piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

管理不備と報じられたLINEの問題についてまとめてみた

2021年3月17日、日本国内のLINE利用者の個人情報に対し、国外から技術者らがアクセスできる状態にあったにもかかわらず、規約上で十分な説明が行われていなかったと報じられました。ここでは関連する情報をまとめます。

何が問題と報じられたのか

  • LINEの(主に日本国内利用者における)個人情報保護管理の不備が報じられた。報道で問題として指摘されたのは国内LINE利用者の個人情報移転先である国名の明記。移転先やアクセスを行う国名は原則として明記を行った上、利用者から同意を得るよう個人情報保護委員会が求めていた。
  • LINEは利用者へ国外で一部利用者情報を取り扱っていたことについて十分な説明ができていないと判断。利用規約において、「利用者の居住国と同等のデータ保護法制を持たない第三国に個人情報を移転することがある」と説明するも国名までは明記していなかった。
  • 今回は管理不備とされる問題が報道で指摘されたもの。現時点で確認されている中では国外へのデータ移転行為そのものは行っていなかったとみられ、また不正アクセスや国内のLINE利用者情報流出は確認されていないとLINEは説明している。*1
LINEの見解

LINEは一部の報道を受け見解をプレスリリースにて公表している。
linecorp.com
またZホールディングスも同日に見解を公表している。
一部報道について

その後出されている関連リリース

不備とされた具体的な指摘箇所

利用規約に国名明記がなく管理不備があったとして報じられた点は次の内容。

  • 開発業務を担当していた中国関連企業スタッフによる国内利用者データへのアクセス*2
  • タイムライン等のモニタリング業務委託先から中国企業への再委託
  • すべての画像、動画を韓国NAVERのデータセンターで保管。韓国関連企業がアクセス権を保有。*3
海外関連企業が国内利用者データへ開発目的でアクセス
  • 開発、保守目的で利用者データにアクセスを行っていたのは中国上海のLINE Digital Technology (Shanghai) Limitedの大連拠点。
  • 同社スタッフ4名が2018年8月以降、開発業務において少なくとも32回にわたりデータへのアクセスを行っていたと報じられた。Zホールディングスは不適切なアクセスは行われていないと回答している。
f:id:piyokango:20210319022842p:plain
「少なくとも32回のアクセス」を整理した
通報などモニタリング業務を海外企業に再委託
  • モニタリング業務の委託先である国内の通信業務代行企業から、再委託を受けた同企業グループの中国現地法人(大連)がモニタリングの一部(タイムライン、オープンチャット)を担当していた。
  • 通報を受け対象となるタイムラインは1日平均約1万8000件、オープンチャットは約7万4千件を処理している。
  • 今回の運用が行われた理由として、LINEは十分な人材が日本におらず、様々な国のメンバーとの協力していかなければ国内や海外の競合サービスに負ける恐れがあったと答えている。
f:id:piyokango:20210319023115p:plain
通報されたデータなどのモニタリング業務
韓国のデータセンターに画像や動画が保管
  • LINE上でやり取りされるすべての画像、動画は韓国NAVERのデータセンターで保管されている。
  • 同センターへのアクセス権は韓国のLINE Plus Corporationが保有。アクセス権を保有する社員数、業務内容、アクセス履歴は調査中。
  • 「保管された画像は複数のデータセンターに分散処理されており、アクセス権を保有していたとしても具体的な画像はそのまま閲覧することはできない仕様」と報じられたが、分散化は耐障害性向上を目的としたもので技術的にデータ抽出は可能であり、報じられた内容は誤り。*4
  • この保管方法に対し、Zホールディングス常務は説明の仕方として国外に画像や動画が保管されるのは想像しがたいと思うとコメントしている。
f:id:piyokango:20210319151150p:plain
LINE国内利用者のデータ保管先の状況(画像注釈訂正)

LINEを用いたサービスにおいて、リスクが懸念のある保管が行われているとして報じられている内容は以下の通り。*5 *6

LINEヘルスケア 規約で画像、動画提供をしないと定めているが実際には投稿が可能であった。実際に顔、患部が投稿されるケースもあった模様。
LINEドクター 診察で用いられるビデオ通話のデータは保管対象外だが、登録時送信する保険証の画像データが2021年1月まで保管されていた。
LINE Pay 取引情報に利用者の出入金、決済、送金のデータの他、一部の利用者情報が含まれる。加盟店の銀行口座番号、企業情報も保管されている。海外展開を前提としていたため海外サーバーを使って構築。

一部利用者情報の対象項目
・LINE Payカードの番号、カード配送先住所
・不正検知システムに利用する全ユーザーデータ(住所、生年月日、決済に利用するカード保有者氏名等)
・決済に利用するクレジットカード番号
・LINE Checkoutを利用しているユーザーの商品配送先住所
(氏名、住所、クレジットカード番号等単体で個人特定に繋がる情報はデータベース上で暗号化が行われている)

「LINE」アプリの通報機能における説明文言の誤表示に関するお詫びおよび該当の説明文言の修正について

  • 2021年3月下旬に通報機能の文言表示に不具合が存在したため、意図した内容とは異なる内容が表示されていたことが判明。
  • 2021年3月30日までにAndroid版、iOS版、デスクトップ版を修正。
f:id:piyokango:20210507114443p:plain
通報機能利用時に誤表示となっていた内容

第三者委設置で実態調査

LINEが今回の問題に対して行った、または行う予定の対応は次の通り。

  • 個人情報保護委へLINEが今回の問題を報告。
  • 利用者データへのアクセス権限強化(中国関連企業のアクセス権限の削除)
  • 外部有識者らで構成された第三者委員会を設置し、経緯、実態の調査を実施
  • 利用規約は移転先国名の列挙を含めた利用者に明確でわかりやすい説明に変更予定

Zホールディングスは特別委員会、およびそれを技術的知見から支援する技術検証部会の設置をアナウンスした。

LINEの記者会見(2021年3月23日)

LINEが今回の件を受けた今後の対応について記者会見を行った。
www.youtube.com

LINEが今回の件を受け、課題として認識しているポイントは次の3点

  • 中国で個人情報にアクセスする業務を実施
  • トーク上の画像・動画等を国外保管
  • プライバシーポリシーで国名を明示せず

これを受け、次の対応をとることが発表された。

データアクセス、データ保管先への課題に対する対応

対象 LINE側の対応方針
日本ユーザー向け ・中国からの完全アクセス遮断(実施済)、業務終了
・トークデータの完全国内移転
画像、動画、ファイル:2021年8月まで
LINE公式アカウントタイムライン:2022年6月まで
国内ユーザータイムライン:段階的実施
LINE Payに係る決済情報:2021年9月まで
政府・自治体向け ・政府・自治体向けの公式アカウントデータ保管とデータアクセスの完全国内化(2021年8月まで)
・自治体向けコロナワクチン予約システム完全国内化の開始

透明性強化の課題に対する対応

  • 国名や目的の明示を踏まえたプライバシーポリシーの改定(3月29日週まで)
  • データセキュリティに対するガバナンス体制、情報保護強化(特別委による検証、CBPR認証取得申請、NISTの定める基準準拠)
一部データの移転スケジュールを再説明(2021年6月2日)

アルバムやKeepなどのデータの国内移転スケジュールについて

  • アルバム、Keepのデータについて、次のスケジュールとすることを公表。
  • 今回の公表はデータ国内移転について、これまで説明してきた内容に不足(アルバム、Keepに関して説明をしていなかった)があったためとしている。
  • トーク上でやり取りされるデータは一定期間で削除されるが、アルバム、Keep上で保管されるデータは永久的に残ることからストレージ要領が大きく異なり、当初から分けて対応をする方針であったと説明。
アルバム 画像データ 新規データ:国内保管を2022年前半開始
既存データ:2024年前半までに国内移転完了予定。
Keep 画像・動画・ファイルデータ 新規データ:国内保管を2021年8月開始
既存データ:2022年前半までに国内移転完了予定。

データ移転の状況については次のページで確認が可能。2021年10月1日までに移転が完了しているカテゴリは次のもの。
LINEのデータ移転に関するご説明

  • トーク
  • LINE Pay
  • LINE 公式アカウントトーク機能
  • オープンチャット
  • LINEドクター
  • LINEヘルスケア
中国における今後の業務方針(2021年8月23日)

当社の中国における今後の業務方針のお知らせ

撤退対象業務 ・国内利用者の個人情報取り扱い業務
・LINEアプリに関連する機能、サービスに係る業務
継続対象業務 (必要に応じて以下を実施する)<Br/>・LINEアプリ関連業務ではない、かつ国内利用者の個人情報取り扱い業務ではない範囲
・サービス提供主体がグループ海外法人、かつ国外利用者を主対象としたサービス

グループ会社、委託先については次の通り説明されている。

対象企業 対象業務
①LINE China(LINE Digital Technology (Shanghai) Limited) LINE GAMEのQA(品質保証)ツールの開発・保守業務、タイユーザー向けローカルサービスに関連する開発・保守業務
②NAVER China Corporation LINE GAMEのテスト業務
③大手日系システムベンダーの中国法人および再委託先 LINE Creditの日本ユーザーの個人情報を取り扱わない範囲での一部システムの開発・保守業務

①はLINEグループ、②、③の企業は外部委託先となる。

第三者委の調査報告とLINEの対応

各報告で指摘や検証が行われた、または提言された主な項目は次の通り。

第一次報告(指摘項目) ・海外委託関連の事実
・データ保存関係の事実
・越境移転に関するユーザーコミュニケーションの不備
・経済安全保障に係る懸念
・政策渉外活動の問題
・個人情報保護委員会によるLINE社への行政指導と対応策
・総務省によるLINE社への行政指導と対応策
第二次報告(検証項目) ・海外委託関連の検証
・韓国サーバーでのデータ保存関連の検証
・政策渉外関連の検証
・LINE Pay社及びLINEヘルスケア社の検証
最終報告(提言項目) ・特別委員会の概要等
・LINEアプリ関係の越境データアクセスおよびデータ保管の状況
・LINE社のガバナンスに関する検証結果及びLINE社による改善策
・LINE社の重要なデータを取り扱うグループ会社の状況
・LINE社におけるデータガバナンスの状況と改善に向けた提言
・ZHD社によるガバナンスの状況と改善に向けた提言

最終報告を受けZHD、LINE側が示した体制強化等については次の通り。

問題を受けた反応

今回の報道を受けて政府や自治体などが反応を示している。約900の地方自治体がLINE公式アカウントを開設している。*7

政府の反応
反応をした政府関係者 LINEの問題に対する見解
菅内閣総理大臣 (政府内のLINE利用見直しに対し) 見直しではなく、まず事実関係の確認をしている状況。
平井デジタル改革相 個人情報保護委で十分な調査を行い、不適切と判断した場合訂正していくことが必要。
加藤官房長官 関係政府機関において事実関係を確認し、適切に対応。*8
内閣官房を含めた各省庁におけるLINE利用状況を確認。*9
個人情報保護委 福浦事務局長 第三国への個人データ提供時の本人同意の有無、委託先の適切な監督の状況を中心に調査。
個人情報保護委の報告徴収(2021年3月19日報告徴収)

個人情報保護法に基づき、次の内容の報告を3月23日までを提出期限として報告徴収を行ったこと、そして必要に応じて法的な措置の検討を行うことも明らかにした。報告対象はLINE、Zホールディングス。*10

  • 海外委託先を含めた業務内容の詳細
  • 海外事業者が国内の個人情報にアクセス可能なデータ範囲
  • ログに係るデータ
総務省の報告徴収(2021年3月19日報告徴収)

電気通信事業法に基づき、次の内容の報告を4月19日までを提出期限として報告徴収を行ったことを発表。
LINE株式会社に対する報告徴収(2021年3月19日)

  • 今回事案の経緯及び詳細
  • 個人情報及び通信の秘密の保護等に係る支障の発生の有無
  • 個人情報及び通信の秘密の保護等のために必要な体制の確保状況
  • サイバーセキュリティの確保に係る体制の確保及び技術的対策の実施状況
  • 本事案に係る利用者への説明及び周知の予定

LINE 株式会社に対する指導
当社に対する総務省からの指導および当社の改善策について

  • 2021年4月19日にLINEから総務省へ報告。
  • 総務省からLINEに対して安全管理措置等及び利用者への適切な説明に対し文書による指導が行われた。
総務省の指導事項 LINE側の改善策
個人データ取り扱い委託時、次の様な方法による適切な監督義務がある。
・委託先へ権限付与の際、必要性、権限を検討し必要な技術的安全管理措置を講じること
・アクセス権限付与の際、不正利用防止のため検証可能な措置を検討し措置を講じること
・そして定期的監査等で実施状況を調査し委託内容見直しも含めた評価を行うこと。
アクセス権限付与時ににおいて
・組織的なリスクアセスを行い、必要な措置を可能とする体制を構築する。
・ログ記録、管理方法を見直し、実効的な事後検証、不正検知を実現する措置を検討し実施する。
・委託先監督基準を見直しし、定期的監査を含めた実効的措置を検討し実施する。
LINEサービス提供において個人情報取得時は利用者にわかりやすく範囲の説明し、通知が表示されているか確認する体制の整備を行うこと。 通報画面において、過去に生じたバグで意図した表示と一部異なる文言が表示されていた。
Android版:2018年8月20日~2021年3月28日
iOS版:2017年12月4日~2021年3月30日
デスクトップ版:2021年3月4日~2021年3月30日
(2021年3月30日までに修正対応済)

個人情報取得時、わかりやすい通知、文言の適切な表示を確認する体制強化を実施。
金融庁の報告徴求命令(2021年3月23日までに命令)

資金決済法などに基づき、経緯詳細、利用者情報の管理体制について報告を3月29日までを提出期限として報告徴求命令を出したことが報じられた。*11

  • 命令の対象として、LINE、および金融関連サービスを提供するLINE Pay、LINE証券の名前が報じられている。*12 *13 *14

LINE Pay等における情報の安全対策の取組み
LINE Payをはじめとする金融サービスのプライバシーポリシーを改定

  • 委託先の不正行為に対する未然防止策、委託先の監督方法について対策の取り組み状況を説明。
  • 利用者情報の保管、移転について国外拠点からアクセスが生じる場合があるとして、プライバシーポリシーの改定も行っている。
  • 具体的な国名として、以下が挙げられている。
海外拠点 アクセスが生じる業務
韓国 LINE株式会社及びLINE金融グループ会社のサービスなどの開発・運用に関する業務のため。
台湾、タイ 現地におけるカスタマーサポート業務や不正対策業務のため。
シンガポール キャンペーン等のインセンティブで国外の会社が発行する暗号資産に関連する権利を付与するため。
事案をうけ利用自治体などで一時停止の反応

今回の事案を受け、利用を一時的に停止するといった対応が政府や自治体で相次いでいる。

  • 立憲民主党 国会対策委員会の中でLINEアプリの使用を当面禁止*15
  • 総務省 採用活動、意見募集などでLINEの利用を中止する考え。(2021年3月19日) *16
  • 内閣府 内閣府防災で利用していた公式アカウントの情報提供を停止。(2021年3月23日報道)*17
  • 国土交通省 職員採用日程の情報提供を中止。(2021年3月23日報道)
  • 防衛省 省内で利用実態の調査。19日時点での情報発信以外への利用なし。(2021年3月19日報道)その後、業務でのLINE利用停止の措置が24日付で取られたことが報じられた。*18 *19
  • 千葉県市川市 LINE利用の行政サービスを一時停止する措置を発表(2021年3月18日)。*20
  • 千葉県船橋市 LINEを活用した相談窓口「SNS相談@船橋」の一時休止について(2021年3月22日)
  • 山梨県富士河口湖町 LINEすくすく子育ての懸念払しょく迄一時停止(2021年3月)
  • 千葉県 県で運用しているLINEアカウント(緊急性が高いものを除く)を一時利用停止。(2021年3月19日) *21
  • 大阪府 いじめ等の相談業務対応、施設予約等の個人情報を取り扱うサービスにおいてLINE利用を停止。広く公開されているものは利用継続(2021年3月21日報道)*22
  • 大阪市 市や行政区でLINEを利用した情報発信サービスを一時停止。今後LINE payによる市税や公共料金の支払いの取り扱いについても検討。(2021年3月19日) *23
  • 高知県 総務省の対応などを踏まえ、県公式アカウントの情報提供を一時停止。(2021年3月19日)
  • 北海道 LINEを利用する17サービスの内、個人情報を扱う8サービスで利用を一時停止(2021年3月24日報道)*24
  • 釧路市 釧路市UIJターン公式アカウントを一時停止(2021年3月22日報道)*25
  • 秋田県 新型コロナウイルス感染症に関連する情報発信サービスを一時停止。(2021年3月22日報道) *26
  • 愛知県 一部行政サービスを除き、個人特定できる情報取得を取りやめ。(2021年3月22日報道)*27
  • 香川県 新型コロナウイルス感染症の情報発信や問合せ対応等複数のLINEサービスの運用を全て停止。(2021年3月19日)*28
  • 佐渡市 情報提供サービスを一時停止。(2021年3月23日)*29
  • 東京メンタルヘルス・スクエア こころのほっとチャットのLINEでの相談中止のお知らせ
  • Trend Micro 当社がLINE上で提供するサービスの提供停止について

サービス継続案内等を行っている自治体

関連タイムライン

日付 出来事
2011年6月 NHNジャパンがLINEサービス開始。
2012年頃 LINEで使用可能となった画像や動画等が韓国NAVERのデータセンターで保管。
2013年 NHNジャパンがLINEへ商号を変更。
2018年8月 LINE Digital Technology (Shanghai) Limitedが日本の利用者情報の一部にアクセス可能な状態となる。
2020年1月 LINEがタイムライン等のサービスのモニタリング業務を通信業務代行業者に委託。
2021年2月24日 LINEがLINE Digital Technology (Shanghai) Limitedのアクセス権限を削除。
2021年3月17日 朝日新聞が朝刊一面でLINEの個人情報保護に不備があったと報道。
同日 LINEが一部の報道に対して、自社の見解を公表。
2021年3月19日 総務省が全国の自治体に対して利用状況を確認し3月26日までに報告するよう要求。*30
同日 総務省がLINEに対して報告徴収を行ったことを発表。
同日 Zホールディングスが第三者委を設置して検証・評価を行うことを発表。
同日 今回の事案を受け、対応方針についてLINEが記者会見。
同日まで 金融庁がLINEに対して報告徴求命令を出したことが報じられる。
2021年3月下旬 通報機能の説明文言が一部異なることが判明。
2021年3月28日~30日 LINEアプリのアップデートを行い、意図した文言表示に修正。
2021年4月19日 LINEが総務省へ報告書を提出。
2021年4月23日 個人情報保護員会がLINEに対して行政指導。
同日 LINEが第4回目の技術検証部会を開催。
2021年4月30日 LINEの金融関連サービスに係るプライバシーポリシーを改定
2021年5月21日 LINEが個人情報保護委員会へ改善報告書を提出。
2021年5月31日 LINEが総務省へ改善報告書を提出。
同日 LINEが金融庁へ報告書を再提出。
同日 LINE CEO、CWOの役員報酬を一部返上すると公表
2021年6月2日 アルバム、Keep等のデータ移転スケジュールについて説明不足であったとして再度案内。
2021年8月4日 LINEグループの中国に関する業務方針について公表。
2021年10月18日 グローバルなデータガバナンスに関する特別委員会最終報告に関する報道関係者向け説明会を開催。
特別委員会、技術検証部会の開催状況
  • グローバルなデータガバナンスに関する特別委員会
1回目 2021年3月23日 議事要旨
2回目 2021年4月13日 議事要旨
3回目 2021年4月28日 議事要旨
4回目 2021年5月19日 議事要旨
5回目 2021年6月9日 議事要旨
6回目 2021年7月19日 議事要旨
7回目 2021年8月23日 議事要旨
8回目 2021年9月13日 議事要旨
9回目 2021年9月27日 議事要旨
10回目 2021年10月11日 議事要旨
  • 技術検証部会
1回目 2021年4月5日 概要
2回目 2021年4月7日 概要
3回目 2021年4月14日 概要
4回目 2021年4月23日 概要
5回目 2021年4月28日 概要
6回目 2021年5月12日 概要
7回目 2021年5月17日 概要
8回目 2021年5月28日 概要
9回目 2021年6月4日 概要
10回目 2021年6月16日 概要
11回目 2021年6月30日 概要
12回目 2021年7月14日 概要
13回目 2021年7月28日 概要
14回目 2021年8月16日 概要
15回目 2021年9月10日 概要

その他関連動向

  • 個人情報保護委員会は経団連、新経済連盟の加盟企業に対して個人情報の持ち出しを行っているか、プライバシー上の保護策をどうしているかヒアリングを実施する。*31

更新履歴

  • 2021年3月19日 AM 新規作成
  • 2021年3月19日 PM 続報反映(政府反応)、分散処理による画像等閲覧不可について、事実誤認であったため図、該当記述を訂正(訂正前アーカイブ
  • 2021年3月20日 AM 続報反映(自治体の対応や第三者委の設置等)
  • 2021年3月23日 PM 続報反映(LINEドクターやLINE Payの画像保管等)
  • 2021年3月24日 PM 続報反映(LINE記者会見等)
  • 2021年5月7日 PM 続報反映(総務省の行政指導、LINEの対応等)
  • 2021年6月9日 PM 続報反映(アルバム、Keepの移転スケジュール等)
  • 2021年10月21日 AM 続報反映(第三者委の最終報告書公開等)

*1:LINE情報保護 不備 中国関連会社で閲覧可,日本経済新聞,2021年3月17日夕刊1面

*2:中国の4人に接続権限 LINE「日本に人材おらず」,朝日新聞,2021年3月17日

*3:日本のLINE利用者の画像・動画全データ、韓国で保管,朝日新聞,2021年3月17日

*4:piyokangoが信頼できる筋より情報提供を受けたことにより判明したもの。

*5:LINE、健康関連データも韓国で保管 保険証画像など,日本経済新聞,2021年3月23日

*6:LINE Pay情報、韓国に保管 加盟店の口座番号も,朝日新聞,2021年3月23日

*7:LINE個人情報問題、自治体困惑 公共サービスに活用,朝日新聞,2021年3月17日

*8:LINE利用「適切に対応」 加藤長官、情報管理問題で,朝日新聞,2021年3月17日

*9:LINEでの行政サービス停止 総務省,NHK,2021年3月19日

*10:個人情報保護委、LINEに法的措置検討 総務省も報告求める―省庁の利用調査急ぐ,時事通信,2021年3月19日

*11:金融庁、LINEペイに報告命令,日本経済新聞,2021年3月23日

*12:金融庁 LINE側に管理態勢の詳しい報告求める アクセス問題で,NHK,2021年3月23日

*13:LINEと「Pay」「証券」に個人情報管理の報告求める…金融庁,読売新聞,2021年3月23日

*14:LINEに報告命令 個人情報の管理問題―金融庁,時事通信,2021年3月23日

*15:立民国対、LINEは当面禁止 第三国への国会情報流出を懸念,産経新聞,2021年3月18日

*16:総務省、LINE使用中止へ 自治体に調査依頼,産経新聞,2021年3月19日

*17:内閣府防災もLINEでの情報提供停止,産経新聞,2021年3月23日

*18:LINE利用を実態調査 閲覧可能受け岸防衛相,産経新聞,2021年3月19日

*19:防衛省、業務でのLINE使用停止,産経新聞,2021年4月1日

*20:「LINEで住民票」の市、申請を一時停止 不備発覚で,朝日新聞,2021年3月18日

*21:県のLINE(ライン)アカウントの一時利用停止について,千葉県,2021年3月19日

*22:大阪府、LINE停止,読売新聞,2021年3月21日

*23:自治体、LINE利用を相次ぎ停止 千葉県や大阪市など,朝日新聞,2021年3月19日

*24:北海道、個人情報扱うLINEサービスを休止,日本経済新聞,2021年3月24日

*25:釧路市 LINEの就職情報発信のアカウント停止,NHK,2021年3月22日

*26:LINE利用の県サービス、「問題把握できるまで」一時停止,秋田魁新報,2021年3月22日

*27:愛知県もLINE利用の行政サービス一部除き見直しへ,NHK,2021年3月22日

*28:LINE問題 県内自治体にも影響,日テレNEWS24,2021年3月22日

*29:LINEによる情報提供サービスを一時停止します

*30:武田総務大臣閣議後記者会見の概要,総務省,2021年3月19日

*31:個人情報保護委、経団連などと企業調査 LINE問題受け,日本経済新聞,2021年3月23日