個人情報保護委員会と総務省がLINEに行政指導 委託企業のデータ取り扱いについて

» 2021年04月26日 14時21分 公開
[田中聡ITmedia]

 個人情報保護委員会が4月23日、LINEに対して指導を行った。

 LINEアプリでユーザーが「公開」設定で投稿したコンテンツと、ユーザーが「通報」したコンテンツが、海外の委託先企業で閲覧可能な状態となっていた。

 個人情報保護委員会は、LINEが委託した個人データは秘匿性が高く、数量が多いことから、不適切な取り扱いが生じた際の影響が大きく、個人情報保護法に基づき、指導を行った。

 同法では、委託先のシステム開発者に個人データへのアクセス権限を付与する場合、技術的安全管理措置を講じる必要があること、不正閲覧等を防止するためにアクセスしたデータのログを保存、分析するなどの安全管理措置を検討する必要があることなどが定められている。

 今回、(LINEの子会社LINE Plusからの)再委託先であるLINE Chinaの監督に対して十分な安全管理措置が講じられていなかったとの指摘を受け、LINEは委託先のシステム開発者に個人データへのアクセス権限を付与する際、以下の措置を講じる。

  • アクセスの必要性や範囲・期間などについて、組織的なリスクアセスメントを行い、その結果を踏まえて必要な技術的安全管理措置を講じる
  • 従前のアクセスログの記録・管理の方法を見直し、事後検証や不正検知をより実効的に実現できる組織的安全管理措置を行う。また定期的な監査を含め、より実効的に委託先を評価できるようにする

 4月26日には総務省もLINEに対して行政指導を行った。総務省は、データ管理を国外の企業に委託したことで、通信の秘密の侵害や個人情報の漏えいなどは認められなかったが、モニタリング支援システムのアクセス管理を徹底し、不審なアクセスやなりすましの防止に万全を図るよう求めた。

【更新:2021年4月26日16時20分 総務省の行政指導について追記しました。】

通報機能で誤表示も

 あわせて、通報機能の誤表示についても指導があった。「通報」画面には通報に際し、LINEに送信されるトークなどの情報の範囲を記載した文言が表示されるが、過去にLINEアプリを修正した際のバグにより、本来の説明文言とは一部異なる文言が表示されていたという。

 具体的には、「通報すると、対象となるユーザーの情報に加えて、受信した直近10件までのトークメッセージ、通報するタイムライン投稿、または通報するトークメッセージとその前後に受信した9件までのトークメッセージのいずれかを送信します」と表示するところ、「通報すると、当該ユーザーおよびグループの情報を送信します」と表示されていた。グループ招待やユーザー(プロフィール画面)に関する通報の際に表示される文言が、誤ってトークメッセージに関する通報の際に表示されていた。

 誤表示の期間はAndroid版が2018年8月20日から2021年3月28日まで、iOS版が2017年12月4日から2021年3月30日まで、デスクトップ版が2021年3月4日から2021年3月30日まで。

 LINEは2021年3月下旬にこの不具合を確認し、2021年3月28日から2021年3月30日までの間に、本来意図した文言が表示されるよう、LINEアプリをアップデートした。

【更新:2021年4月26日15時23分 通報画面の誤表示について追記しました。】

LINE LINEによる今後の対策

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

最新トピックスPR

過去記事カレンダー

2024年