LINEは3月17日、LINEアプリの国内ユーザーの個人情報の取り扱いについて、これまでの状況と対応を発表。「外部からの不正アクセスや情報漏えいは発生していない」としつつ、「日本国内ユーザーの一部の個人情報に関して、LINEのグローバル拠点から業務上必要なアクセスを行っているという説明が十分でなかった」として謝罪した。
中国にある同社グループ子会社からLINEユーザーの個人情報にアクセスできる状態にしていた問題について、朝日新聞などが「個人情報管理に不備」と報じており、これを受けてLINEが現状と対応を公表した。
LINEのデータセンターは世界複数カ所にあり、国内ユーザーのトークテキストや会員の登録情報といったプライバシー性の高い個人情報は、日本国内のサーバーで管理。画像や動画などのデータは、現在は韓国のデータセンターで管理しているが、2021年半ば以降、段階的に国内への移転を行う計画を進めているという。
今回の報道で問題となった、中国・大連の子会社LINE Digital Technology (Shanghai) Limitedでは、内部ツール、AI機能、LINEアプリ内から利用できる各種機能の3つの開発業務を行っており、一部の開発業務で以下のデータへのアクセス権限が付与されていたが、その権限を削除した。
- LINEの捜査機関対応業務従事者用CMSの開発
名前・電話番号・メールアドレス・LINE ID・トークテキスト - LINEのモニタリング業務従事者用CMSの開発
通報によりモニタリング対象となったトークのテキスト・画像・動画・ファイル、通報または公開によりモニタリング対象となったLINE公式アカウントとタイムラインの投稿 - 問い合わせフォームの開発
名前・電話番号・メールアドレス - アバター機能、LINEアプリ内のOCR機能の開発
同機能の利用において明示的に同社のデータ活用に同意された顔写真 - Keep機能の開発
ユーザーが同機能を利用して保存したテキスト・画像・動画・ファイル
同社では、削除したこれらのアクセス権限は「開発業務においてリリース時の検証または不具合発生時の原因追跡のために、適切に付与されたもの」と説明している。
LINEは今後、「各国の法制度などの環境変化に合わせて、先回りした対応や情報開示を実施する」とコメント。国内ユーザーのプライバシー性の高いデータへのアクセスを伴う業務の国内移転を進め、データを海外移転する場合は国名の列挙などを含め、ユーザーに分かりやすく説明するという。
また、グローバル企業としてデータ・セキュリティのガバナンス体制を強化し、国内外の開発力を積極的に活用することでサービス価値を向上。海外拠点での開発は必要なものと位置づけた上で、国・拠点・職種・業務内容に関わらず、プライバシー性が高いと考えられる情報へのアクセス権限付与については必要最小限の範囲にとどめ、各種手続きの上でアクセスが行われるよう厳格に運用するとしている。
