LINE社、中国からのサイバーセキュリティリスク「対応怠った」と認定。外部委員会が提言した内容は？

無料チャットアプリ「LINE」に登録された個人情報などが、中国の技術者から閲覧可能だった問題で、データ保護の観点などから検討を行ってきた特別委員会は10月18日、最終結果を報告した。

報告書では、中国の委託先から一部データにアクセスが可能だった点と、画像などが韓国に保管されていたにも関わらず、対外的に虚偽の説明をしていた点を問題視。LINE社と親会社のZホールディングスのそれぞれが改善に取り組むよう提言した。

■提言の内容は

LINEは2021年3月、ユーザーの電話番号や本名といった個人情報が、業務委託先の中国・大連の拠点にいる中国人技術者から閲覧可能だったことが判明。個人情報の取り扱いをセキュリティやガバナンスの観点から検証するため、有識者による特別委員会を設置していた。

6月に公表された途中経過では、これらの問題に加えて、画像や動画データが実際には韓国に保管されていたにも関わらず、2013年、2015年、2018年の3度にわたり「主要なサーバーは日本国内にある」といった趣旨の説明をしていたことが明らかにされていた。

この日の最終報告では、委員会の座長を務める宍戸常寿（ししど・じょうじ）東京大学大学院教授らが出席し、▽中国からアクセスがあったことについては「LINE社において経済安全保障への適切な配慮ができておらず、事後的にも見直す体制が整備できなかった」と認定した。

また▽一部データが韓国に保管されていたにも関わらず、対外的には虚偽の説明をしていたことについては「LINEが日本のサービスとして受け入れられることを重視したコミュニケーションをしていた」ことに問題があったと指摘した。

その上で委員会では、LINE社に対しては、▽プライバシー保護やセキュリティなどについて自律的にチェックできる『横のガバナンス』の体制構築と、▽虚偽の対外説明を行なったことを受けて「客観的な事実を誠実に伝えることにコミット」するよう求めた。

そして、親会社のZホールディングスには▽LINE社を含む傘下の事業会社を一元的に見渡しチェックする『縦のガバナンス』を提言した。

また、Zホールディングスに対しては、▽ユーザー代表を含む第三者の意見を求める有識者会議の設置や▽経済安全保障の一環として、外交法令の検討状況や日本との関係などを調査する体制強化などもあわせて求めた。

■中国の法制度への認識は？

LINE問題をめぐっては、国民や企業などに国の諜報活動への協力を義務付ける中国の「国家情報法」などへの検討が十分に行われていなかったことが、問題発覚当時の出澤剛社長の記者会見で分かっている。

これについて委員会は報告書で、LINE社のセキュリティ部門担当者が中国に関するサイバーセキュリティリスクを認識し、経営陣に報告していたと認定。しかし経営陣は課題として適切に取り上げず、対応を怠ったとし、「個人情報保護体制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切だった」と断じている。

一方で、個人情報などについては「調査した範囲内では、不適切なデータへのアクセスは確認されず、外部への情報漏洩の事実は認められず」と結論づけた。

この根拠について問われると、委員会の技術検証部会で座長を務める川口洋氏は「セキュリティベンダーの協力もいただき、残っていた過去1年分のログから、アクセス記録や業務目的かどうかなどを調べた結果だ」と話した。

会見の最後では、プラットフォーマーの社会的責任について質問があった。これに対して宍戸座長は「法令を守っていれば良いというものではなく、変化する国際情勢やルールの変化に適宜に対応し、常にガバナンス体制を向上させ、それを利用者に説明していくことが必要だ。トラスト（信頼）を積極的に作っていく、動的な社会的責任が重くなっている」と指摘した。