LINEは3月17日、一部で報道された日本国外での個人情報の取り扱いについて声明を発表した。報道では、LINEがシステム管理を委託していた中国企業の技術者が、ユーザーの名前やメールアドレスといった個人情報に加え、トークや写真も閲覧できる状態だったとするもので、すでに中国側のアクセス権を剥奪していると報じられていた。
同社によると、LINE内でのトークテキストや個人情報(名前、電話番号、メールアドレス、LINE IDなどユーザー個人を特定できるもの)については、原則として国内のサーバーで管理しているものの、国内ユーザーの一部の個人情報に関して、グローバル拠点での開発・運営業務上の必要性からアクセスしていることについて、ユーザーへの説明が不十分だったと釈明。あわせて、外部からの不正アクセスや情報漏えいが発生した事実もないとしている。
LINEのデータセンターは世界複数箇所に存在し、日本のサーバーでは、トークテキスト、LINE ID、電話番号、メールアドレス、友だち関係、友だちリスト、位置情報、アドレス帳、LINE Profile+(氏名、住所など)、音声通話履歴(通話内容は保存せず)、LINE内サービスの決済履歴を管理。
韓国のサーバーでは、画像、動画、Keep、アルバム、ノート、タイムライン、LINE Payの取引情報(ユーザー個人の識別は不可)を管理している。なお、画像・動画を保管するサーバーについては、2021年半ば以降、段階的に国内への移転を進めるという。
一部報道では、メッセージにもアクセスできたとしているが、LINEではエンドツーエンドの暗号化プロトコル「Letter Sealing」を2015年から導入。同プロトコルで暗号化されたトークテキストや音声通話の内容は、LINEのサーバー管理者であっても閲覧することはできず、機能自体もデフォルトでオンになっているため、ユーザーからオフにしない限り基本的にトーク内容は暗号化される。
LINEは、日本、韓国、インドネシア、ベトナム、中国、タイ、台湾の7カ国にて、LINEグループ内で統一のルール、ガバナンスのもとサービスの開発・運営を行っている。各国の拠点やサービス提供者と一体で対応するため、海外での開発やモニタリングといった処理が発生するほか、国外のグループ会社の拠点や委託先において、一部の機能や内部ツールの開発、タイムラインとオープンチャットのモニタリングを委託している。
その国外拠点には、同社子会社の「LINE Plus Corporation」傘下の「LINE Digital Technology (Shanghai) Limited」と、NAVER Corporationの中国法人かつLINEの業務委託先である「NAVER China」という2つの中国拠点が含まれる。加えて、LINE子会社の「LINE Fukuoka」では、大連の外部委託先(国内大手業務代行業者のグループ会社の中国現地法人)に、一部公開コンテンツおよびユーザーから通報されたトークテキストのモニタリング業務を委託している。
通報とは、スパムや迷惑行為をLINE側に報告する機能で、Letter Sealingで暗号化されているトークの場合、ユーザーが該当テキストをサーバーにアップロードし、暗号化されていない平文テキストをもとにモニタリングする。
国内ユーザーからの通報は、LINE Fukuokaにてトークテキスト・画像・動画をモニタリングするが、タイムラインとオープンチャットについては大連の外部委託先にも展開しており、タイムラインで1日約1万8000件、オープンチャットでは1日約7万4000件を処理。委託先については、LINE Fukuokaのセキュリティチームにてセキュリティ体制を点検しているという。
そのほか、LINE Digital Technology (Shanghai) Limitedでは、内部ツール、AI機能、LINEアプリ内から利用できる各種機能を開発。また、NAVER Chinaにおいては、日本ユーザーのデータは取り扱っておらず、日本・台湾・タイ・インドネシア以外のユーザーから通報されたトークやLINE公式アカウント、タイムラインをモニタリングしている。
なお、中国拠点で開発しているプログラムに関しては、同社管轄下のサーバー、ネットワーク、PC端末などを監視し、不正アクセスを検知できる体制を構築。ソフトウェア開発の過程においては、LINEのセキュリティチームによるソースコードのチェックおよびセキュリティテストによって、不正なプログラムの混入を防止する対策を施してあるという。
各拠点でのデータベースへのアクセス権限については、LINEのセキュリティ方針に則り、責任者の承認を経た上で適切な権限付与のもと管理されているが、中国での近年の新法制定や日本の個人情報保護法の改正等を含む環境の変化、Zホールディングスとの経営統合を踏まえ、LINEでは個人情報保護に関する国際的外部認証の取得を検討。よりセキュリティレベルを高める対応として、2021年2月から3月にかけてアクセスコントロールの強化を実施した。
これにより、LINE Digital Technology (Shanghai) Limitedの一部の開発業務でアクセスできた以下の権限を削除。同社によるとこれらの権限は、開発業務においてリリース時の検証または不具合発生時の原因追跡のために、適切に付与されたものとしている。なお、1つ目のトークテキストについては、捜査機関への実務対応を行うためのツール開発保守であり、中国拠点は、ユーザーの実データにアクセスしていないという。
なお、国内のLINE公式アカウントは、管理画面やサービスプラットフォームは日本と韓国で開発。データについては、ユーザーとのトークテキスト、会員登録情報などの個人情報は国内のデータセンターで、画像や動画は韓国のデータセンターで管理されている。モニタリングはすべてLINE Fukuoka内で実施しており、チャット、APIを介したトーク、Chatbotへの回答を除いたLINE公式アカウントからの一斉送信メッセージ、タイムライン投稿、プロフィールページが対象となる。
今後は、各国の法制度などの環境変化に合わせた情報開示のほか、グローバル企業としての開発力における国際競争力の維持を前提に、国内ユーザーのプライバシー性の高いデータへのアクセスを伴う業務の国内移転を順次実施。また、データの海外移転に関しては、国名の列挙などを含め、よりユーザーに分かりやすい説明を心がける。さらに、セキュリティ・プライバシーの有識者による特別委員会による検証や、米国「NIST」が定めた世界トップレベルのサイバーセキュリティ基準への準拠を進めるという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス