事故から学ぶ

TOP > 事故から学ぶ > 利用者の承諾を得ず海外に個人情報を保管 > ＬＩＮＥ個人情報保護に不備

2021/03/25

ＬＩＮＥ個人情報保護に不備

事故概要

業種	LINE
発生時期	2021/3/19
漏えい人数	情報
事故概要	通信アプリ大手、ＬＩＮＥの日本の利用者の個人情報などが、システムの管理を委託されていた中国の会社の技術者からアクセスできる状態になっていたことがわかりました。個人情報保護法は外国への個人情報の移転が必要な場合には、利用者の同意を得るよう定めていて、親会社のＺホールディングスは、説明が不十分だったとして改善を図る方針です。ＬＩＮＥなどによりますと、アプリのシステムの管理を中国の会社に委託していますが、２０１８年から中国人の技術者が日本国内のサーバーに保管されている利用者の名前や電話番号、それにメールアドレスといった個人情報のほか利用者の間でやりとりされたメッセージや写真などにアクセスできる状態になっていたということです。会社側は、先月下旬にアクセスできない措置を取ったということです。個人情報保護法は、外国への個人情報の移転が必要な場合には利用者の同意を得るよう定めています。このため、ＬＩＮＥは個人情報に関する指針で利用者に十分な説明をしていなかったとして先週、政府の個人情報保護委員会に報告しました。ＬＩＮＥの利用者は国内でおよそ８６００万人にのぼっていて、親会社のＺホールディングスは社内に委員会を設けて調査し、改善を図る方針です。ＬＩＮＥは「個人情報の取り扱いについてユーザーにより分かりやすい説明をするため、改善を検討していく」とコメントしています。
引用元	NHK

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

（第22条）委託先の監督
（第23条）第三者提供の制限　業務委託規則の整備

チェックリストにある要求ルール：

委託先契約書に秘密保持（守秘義務）の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか？
個人情報は法で定められた場合を除き、同意を得られない限り第三者提供しないことを守っていますか？
委託会社が勝手に再委託しないように契約しかつ管理していますか？
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか。
委託先が契約を守って作業をしているか、定期的に監査をしていますか？
委託先の監査方法には、守秘義務が必ず守られているかの監査方法も含んでいますか？
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか？

■ 推奨対策

対策：

LINE株式会社のサービスのユーザ個人情報の取り扱い方式が問題として取り上げられている。
他国の関連会社が一部個人情報を閲覧可能であったことが問題視されている。
今回注目すべきポイントは、LINEの行政活用が進んでいる点にある。
体制自体には大きな問題はないように見えるが、行政活用を踏まえると、国民の個人情報が他国から閲覧可能であったことが大きな問題になる。
自社サービスが同様の問題に直面しないか、確認が必要である。

具体例：

報道によると「LINEは個人情報保護法に違反しないとしている」「ユーザーへの説明が十分ではなかった」と釈明しているようだが、十分な説明というのは、「韓国にデータを移動させます」「システムは中国企業に開発させるので、会員の利用情報が中国からアクセスされることがあります」ということなのだろうか。
産業界や政界が不安になっているのは「説明したが十分でなかった」と言うことではない。一事が万事で、警戒心が全くないことに怒っている。