少なくとも32回アクセス
通信アプリ大手「LINE」の個人データの管理に不備があり、日本国内の利用者の個人情報などが中国の関連会社で閲覧できる状態になっていたことがわかった。
LINEによると、システム開発を中国・上海の関連会社に委託しているが、中国人の技術者が日本国内の利用者の名前や電話番号のほか、一部の暗号化されていない「トーク」と呼ばれる書き込みなどにアクセスできる状態だったという。
関連会社の従業員4人は、2018年8月から少なくとも32回にわたりアクセスをしていた。
個人情報保護法では、外国への個人情報の移転が必要な場合は、利用者の同意を得るよう定めていて、LINEは「個人情報に関する指針で利用者に十分に説明しておらず、対応に不備があった」として政府の個人情報保護委員会に報告した。
近く、第三者委員会を立ち上げて調査するとしていて、「ご不安やご心配をおかけすることになり誠に申し訳ございません」とコメントしている。
公共データを扱う企業として信頼醸成を
三田友梨佳キャスター:
このニュースについて、IoT NEWS代表で、情報セキュリティーにも詳しい小泉耕二さんに話を聞きます。LINEの個人情報が中国で閲覧可能になっていたということですが、どうご覧になっていますか?
小泉耕二氏:
閲覧可能になっていたことが問題となっていますが、データが漏えいした事実はないということが重要だと思います。その上で、3つの問題をはらんでいると思います。
1つ目が、規約の問題です。個人情報保護法にある利用者の同意について、LINE側も十分に説明しておらず、対応に不備があったと認めているので、まずは法令を順守していたのかを検証することが必要です。
2つ目が、内部統制の問題です。昨今のシステム開発では、中国に限らず、さまざまな国のエンジニアが開発に携わることが当たり前です。先ほど、LINEからユーザー宛てに届いた説明メールによると、データやネットワークへのアクセス管理は適切に行っていたとしています。ただ、一般論としては、個人情報の漏えいというのは身内が起こすケースがほとんどなんです。
3つ目は、公共データを扱う企業としての信頼性です。
三田友梨佳キャスター:
情報漏えいを防ぐための対策としては、どういったことが考えられるのでしょうか?
小泉耕二氏:
そもそも、開発ルームに入れる人を制限するとか、アクセスできる端末をチェーンなどで固定するとか、作業は全てログを残すといった一定の物理的な制約を加えるという手立てがあります。しかし、これでも実は完璧ではありません。作業ログを取ることで、漏えいがあった後の検証は可能ですが、それを未然に防ぐということはできません。
そこで、LINEも行っているデータの暗号化というものを行うことが有効です。これによって、例えデータがダウンロードできたとしても、中身を読むことはできないということになります。
三田友梨佳キャスター:
このように開発している地域や国が違っても、情報漏えいはある程度解決可能ということでいいのでしょうか?
小泉耕二氏:
そうですね。ただ、3番目の問題となる公共データを扱う企業としての信頼性についてですが、LINEが一般ユーザー向けだけでなく、今後、自治体やマイナンバーなど、公共データを扱う企業となるのであれば、個人情報へのアクセス業務に関しては、少なくとも国内に移転する必要があると思います。
その上で、グローバル企業として海外企業の進んだ技術などを積極的に取り組むなど、ハイテク企業としてさらに成長することが期待されると思います。
三田友梨佳キャスター:
LINEは、災害など緊急時のホットラインとしての活用もあったりと、生活インフラとして多くの人にとって欠かせないツールでもあると思いますので、再発防止の徹底が求められます。
(「Live News α」3月17日放送分)
