事故から学ぶ

政府、LINEに報告要求 個人情報保護委や総務省 国民向けサービス運用停止相次ぐ

事故概要

業種 LINE
発生時期 2021/3/19
漏えい人数 情報
事故概要

政府はLINE利用者の個人情報が中国の関連会社で閲覧可能だった問題への対処に乗り出した。個人情報保護委員会は19日、LINEと親会社のZホールディングスに対し、個人情報保護法に基づく報告を求めたと発表した。
これまでも任意の報告を受けてきたが、強制力のある調査に切り替え実態解明を急ぐ。総務省も同日、電気通信事業法に基づき、LINEに事実関係とセキュリティー確保体制などについて4月19日までに報告するよう促した。
個人情報保護委は業務委託の範囲や、委託先の中国からどのような個人情報を閲覧できたかなど詳しい報告を要求する。
個人情報保護法は海外に個人情報を移転する際は本人の同意を得ることなどを条件としている。委託先で個人情報が安全に管理されているかを監督する必要もある。こうした規定が守られていたかどうか調べる。
閣議後、記者会見する武田総務相(19日、国会内)
虚偽の報告をした場合や必要な書類を出さなかった場合に50万円以下の罰金を科せる。調査の結果、違反の疑いがあれば指導や勧告などで是正を促す。
LINEは中国の関連会社の従業員4人が国内にサーバーがある利用者データにアクセスできる状態にしていた。
個人情報保護委の福浦裕介事務局長は3月19日の衆院内閣委員会で、中国の4人が日本国内のサーバーに計32回アクセスしたと説明した。「中国共産党から情報提供を求められたことはなく自ら提出したことはないと説明を受けている」と述べた。
他の事業者でも「海外委託先の従業員が日本国内のデータセンターのデータにアクセスして委託業務を行う事例は多い」と指摘した。「実態調査について前向きに検討したい」と語った。
政府内ではLINEを使った国民向けサービスの運用を一部停止する動きが相次ぐ。加藤勝信官房長官は19日の記者会見で「内閣官房で個人情報などの管理上の懸念が払拭されるまでは利用停止などの対応を予定している」と話した。
武田良太総務相は記者会見で、総務省がLINEを通じて実施する採用活動や意見募集などを止めると表明した。すべての自治体に利用状況を26日までに報告するよう求めた。千葉県市川市は17日に住民票の写しの交付申請などでLINEの利用を一部停止した。
厚生労働省は新型コロナウイルス感染症対策として海外から帰国した人への健康調査に使っているLINEの運用を20日に停止する。メールでの聞き取りに切り替える。
自民党は19日、党本部で総務部会など合同会議を開き、LINEや親会社のZホールディングスから事情を聞いた。LINE側は「権限がある人しかアクセスできない」と不適切な事案はなかったと弁明した。
会合でデータの取り扱いなどを定めたプライバシーポリシーの記述が十分ではなかったとの認識を共有し、政府側に調査の徹底を求めた。安全保障の観点から対応策を検討すべきだとの意見もあった。

引用元 NIKKEI

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第22条)委託先の監督
(第23条)第三者提供の制限 業務委託規則の整備

チェックリストにある要求ルール:

委託先契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?
個人情報は法で定められた場合を除き、同意を得られない限り第三者提供しないことを守っていますか?
委託会社が勝手に再委託しないように契約しかつ管理していますか?
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか。
委託先が契約を守って作業をしているか、定期的に監査をしていますか?
委託先の監査方法には、守秘義務が必ず守られているかの監査方法も含んでいますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

平和で善意に満ちた日本社会とは違った価値観をもって他国を支配しようという国が存在することはしっかりと認識しておく必要があるだろう。
現在、日本社会の情報インフラとして定着したLINEについては、サービス開始当初から疑問を呈する専門家は少なくなかった。専門家が当初、懸念したのは、日本でサービスを展開しているが技術や資本が韓国由来であること、サーバーが韓国にあって合法的に韓国の情報機関がアクセスできること、などが懸念材料だった。
その後、日本企業の資本比率が増加し、ヤフーとの統合で資本の問題は解決するように見えたが、すでに重要な日本の社会インフラになっている企業としての「安全管理」の責任感は未だ希薄である。LINEでは「サーバーは日本に移した」と説明してきたが、今回の報告では、画像データなどの管理サーバーはまだ、韓国に残っているとのことだ。

具体例:

報道によると「LINEは個人情報保護法に違反しないとしている」「ユーザーへの説明が十分ではなかった」と釈明しているようだが、十分な説明というのは、「韓国にデータを移動させます」「システムは中国企業に開発させるので、会員の利用情報が中国からアクセスされることがあります」ということなのだろうか。 産業界や政界が不安になっているのは「説明したが十分でなかった」と言うことではない。一事が万事で、警戒心が全くないことに怒っている。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。