事故から学ぶ

LINEの個人情報問題で調査委員会が最終報告、中国リスクへの対応不十分

事故概要

業種 民間企業
発生時期 【情報】
漏えい人数 【情報】
事故概要

LINEの個人情報の不適切な取扱いに関する問題を受けて、第三者委員会であるグローバルなデータガバナンスに関する特別委員会は最終報告書を提出。LINEとZホールディングスに組織的改革を求める方針を示した。
報道陣に向けて行われた会見では、同委員会座長の宍戸常寿氏と委員の川口洋氏が登壇し説明した。
■ データの韓国保管、「担当者は知らなかった」
LINEは、コミュニケーションアプリ「LINE」において、日本国内の利用者の個人情報は日本国内に保管されているなどと説明していたが、実際には韓国のサーバーに保管されていたことや同社の中国における子会社やその協力会社などが、日本人ユーザーの個人情報にアクセス可能な状態だったなど不適切な情報管理が発覚し、代表取締役社長の出澤剛氏が会見で謝罪した。
これを受けて、Zホールディングスは、第三者委員会を立ち上げ、LINEにおけるデータの取扱いの在り方などについて検証、提言を行った。
同委員会では、LINE内のテキストや画像、動画といったファイルやユーザーから通報があったものに対して委託先の中国企業が業務に基づくアクセスをしていたことについて、LINE側が経済安全保障への適切な配慮ができておらず、事後的にも見直す体制が確立されていなかったこと、LINEの画像や動画などのファイルが韓国のデータセンターに保存されていたことについて、LINEが同社のサービスを「日本のサービスと受け取られるよう宣伝していた」ことを問題視。
経済安全保障が軽視された原因について、宍戸氏は「経営陣はより上の目線で、プライバシーや中国政府によるデータアクセスの可能性を把握して対応するという社全体の体制整備がなされていなかった」とした。
LINEが、客観的事実を誠実に伝えるよう務めることと、Zホールディングスが主体となり、ユーザー目線での横と縦のガバナンスを適切なバランスで構築することを提言したとした。
日本ユーザーのデータは日本国内にあると説明したLINE役員は善管注意義務ではないか、そうであれば処分は求めないのか? という声に対して、宍戸氏は「客観的事実に反する説明だったと認定した。しかし、特定の個人の責任追及は我々の目的ではない。個々人の問題と言うよりも、LINEの構造的な問題として捉えてそこに対して提言した」とした。 また、調査では、中国関連会社への業務委託について、出澤社長は関知していなかったのか? という疑問に対して同氏は、「経営陣がどのように認識していたかは調査権限がなく、深く追求していない。客観的に見て経営陣含めてLINEがどう見ていたかについては、セキュリティ担当部門がリスクを認識し分析・対応していた。それにも関わらず、経営陣は経営上の課題としてそれを適切に取り上げなかったのは、ガバメントアクセスのリスクへ必要な対応をできなかった」と評した。
■ 不正アクセスなど確認できないものの、リスク管理不十分
同委員会の調査によれば、ユーザーデータへの不適切なアクセスや外部への漏えいの事実は認められなかったという。
この根拠について、川口氏は「セキュリティベンダーとともにさまざまな調査を実施した。残されているログなどで確認した結果、不適切なアクセスがないか過去1年間分行った」とした。
一方で、LINEが中国の同社グループ企業への業務委託の決定の過程では、中国政府による情報のアクセスの可能性などを考慮した検討がなされておらず、同決定後もそれを見直す体制が不十分だったと指摘。
なぜ、中国企業へ業務へ委託したのかという疑問に対して、川口氏は「LINEはグローバルな企業。優秀なエンジニアを確保するという観点で日本に限らず中国、韓国そのほかの国でもエンジニアを確保してサービス開発をやろうとしたのではないか。広く言えば人財の確保が原因にあったと考えている」とした。
また当初、日本国内に保管されていると説明されながら、実際には韓国に保管されていた日本ユーザーのデータの国内移管は、適切に実施されているという。
調査では、LINEのトークや動画などのデータが韓国に保管されていることを公共政策や政策渉外部門の役職者は知らなかったと結論づけた。一方で「実際にその担当者は実際のデータ保管場所を知っていたのではないか」とする反論意見が委員会内で出されたと明かした上で「重要な意見」として注釈のかたちで報告書本文に記載した。
■ リスク管理体制・説明責任強化
社会に対して、LINEの個人情報を扱う主要サーバーは日本国内にあるという説明がなされていたことや中央省庁などに対しても同様の説明をしていたことについて同委員会は「客観的な事実を誠実に伝えるよう努めるべきであり、このようなコミュニケーションは不適切」と評価。
事前チェック体制の強化や規定、マニュアル整備・見直しに加えて政策渉外と公共政策の機能分離などを求めた。
同委員会が企業風土、従業員の心理的安全性などの調査のために行った、LINE従業員に対するアンケートは、回答率が30%と低迷。これについて川口氏は「委員会の活動の認知度が低かった」と回答した。こうした定量的な傾向から企業風土などを捉えることは不適切として、LINEにおける企業風土や心理的安全性の確保の提言を行ったという。
LINEでは、全社的なリスク管理体制や海外子会社の管理体制に加えてユーザーや中央省庁などへの説明責任の強化の一環として情報収集・管理体制などを強化していくとしている。
一方のZホールディングスにおいては、事業会社が守るべきポリシーやルールを策定。個々の事業会社がそれらを遵守しているかの評価や「3ライン・モデル」を基礎としたガバナンスの仕組みの導入を求めると委員会に対して報告したという。
同委員会では、LINEとZホールディングスの両社は、同委員会の指摘や自らが抱える課題を的確に捉えて改善を進めていると評価した。
■ 縦と横でガバナンス改善
委員会の述べる「3ライン・モデル」とは、社内でデータを実際に取り扱う部署を「第一線」として、プライバシー保証や政策渉外といった部門が「第二線」として、第一線の部署を監視・評価。それらを内部監査部門が「第三線」として、横方向でまとめることで社内のガバナンスを実現することを求めた。
同時にZホールディングスには、一元的・かつグローバルな経営体制を目指して、Zホールディングス内の「第二線」の部門が各社の「第二線」と連携して、グループ内の縦方向のガバナンスを構築することを求めた。
このほか、Zホールディングスには、同グループ全体において複雑化する地政学的なリスクに対応できるよう、外国の法律や日本との関係などについて調査する体制を強化。情報を収集し、分析・評価する体制の整備などの提言がなされた。
プラットフォーマーとしての社会的責任について、宍戸氏は「プラットフォーマーは、デジタル化社会において、データを取り扱う責任がますます増してくる。変化する国際情勢への変化に対応し、ガバナンスを向上させ、ユーザーへ説明する(必要がある)。信頼をつくるために、やれることをやる動的な社会的責任が重くなっている」とコメント。
同じく川口氏は「社会的責任の変化は重要。Zホールディングス各社はテクノロジーを軸に成長している。ユーザーが少ないうちはテクノロジーの推進だけでなんとかなるかもしれない。非常に大きな会社になると、それだけでは不十分。ガバナンス、プライバシー、リスクマネジメントなどを高度に融合させる必要がある」とした。

引用元 yahoo

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

【情報】

チェックリストにある要求ルール:

【情報】

■ 推奨対策

対策:

【情報】

具体例:

【情報】

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。