LINE、個人データ管理に不備　中国委託先で閲覧可能に

LINEがシステム開発を委託している中国の関連会社で、国内利用者の氏名など個人情報に現地の技術者がアクセスできる状態になっていたことが17日、分かった。データの取り扱いなどを定めたプライバシーポリシーでも、海外からのアクセスについて十分な説明をしていなかった。LINEは政府の個人情報保護委員会に報告した。既に関連会社で閲覧ができないように対応済みとしており、近く調査のための第三者委員会を立ち上げる。

関連会社「LINEデジタルテクノロジー上海」の大連の拠点で、従業員4人が2018年8月から、国内にサーバーがある利用者データにアクセスできる状態だった。データには利用者の名前、電話番号、IDなどのほか、一部暗号化していなかった「トーク」の内容も含まれていたとみられる。

LINEによると、関連会社はゲームプラットフォームの開発などを行っていた。この関連会社について「業務に必要な範囲でアクセス権限をつけて管理していた。不適切なアクセスは把握していない」としている。

LINEのプライバシーポリシーは「パーソナルデータを第三国に移転することがある」と明記している。今回のケースは、海外の関連会社から国内サーバーにアクセスできる状態にとどまり、データ自体の移転は行っていないとみられる。ただ、海外の関連会社からデータにアクセスする可能性までは説明していなかった。

このほか、プロフィール画面「タイムライン」や掲示板機能「オープンチャット」の投稿内容に違反がないか監視する業務を国内の代行会社に委託したところ、この企業が大連にある現地法人に再委託していた。いずれの投稿内容も利用者は誰でも見られる状態だったが、利用者からはこうした状況がわかりにくい状態だった。

LINEは国内で8600万人が利用する。一部自治体で住民票や給付金などの申請窓口になっているほか、新型コロナウイルスワクチンの予約システムも提供するなどインフラとしての性格を強めている。プラットフォーマーに社会的責任を求める声は強まっており、データの取り扱いについてより正確な説明が求められそうだ。

個人情報保護委はLINEに原因について追加の報告を求め、改善を促す方針だ。20年6月に成立した改正個人情報保護法は、データの不当利用の禁止や漏洩した場合の報告義務を規定する。同法に基づき個人情報保護委は個人データを海外に移転する場合、原則として移転先の国名などを明記するよう求めている。同法はまだ施行されていないため、今回の事案が個人情報保護法違反にあたる可能性は低いという。

LINEの個人情報管理に不備があったとする報道を受け、17日の東京株式市場で親会社のZHD株は一時前日比3%安まで下落した。