今回の問題はどういうことだったのか? それを理解するには、LINEでのデータの取り扱いがどうだったのかを知っておく必要がある。
まず、LINEのメッセージや画像などのデータは、基本的に暗号化されてやりとりがされる。送った人のところで暗号化され、それは送られた人のところで展開される。基本的に、送った人と送られた人以外が暗号を展開することはできない。LINEの運営も例外ではなく、犯罪捜査や不具合の検証といった特別な事情がないかぎり、メッセージ内容の閲覧などはできないし、していない。
データも「送った側と送られた側が機器の中で保存しておく」のが基本。LINEのサーバ内に全てのデータが保存されているわけではない。自分のタイムラインやメッセージについて機種交換時などに消えてしまうことがあるが、これは、データが「メッセージを受信したスマホの中にしかないことが前提」になっているからだ。
ただし、送受信の作業やユーザー利便性向上のため、LINEのサーバにも、メッセージなどのデータは残っている。これは永続的なものではなく、時間が経てば消えていくものだという。期間については「サービスによって異なるが数年」とLINE側は説明している。このデータも暗号化されていて、メッセージ同様、特別な事情がない限り中身が見られることはない。
現在のLINEにはペイメント(LINE Pay)から遠隔医療(LINEドクター)まで、さまざまなサービスがある。それらも基本的にはメッセージサービスであるLINEの上にそれぞれに必要な機能を追加する形で成り立っている。それぞれ法制度などの違いもあり、個人情報の扱いについても条件が異なるが、LINE側としては、それらの条件に合わせた運用を行っていた、という。
このような中身を見ると、「あれ、問題ってそんなにないのでは?」と思われるのではないだろうか。
実際、現行法制度下という条件では、クリティカルな問題は発生していなかったと思われる。だが、「100%適切であったか」「誤解を生まない状況であったか」というと、そうは言えない。
では何が問題視されたのか?
現象的には2つの点が挙げられる。
1つ目は、LINEの運用について、一部を中国企業に委託しており、その過程で、一部の情報が委託先側で閲覧可能になっていた、ということだ。
具体的には、スパムを含めた迷惑行為の「通報」が行われた際、通報された情報の監視については、平文で扱われていた。通報内容を認識して対処するには必要なことではあるが、その業務で必要なシステムの開発について、LINE Fukuokaを経由して中国法人に外部委託されていたことが問題だった。その過程で、通報されたトークの内容や関連情報も、開発企業側の担当者が閲覧可能だったという。
データにアクセスできたのは業務上必要な人間だけに限られていたようだが、問題は「中国企業である」ということだ。
中国の場合、2017年に成立した「中華人民共和国国家情報法」の関係から、中国政府の判断により、中国国内にあるサーバのデータは全て中国政府の求めに応じて情報提供する義務を負っている。結果として、中国にあるデータについては、中国政府側がある程度自由にのぞける……と考えていい。
この関係から「LINEの情報は中国から見られていたのでは」という懸念につながったのだが、実際の流れを見れば、それは必ずしも正しくはない。ただし、「中国の企業を個人情報が関わる業務に利用していた」という点において、リスクが存在したことは間違いない。
この点については、LINE側も非を認めている。
出澤CEOは、「(中国の)国家情報法について、2017・18年頃の潮目の変化を見落としていた。情報としては把握していたが、感度が足りなかったと反省している」と答えた。当時からこの話は関連業界では課題とされていたので、LINE側が認識していなかった、というのはお粗末な話ではある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR