コミュニケーションの必需品として我々の生活に定着している通信アプリLINEが、個人情報の取り扱いに関して、世間から冷たい視線を浴びている。画像や動画のデータを韓国のデータセンターに保存し、アプリ内でやりとりするデータ管理を中国企業に委託していることがわかったためだ。
アプリ運営元のLINE社のプレスリリースによれば「個人情報の流出があったわけではないが、ユーザーのデータ管理を日本国外で行っていることに対して、説明が不十分だった」とし、画像や動画データ保存先の日本国内への移転や、データ管理のアクセス権の管理厳格化をすると発表した。
引用元:個人情報保護委員会ウェブページ
個人情報保護法では、外国にある第三者へ個人情報を提供する場合にはあらかじめ本人の同意を得なければならないが、LINEでは個人情報にあたらないとされる画像や動画データは韓国に保存。個人情報にあたるデータは日本国内で保存しているが、中国企業から中が見られる状態にあった。「説明不足」とした理由である。
中国には「国家情報法」で政府に対する情報提供義務がある
同プレスリリースによれば、プライバシー性の高い情報である電話番号やメールアドレス、友だちリスト、トークテキストなどは日本のデータセンターに保管。一方で、不適切なコンテンツに対するモニタリングは、中国企業である「LINE Digital Technology (Shanghai) Limited」(所在地:大連)へ委託しているという。
モニタリングに必要なアクセス権限は、LINE社のセキュリティ方針に則り、責任者による承認の上で付与しているとのことだが、問題の本質はアクセス権限ではない。中国からプライバシー性の高い情報にアクセスできる状態にあったことが問題だ。中国には国家情報法という法律がある。中国政府による諜報活動の方針や体制、要因の職権などを定め、中国政府に対しての情報提供を義務付けている。「個人情報の流出が無かった」とはいえ、知らずのうちにLINEのデータを、中国政府に見られてしまった可能性は否定できない。むしろLINEは、世界230以上の国・地域で月間1億8600万人の人が使っているグローバルなサービスであるがゆえ、諜報活動のターゲットにされやすい。
LINEのトークテキストで迷惑行為などがあった場合に、運営元に対してデータを送信し、対応を求められる通報機能。トークテキストや画像・動画データは「Letter Sealing」という仕組みで暗号化してLINEのサーバーに保存しているので、常日頃から中のデータを見られるというわけではない。
プレスリリースを読み進めると、2021年2月から3月にかけてLINE Digital Technology (Shanghai) Limitedから、システム開発業務に対してのアクセス権限を削除したとプレスリリース中で説明しているが、通報の運用業務を国内に移管したという表現は見当たらない。プレスリリースを発表した3月17日時点でどこまで中国企業に権限があるのかどうか不明瞭なので、利用者の不安の拭うには至らなさそうだ。
データがどこで管理されていようとも一度送信したものは半永久的に残る
LINE社は今後、米国「NIST」が定めた世界トップレベルのサイバーセキュリティ基準への準拠を進めるなどで、データ・セキュリティガバナンス体制の強化をするとしている。しかし、我々が生活していく上で個人情報の提供は避けられないとはいえ、提供したデータに対して、法規制の強化やサービス提供企業による厳格な管理がされているだけで安心してはいけない。
DIME読者の皆さんも、インターネット上に送信したデータは半永久的に残ることを自覚し、不必要な情報は送信しないように自衛の意識を高めていただきたい。また「無料」で利用できるサービスや、利用によって現金やポイント還元が貰えるサービスは、対価として我々の個人情報を渡しているということを肝に銘じておきたい。
文/久我吉史