脱炭素とはなにか
個人情報の取り扱いについて複数の問題が明らかになったLINE。問題を調査していた第3者の専門家による特別委員会が第1次報告をまとめた。
Reuter
3月に発覚したLINEにまつわるさまざまな個人情報を含むデータの取り扱いに関する問題。
LINEの親会社・Zホールディングスが設立した外部有識者による特別委員会(グローバルなデータガバナンスに関する特別委員会)は6月11日、第1次報告を公表した。
報告はA4サイズの2枚の報告趣旨とスライド34ページ分(いずれもPDF)にまとめられている。その中では、特に
- LINEの開発・運営体制に「利用者目線」の意識が足りていなかった点
- 政府や自治体などに対して、事実と異なるデータの取り扱いに関する説明があった点
に言及している。
発表同日に開催されたメディア向け説明会の質疑応答でも、特にこの2点への質問が多かった。筆者としては「まだ特別委員会も追及していない」部分が気になる(後述する)が、まずはこの2点について解説しよう。
利用者目線が不足、問題発覚後の対応にも問題が
特別委員会座長の宍戸常寿氏。
画像:説明会の様子を撮影した筆者によるスクリーンショット。
特別委員会座長の宍戸常寿氏は説明会で「(LINEは)利用者目線が足りていなかった」と繰り返し口にした。これは今回の問題の根本を示すと感じる部分だ。
この「利用者」には大きく2つの意味がある。1つは一般市民、ユーザーという意味。もう1つは、LINEを使って情報発信をしたいと考える政府、自治体、企業などだ。
ユーザーに対しては、既に明らかになっている通り、プライバシーポリシーなどで明確に個人データの越境移転について説明していなかった点が主だ。実際、3月23日の会見でLINE社長の出澤剛氏は「法的にどうこうではなく、ユーザーの感覚でおかしい、気持ち悪いと感じさせてしまう配慮が怠っていた」と謝罪している。
しかし、その後のLINEの対応にも同様の問題があったことを、特別委員会では指摘している。それが、既に公表されている個人データの国内移転に関する説明の記述についてだ。
当初「2021年6月移転予定」としていたLINEのトークの画像や動画のデータだが、トーク内で使われるKeepやアルバム機能はその対象でなかったことが判明した。
撮影:小林優多郎
LINEは3月23日時点の計画で、LINEの個人ユーザー間のトークに投稿された画像や動画、その他のファイルの保管場所に一部韓国のサーバーを使っていることを認め、2021年6月に移転を予定していると示していた。
しかし、特別委員会内の技術検証部会による調査の過程で、トークの関連機能である「Keep(テキストやファイルなどを保管する機能)」のデータは2022年前半まで、「アルバム(画像をまとめて共有する機能)」は2024年上半期までに国内移転を計画していることが判明したという。
2つの機能はLINEのトークルーム内でよく使われる機能の一種で、「トークのデータを6月末に移転」と言われれば「Keepやアルバムも含む」と認識されてもおかしくはない。
実際、宍戸氏も「(Keepやアルバムのデータ移転が)後ろ倒しになっているところに、私を含めて(特別委員会の委員の多くが)驚いた」と述べている。
宍戸氏は「(特別委員会の)総意として緊急の対応を強く求めた」とし、LINEは6月2日付で対応するリリースを掲出した。
官公庁や自治体に対しての説明にも「大きな乖離」
政策渉外活動上での問題も明らかになった。
出典:グローバルなデータガバナンスに関する特別委員会
また、政府や自治体との渉外時にも適切な説明ができていなかったことが特別委員会からは指摘されている。
LINEは2013年、2015年、2018年の3回にわたって、国内ユーザーのデータ保管場所をどう説明するか(上記図では「説明の内容」と表記)を社内で検討していた。
だが、いずれのタイミングでも「主要な個人情報は日本のデータセンターに保管」「主要なサーバーは日本国内」などと、「LINEのデータは日本に閉じている」という趣旨の説明をしていたことが、LINEの社内関係者からのヒアリングで判明した。
この点について特別委員会は「(政策渉外活動の)コミュニケーションと現実との間には大きな乖離が存在していたが、なぜ今日まで、こういう形になるまで明らかにならなかったのか、ということに尽きる」と強い懸念を表明している。
23日の説明会に登壇した特別委員会メンバーで技術検証部会を取りまとめる川口洋氏は、「(国内外の)あちこちにデータがあったのが事実。見直しがされる機会が(LINE内で)なかったのでないか」と指摘している。
“隠ぺいの意図”ではなく”社内文化”が原因か
LINEはスマートシティーなどの文脈で、地方自治体への導入を進めていた。
撮影:小林優多郎
LINEのユーザーへの説明不足や官庁・自治体への抽象的な説明の仕方に対し、説明会の質疑応答で取材陣からは「都合が悪い事実を伏せようとしたのではないか」との声も上がった。
これに対し宍戸氏は「そうなのかということを含めて厳しい質問や意見を申し上げた」としつつも、以下のように別の要因があるという認識を示した。
「今の段階での認識は、隠そうというより、開発・サービス目線で考えた時に、それぞれのサービス(トークやKeep、アルバムなどの機能の単位)で考える文化やイメージが強かったのではないか」(宍戸氏)
また、宍戸氏はLINEサービス基本が「トークの部分に力点を置いてきたところもある」と自身の考えを述べており、「(時代が流れるにつれ)画像や動画も増えてきた。(本来であれば)“主要な”ところに(画像や動画が)入るべきだったのに見落としてきたのではないか」と、LINE社内のサービス開発・運営に関わる部分に、社内文化的・構造的要因があったと分析した。
9月に最終報告へ、ただしLINE Payの調査は「未定」のまま
特別委員会が列挙している今後検証すべき事実。
出典:グローバルなデータガバナンスに関する特別委員会
今回は第1次報告で、LINEをめぐる一連の報道の事実関係のすべてが明らかになったわけでも、すべての具体策が示されたわけでもない。
特別委員会では、引き続き問題となった中国の委託先である、いわゆるLINE Chinaの従業員による日本ユーザーのデータへのアクセスについての再検証や、日本ユーザーの画像や動画、その他ファイルのデータの国内移転の適切性、政策渉外活動における現実と乖離した説明が生じた構造的要因の検証を進めるとしている。
宍戸氏は現在の検証の進捗について「6合目まで来ている肌感」と述べ、大部分の調査が完了する時期を「例えば9月ぐらい(の第2次報告)が目処」、「(ガバナンス体制への提言は)第2次の最終報告書でと考えている」と、最終報告の時期について9月を目処とする意向を示した。
3月に明らかになっていたLINE Payのデータ保管場所に関する情報。
撮影:小林優多郎
ただ、1つ懸念があると筆者は感じている。それはキャッシュレス決済「LINE Pay」についてだ。3月23日のLINE会見ではLINE Payに関する以下の問題が語られなかった。
- LINE Payにおいては韓国ではサービスインをしていないのに、なぜ情報の一部を韓国のデータセンターで保管していたのか。
- 保管されていたデータのうち、入出金・決済・送金といった取引情報は暗号化されていたのか(住所や氏名、カード番号などは暗号化されていた)。
- LINE Pay(日本)は、タイ・台湾・インドネシアのLINE Payや韓国のNAVER Pay、中国のWeChat Payとの共通利用を進める「LINE Pay Global Alliance」を組んでいたが、その際の情報のやりとりはどうなっていたのか。
これらについて、3月23日会見の質疑でLINEの出澤氏は「データをまとめて報告をさせていただく」としていたはずだった。
LINEが6月11日に公開したデータ移転のスケジュール。LINE Payに関する記述もある(赤枠は編集部による加工)。
出典:LINE
そこで、筆者は今回、「LINE Payに関してLINEから報告を受けているか」と質問したが、川口氏は「技術検証部会で扱っているのはLINEアプリが中心。LINE Payについては扱っていない。金融庁の管轄で、(LINE Payが)別の会社であることから、まずはLINE本体(の調査が優先)と考えている」と回答した。
さらに、説明会後にZホールディングス広報担当経由で川口氏に「調査の予定はあるか」と質問したところ「LINE Payについては未定」との回答を得た。
なお、LINEは6月11日にプレスリリースで、国内LINE Payの取引情報と⼀部の利⽤者情報について、2021年6月から順次国内移行を開始し、2021年9月までに完了予定と発表している。
個人情報としては、トークやKeepの画像や動画などだけではなく、決済の取引情報も十分重要な情報と考えられる。
移行についてはそのまま進むべきだが、ユーザーの取引データをどう扱っていたのか、今後、QRコード決済は「PayPay」に統合されるとはいえ、カード事業や証券などの金融事業に対する同社の姿勢を示す意味でも、LINEには明確な報告、特別委員会にはその調査と検証を強く求めたい。
(文・小林優多郎)
