LINEの個人情報が中国に流出?(21/03/20) [ニュース]
LINE株式会社(*)が運営するコミュニケーションアプリ「LINE」に関して、個人情報の扱いに不備があったことが報じられ、波紋を呼んでいる。
具体的には、中国にあるLINE Digital Technology のスタッフが、問い合わせフォームやアバター機能、捜査機関対応業務従事者用システム(ここで謂う捜査機関とは、日本の検察や警察を指すとのこと)などを開発するに当たって、日本ユーザの個人情報(氏名、電話番号、メールアドレス、LINE IDなど)を入手できる状態にあったという。
また、人権侵害など問題のある内容だとの通報があった書き込みに対して、日本国内の子会社LINE Fukuokaがモニタリングを行うが、タイムラインとオープンチャットに関しては、外部委託先(大連)でも行っていた。通常、LINEの書き込みは暗号化され外部の人間は読むことができないが、通報があった場合は平文に変換するようだ。
ネットサービスを行う際に、日本の運営会社がユーザの承諾を得て個人情報を利用することは、法的に問題ない。しかし、外国の企業がアクセスするとなると、たとえ運営会社の業務を代行する場合であっても個人情報の海外移転に相当し、より厳しい規制の対象となる。日本の法律では、「外国にある第三者への提供を認める旨の本人の同意」が必要(「個人情報の保護に関する法律」第24条)。
例外は、「個人の権利利益を保護する上で我が国と同等の水準にある」と認められる国の場合で、個人情報の保護に関して世界一厳格な一般データ保護規則(GDPR)を持つ欧州連合(EU)などが該当する。しかし、EUが「十分な保護水準にある」という十分性認定を行っていないことから、中国は対象外。むしろ、国家が情報収集する際に民間企業の協力を求める「国家情報法」が2017年に施行されたこともあり、中国に対する見方は厳しさを増している。
LINE株式会社の主張によると、プライバシーポリシーに「お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります」と明記しているので、インストールの際にユーザの同意を得たとされる。ただし、2万字ほどもあるプライバシーポリシーの真ん中付近に記されただけなので、常識的に考えれば、同意を得たとは言い難いだろう。
今回のケースは、技術開発を行うスタッフにアクセス権を付与したもので、実際のアクセス回数はそれほど多くなく、個人情報が詐欺に利用されるといった実害が生じるとは考えにくい。しかし、さまざまなネットサービスが普及する中で、個人情報の保護に関して、ユーザも含めたすべての人がきちんと考えなければならないことを示す事例ではある。
【補記】筆者(吉田)は、LINEを含むあらゆるSNSを全く利用していないので、この出来事がどの程度重大なのかがよくわからない(「タイムライン」や「オープンチャット」が何を意味するのか知らないまま執筆した)。ただし、ネットアプリからさまざまな個人情報がだだ漏れになりやすいことは心得ており、たとえ「製品開発のため」と記されていても、何らかの情報を外部に送信するOSやブラウザの設定はすべてオフにしてある。Googleで検索する際にも、アカウントにログインしない。さすがに、利用規約やプライバシーポリシーすべてに目を通すことまでしていないが、以前、授業の参考にするためMicrosoft製アプリの利用規約における免責条項を読んでみたら、「たとえソフトの欠陥が原因で損害が発生したとしても、当社は決して賠償しません」という意味の文章が延々と繰り返されており、笑ってしまった。
(*)かつては韓国企業NAVER・ゲーム部門の日本法人だったが、「LINE」の開発によって売り上げが大幅に増加、2021年3月、経営統合によりソフトバンクグループの持ち株会社Zホールディングスの完全子会社に。
具体的には、中国にあるLINE Digital Technology のスタッフが、問い合わせフォームやアバター機能、捜査機関対応業務従事者用システム(ここで謂う捜査機関とは、日本の検察や警察を指すとのこと)などを開発するに当たって、日本ユーザの個人情報(氏名、電話番号、メールアドレス、LINE IDなど)を入手できる状態にあったという。
また、人権侵害など問題のある内容だとの通報があった書き込みに対して、日本国内の子会社LINE Fukuokaがモニタリングを行うが、タイムラインとオープンチャットに関しては、外部委託先(大連)でも行っていた。通常、LINEの書き込みは暗号化され外部の人間は読むことができないが、通報があった場合は平文に変換するようだ。
ネットサービスを行う際に、日本の運営会社がユーザの承諾を得て個人情報を利用することは、法的に問題ない。しかし、外国の企業がアクセスするとなると、たとえ運営会社の業務を代行する場合であっても個人情報の海外移転に相当し、より厳しい規制の対象となる。日本の法律では、「外国にある第三者への提供を認める旨の本人の同意」が必要(「個人情報の保護に関する法律」第24条)。
例外は、「個人の権利利益を保護する上で我が国と同等の水準にある」と認められる国の場合で、個人情報の保護に関して世界一厳格な一般データ保護規則(GDPR)を持つ欧州連合(EU)などが該当する。しかし、EUが「十分な保護水準にある」という十分性認定を行っていないことから、中国は対象外。むしろ、国家が情報収集する際に民間企業の協力を求める「国家情報法」が2017年に施行されたこともあり、中国に対する見方は厳しさを増している。
LINE株式会社の主張によると、プライバシーポリシーに「お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります」と明記しているので、インストールの際にユーザの同意を得たとされる。ただし、2万字ほどもあるプライバシーポリシーの真ん中付近に記されただけなので、常識的に考えれば、同意を得たとは言い難いだろう。
今回のケースは、技術開発を行うスタッフにアクセス権を付与したもので、実際のアクセス回数はそれほど多くなく、個人情報が詐欺に利用されるといった実害が生じるとは考えにくい。しかし、さまざまなネットサービスが普及する中で、個人情報の保護に関して、ユーザも含めたすべての人がきちんと考えなければならないことを示す事例ではある。
【補記】筆者(吉田)は、LINEを含むあらゆるSNSを全く利用していないので、この出来事がどの程度重大なのかがよくわからない(「タイムライン」や「オープンチャット」が何を意味するのか知らないまま執筆した)。ただし、ネットアプリからさまざまな個人情報がだだ漏れになりやすいことは心得ており、たとえ「製品開発のため」と記されていても、何らかの情報を外部に送信するOSやブラウザの設定はすべてオフにしてある。Googleで検索する際にも、アカウントにログインしない。さすがに、利用規約やプライバシーポリシーすべてに目を通すことまでしていないが、以前、授業の参考にするためMicrosoft製アプリの利用規約における免責条項を読んでみたら、「たとえソフトの欠陥が原因で損害が発生したとしても、当社は決して賠償しません」という意味の文章が延々と繰り返されており、笑ってしまった。
//////////////////////////////////////////////////////////////////////////////////////////////////// 姉妹ページに「科学と技術の諸相 -Q&A-」があります。
2021-03-21 09:13
