが、未来永劫アメリカと友好関係を継続できるとは限らない中、外資企業のサービスを利用することが果たして正しいのかどうかが気になる点だ。正直なところ、LINEのデータなんかよりも政府基幹システムでAWSを使用するようがよっぽどリスクのレベルとしては高い。比較にもならない。

　先日もISMAPということでIPAからの発表がありましたが、日本企業4社（NTTデータ、富士通、NEC、KDDI）に対してアメリカ企業3社（Google、SFDC、Amazon）が認定されている。※マイクロソフトは4月以降になる見込み。

政府情報システムのためのセキュリティ評価制度（ISMAP）：IPA 独立行政法人 情報処理推進機構

　果たしてどこまで日系4社が頑張れるかは分からないが、既に政府共通基盤についてはAWSが内定している。

クラウド政府共通基盤が稼働、AWSが日本政府に食い込めた真相

　過度な保護主義を主張しているわけでは無い。スピード感をもってコストバランスや機能性能を重視すべきだとは思う。一方で、今回LINEがパンドラの箱を開けたことによる、データ所在地の是非や外資企業あるいは諸外国による国内データの被掌握リスクなど、議論が活発になれば良いのではないかと考えている。