Zホールディングスは6月11日、LINEのデータガバナンスを調査するために同社が立ち上げた「グローバルなデータガバナンスに関する特別委員会」の第一次報告を発表した。
これは、LINEがモニタリング業務を委託していた中国拠点の社員が、利用者の個人情報やトーク・写真(モニタリング業務の一環としてユーザーから通報があったもの)を閲覧できる状態にあったとする一連の問題に関するもので、LINE公式アカウント、LINE Payデータに加え、トーク内の画像、動画、ファイルデータについても、韓国のデータセンターに保管されており、それが利用者に周知されていなかったなど、不十分なデータガバナンス体制が明らかになっていた。
委員会では、会合をこれまでに5回、技術的見地から専門的な検証を行う部会会合を9回実施。座長を務める東京大学教授(大学院法学政治学研究科)の宍戸常寿氏は、説明会の冒頭で「これまでの調査・検討を経て、LINE社おける利用者のデータの取り扱いが、開発・サービス側の目線から捉えられる傾向が明らかになった」と説明する。
例えば、「このデータの取り扱いが、ユーザーや社会にどのような影響をもたらすのか」「ユーザーがそのデータの取り扱いを知ったならば、どのように感じるだろうか」 「ユーザーに対して正確な情報を発信をしているのだろうか」など、ユーザーの目線に立って、プライバシーやセキュリティの保護のあり方を常に確認・修正するのが求められる姿勢だが、「正確な情報発信で説明責任を果たす」という考えが社内で不足していたことが、本事案の原因だったのではないかと結論づけている。
この一例が、6月2日に発表された、アルバムやKeepといった、永続的にデータを保管するサービス内データの国内移転だ。こちらは、もともと2024年前半までに移転というスケジュールが組まれていたものの、3月の移転スケジュール発表時に含まれておらず、5月に特別委員会側が「利用者目線で考えた場合、アルバムやKeepなどもトークに含まれるべきものであり、3月23日の説明には不足がある」と指摘。後追いで発表するに至っている。
宍戸氏は、「私含め委員会として一番驚いた」と述べ、「(データ移転が)遅れるのならそれもしっかり3月時点で説明すればよかった。利用者目線が欠けていることが調査でわかったし、LINEも『こういうのがまさに問題だ』という深い理解が得られた」とする。技術検証部会の座長を務める川口洋氏(川口設計代表取締役)も、「2022年や2024年というキーワードが出てきて、あれっと。説明を受けるまでは今年中に終わると受け取っていたが、終わらないものがかなりある」と驚いたという。
ただし、移転が遅くなるという事実を隠そうとしていたのかという問いには、異議を唱える。宍戸氏は、「かなり厳しい質問や意見を委員会で申し上げたが、今の段階の認識としては、積極的に隠すというよりは、開発・サービス側の目線から、トークはトーク、KeepはKeep、アルバムはアルバムと個別に考えるイメージだった」とし、こうした問題点を先取りして把握しない体質が要因の一つとして考えられるという。
今回の報告で新たに発覚したもう一つのポイントは、政治家や官公庁、地方自治体への政策渉外活動において、「LINEのデータは日本に閉じている」と説明していたことが判明したことだ。これは、LINE関係者への聞き取り調査で分かったもので、中国からのデータへのアクセスがあることについても説明がなかったという。LINEでは、国内利用者のデータ保管場所に関する対外的な説明を検討したことがあり、2013年、2015年、2018年で計画されていたという。その表記は以下の通りだ。
事実との乖離が大きくなった要因の一つとして、委員会では「主要な個人情報」や「主要なデータ」という呼び方で長年通していたことで、正確な認識が社内でもできていなかったのではと推察しているほか、一部委員からは「韓国とLINEの関係を指摘する声に対応しようと、主要なサーバーが日本国内にあることを実態以上に強調してきたという事情もあるのでは」という指摘も出ている。委員会では、コミュニケーションと現実との大きな乖離が明らかにならなかった構造的な課題を解明していくのと同時に、同様の事態を起こさないための具体的な体制整備についても議論していく予定という。
経済安全保障の面でも議論があった。委員会では、LINEが個人情報保護やセキュリティなどの法規制に関する評価・分析のための適切な体制を構築しているのに対し、プライバシーや経済安全保障の観点から分析・評価する体制が不十分だったと指摘している。中国の国家情報法が施行された後に、中国での開発・保守体制を見直す議論が社内で起こらなかった点でもそのことが伺える。
これを受け、LINEではZホールディングスのサイバーセキュリティポリシーに合わせ、米NISTが定めるセキュリティ基準「NIST SP800-171」への準拠に向けた取り組みを開始する。同基準は、サプライチェーンの全般を対象とし、「人的セキュリティ」や「システムと通信の保護」などの基準を満たすよう、経済安全保障上のリスク対応も取り入れたサイバーセキュリティフレームワークになるという。そのほか、データの越境移転についてもCBPR認証を取得予定だ。
委員会では、今後検討すべき事項として、個人情報保護やプライバシー、セキュリティ、経済安全保障、政策渉外分野に関する適切な責任体制を整えていくほか、利用者目線での疑問や意見が社内で議論され、それが円滑にかつ適切に当該責任体制にフィードバックされる体制の構築などを議論する予定としている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」