LINEの個人情報問題、グローバル開発体制で起きた“見落とし”とは？（1/2 ページ）

[佐野正弘，ITmedia]

　メッセンジャーアプリ「LINE」を運営するLINEは2021年3月23日、LINE利用者の個人情報が一部中国から閲覧できる状態にあるなど、個人情報管理に関する問題を指摘されたことを受けて記者説明会を実施。一連の状況に至った経緯と、今後のデータガバナンスの方針について説明した。

中国からのアクセスを遮断、韓国内のデータも国内へ

　2021年3月17日、LINEの個人情報の一部が中国から閲覧できる状態にあったことなどが報道されて以降、個人情報管理の在り方が大きく問われているLINE。一連の問題を受ける形で、同社のデータ管理に関する課題と今後の対応について、2021年3月23日に説明会を開催した。

LINEは2021年3月23日、一連の個人情報管理に関する問題に関する説明会を実施。その冒頭で代表者らが陳謝した

　説明会に登壇したLINEの代表取締役社長である出澤剛氏は一連の問題について、「LINEはグローバルで協調する体制でやってきたが、世の中の情勢変化を見落としていたことが多かった」と陳謝するとともに、現状の課題について説明。「LINEの個人情報にアクセスする業務を中国で実施していたこと」「トーク上の画像や動画を国外で保存していたこと」……にもかかわらず、「プライバシーポリシーでその国名を明記していなかったこと」の3点が「大きな課題と認識している」と出澤氏はしている。

説明会に登壇するLINEの出澤社長

LINEは中国からの個人情報アクセス、画像や動画の国外での保管、そのことをプライバシーポリシーで明記していなかったことが課題だったとしている

　そこで同社では、課題解決に向けた大きく3つの取り組みを進めるとしている。1つ目は「安心・安全な2つの国内化」で、中国からの個人情報へのアクセスを遮断し、中国でのコミュニケーションに関わる開発や保守業務を全て終了した他、韓国のデータセンターで保管していた画像や動画などの情報を、2021年6月までに国内に移転。LINE公式アカウントのタイムラインも2022年6月までに段階的に移転するとしている。

中国からの個人情報アクセスを遮断し、コミュニケーション関連の業務は終了。韓国にあった画像データなども国内に移転するという

　2つ目は「2つの透明性強化」で、プライバシーポリシーを改定してデータを管理する国名を明記するなど説明を強化するとともに、データ・セキュリティのガバナンス体制と情報保護を強化し、Zホールディングスが設立した「グローバルなデータガバナンスに関する特別委員会」での検証や、「CBPR認証」の取得申請など、国際的な外部認証の取得も目指すとのことだ。

プライバシーポリシーにデータを保管する国名を明記。データガバナンスも強化するとしている

　そして3つ目は「2つの国内化」で、政府や自治体向けLINE公式アカウントのデータへのアクセスは国内のみに制限する他、データ保管場所についても2021年8月までに国内に移転予定とのこと。自治体向けコロナワクチン予約システムも、関連するデータは国内のデータセンターのみに保管し、国内でしかアクセスできないようにするとしている。

政府や自治体のLINE公式アカウントデータへのアクセスは国内のみに制限。自体向けのコロナワクチン予約システムも、データは国内のみで管理するとのこと

　この他にも、一部韓国で保管している「LINE Pay」のデータも2021年9月までに国内移転する予定であるとしており、トークや公式アカウントに関する主要なデータは2021年中に国内に移転するとしている。

なぜ画像や動画を韓国で保管していたのか

　では、どういった経緯からLINEのデータ管理が海外でなされるようになったのか。出澤氏はその背景にある、LINEの開発とデータ管理の体制について説明した。LINE社は現在、日本の他に韓国や中国、台湾、タイなど世界7つの国・地域に開発拠点を持ってLINEの開発を進めており、データセンターも日本と韓国の他、米国、ドイツ、シンガポールと5つの国に設置している。

　そしてLINEのトークデータは全て日本に保管しているが、送信時に暗号化され、相手に届いたときに暗号が解除される「End-To-End暗号方式」（E2EE）で保護されていることから、サーバにあるのは暗号化されたデータのみでLINE従業員も閲覧できないとのこと。ただし画像や動画、ファイルなどのデータは韓国のデータセンターに保管しており、その認証や管理を日本でしていたという。

LINEのトークでやりとりしている画像や動画は韓国のデータセンターに保管。それを日本から管理する形を取っていたという

　こうしたデータ管理はLINEの公式アカウントでも共通しており、トークや個人情報は日本、画像や動画などは韓国に保管するという体制が取られていたという。また「LINE Pay」に関しても、本人確認情報などは日本で保管していたが、入出金などの取引情報に加え、「LINE Payカード」の番号および発行先住所などの情報や、加盟店情報などは適切なセキュリティの下に韓国で保管していたとのことだ。

「LINE Pay」に関しても、取引情報や利用者・加盟店情報の一部を韓国で保管していたとのこと

　ただ一部報道では、それだけでなく「LINEドクター」に関連する保険証や医師免許などの画像データが韓国で保管されているとの情報も出ている。この点についてLINE社の取締役CSMOである舛田淳氏は、LINEドクターでの受信時に、医師と患者の双方が会員登録する際の画像データ、具体的には保険証や医師免許などを、トークと同様に韓国で保管していたとのことで、これらは2021年2月に日本へ移管したとしている。

　そもそもなぜ、テキストは日本で画像や動画は韓国という保管体制を取っていたのか。舛田氏は、LINEが日本だけでなく台湾やタイなどでも利用されており、以前には中東や欧州でも人気があったことから、大容量のデータをスピーディーに利用できる体制を整える上で「レイテンシ（遅延）が小さく高いセキュリティを確保できるデータセンターと人材がある所で、一番リーズナブルだった親会社（NAVER）がある所（韓国）を選んだ」と舛田氏は話している。