LINEの不備に切り込んだ調査報道 情報管理の危うさに警鐘ならす

編集委員・峯村健司 篠健一郎、中島嘉克 聞き手・大部俊哉
[PR]

 朝日新聞の「LINEの個人情報管理問題のスクープと関連報道」が6日、今年度の新聞協会賞に決まった。国民に身近で、政府や自治体でも利用されるデジタルプラットフォーマーの個人情報管理の不備を調査報道で明らかにし、政府や自治体などの情報セキュリティー体制の見直しにつながったことが評価された。

 きっかけは、歌手の野口五郎さんの問いだった。

 「なぜ、ほとんどの政府や自治体がLINEを使っているのでしょうか。個人情報が流出することはないのでしょうか」

 昨年12月のことだ。音楽活動の傍ら、コロナ接触通知アプリ「テイクアウトライフ」を開発した野口さんを取材した。野口さんは自治体に無償でアプリ導入を訴えたが、LINEとの契約を理由に断られたという。

 保育所の入所申請や住民の相談窓口、納税事務などでLINEの「公式アカウント」を使う自治体は約900。もはや「公共インフラ」と言える存在だ。LINEは官庁や自治体に「利用者のデータは日本に閉じている」と説明していたが、実態はどうか。調べてみることにした。

ポッドキャストでも、峯村健司編集委員が取材の舞台裏やLINEの問題点を解説します。

 1カ月にわたって英語や韓国語、中国語のネット情報を徹底的に調べた。中国の求人サイトで見つけたのが、「LINE中国」という会社だった。

 LINE中国本土では2014年以降使えない。求人内容には「ソフト開発 2万元~3万5千元(約34万~60万円)」「日本語の翻訳 8千~1万3千元(約14万~22万円)」などとあり、日本に関連する業務をしているとみられた。LINEの子会社で韓国に拠点を置く「LINEプラス」が、18年に遼寧省大連に設立していた企業だった。中国のネットから集めた情報を読み込む一方、LINE関係者の取材を進めると、18年に設立されたLINE中国が、日本のLINEのソフト開発をしていたことがわかった。

英語や韓国語の内部資料 日本の利用者の個人情報は…

 日本の利用者の氏名や電話番号などの個人情報は、どのように取り扱われていたのか。それを解く鍵は、独自に入手した、LINE社内で業務上のやりとりを記録した内部資料にあった。英語や韓国語が交じり、IT(情報技術)専門用語や内部向けの略語もある文書を5人の取材班を組んで読み込んだ。

 その結果、LINE中国の技術者が、利用者の個人情報が含まれている日本のサーバーにアクセスできる状態だった可能性が浮かび上がった。

 取材内容を裏付けるため、LINE経営統合した東京のZホールディングス(HD)本社に取材すると、ZHD幹部はLINE中国の技術者が日本のサーバーにアクセスしたことを認めた。3日間、計6時間に及ぶやりとりを重ねた末、同社は「中国人技術者4人が32回アクセスしていた」と説明した。

 利用者のデータが外部に流出した可能性についてはZHDは「漏洩(ろうえい)は現時点で確認していない」とした。ただ確認できたのは20年3月から1年間のみで、それ以前のアクセスについて記録が残されていなかった。

 中国政府は17年、「いかなる組織及び国民も、国家の諜報(ちょうほう)活動に協力しなければならない」と定めた国家情報法を施行。LINE中国が設立されたのは、その翌年だ。同法を根拠に、LINE中国が個人情報の提供を当局に求められるリスクを考慮したのか。LINE幹部は「弊社の法務・セキュリティー部門から国家情報法に対する意見は出されておらず、対応は後手に回っていた」と認めた。

 LINEのデータ管理のあり方は、ただちに法令違反になるものではない。だが、「データは閉じている」という説明は結果的には虚偽だった。政府や自治体、そして私たちが大切な個人情報を預けるにはあまりにも危うい、ずさんな管理体制と言えた。

 ZHDの謝罪のコメントを含めて、3月17日付で「LINE個人情報保護、不備 中国委託先で閲覧可に」と報じた。その後も取材を続け、利用者間が投稿したすべての画像と動画のほか、スマホ決済「LINE Pay(ペイ)」利用者の取引情報を韓国内のサーバーに保管していたことも報じた。

 LINEの経営陣は23日夜に初めて記者会見し、出沢剛社長が「ユーザーにご迷惑とご心配をおかけしており、心からおわびを申し上げる」と陳謝。中国からのアクセスを遮断したと説明。韓国のサーバーに保管していた画像や動画データは順次、すべて国内に移す方針を示した。

 ZHDは外部有識者による特別委員会で、データの取り扱いについて、セキュリティーとガバナンス(企業統治)の観点から検証・評価を進めている。6月には、LINEについて「正確な情報発信によって説明責任を果たす姿勢が社内で不足していた」とする中間報告を公表。近く、最終報告をまとめる予定だ。(編集委員・峯村健司

広がる利用見合わせ 政府も動いた

 報道の波紋は瞬く間に広がった。

 一報が報じられた3月17日、加藤勝信官房長官(当時)は会見で「適切に対応する」と述べた。

 総務省と政府の個人情報保護委員会は3月19日、運営会社のLINEに事実関係などの報告を要求。その後、業務委託先の中国企業の監督状況などを調べるため、LINEと親会社のZホールディングス(HD)に立ち入り検査した。保護委は4月にLINEが委託先を定期的に監査していなかったなどと認定し、改善を指導した。

 保護委は明確な法令違反はなかったとしたが、LINEが委託した個人データは大量で、秘匿性も高いことを重視。「不適切な取り扱いが生じた場合の影響も大きい。それに応じた高い安全管理措置が必要」と指摘した。

 総務省電気通信事業法に基づいてLINEに改善を指導。委託先の技術者がLINEのシステムに入る際のアクセス権限の管理が不十分だったと判断した。調査の過程では、中国人技術者が日本国内のサーバーにアクセスした回数が、LINEの説明より多かったことも判明した。ただ、投稿内容を読めないケースが大半だったとして、「通信の秘密」の侵害には当たらないと判断した。

 中央省庁や自治体でもLINEの利用を見合わせる動きが広がった。

 LINEは、多くの人が使うLINEアプリから公共サービスを利用できる仕組みを整え、自治体との連携を進めていた。千葉県高知県大阪市など各地の自治体が利用を一時的に取りやめ、総務省も行政情報の発信などを一時停止した。新型コロナウイルスワクチンの接種予約にLINEを使うことを予定していた200超の自治体の一部には、利用を保留する動きもあった。

 問題発覚を受けた政府の調査では、LINEを使う政府機関と地方自治体の業務の約2割で、機密性のある情報や個人情報を扱っていたことがわかった。業務の中には、いじめ・虐待や自殺などの相談が含まれており、職員同士が個人アカウントで業務の連絡を取り合っていた例もあった。

 政府は4月末、政府機関や自治体向けのLINE利用の指針を作成。利用自体は認めるものの、住民の個人情報など機密性のある情報を扱うことは原則禁止することを明記した。篠健一郎、中島嘉克)

石井夏生利・中央大教授「国益にかかわる恐れある」

 個人情報保護の観点で見ると、一つの企業が利用者のプライバシー保護に対する期待に沿えていなかったという事案だ。しかしLINEのように、国民にとって選択の余地が事実上ないデジタルプラットフォーマーの情報管理の問題は、経済安全保障という観点でとらえることが重要だ。かりに政府要人がLINEを利用してその情報が他国に抜き取られれば、国益にかかわる恐れがある。学術分野なら、知的財産の流出というリスクもある。

 今回の報道は、国や自治体に「利用者のデータは日本に閉じている」と説明していたLINE側の説明を覆すもので、プラットフォーマーへのチェック機能の重要性が示された。国や自治体が企業と連携する際の危機意識の醸成や、企業の公明正大さを国民に説明できる体制づくりが急務であることも浮き彫りにした。

 日本は、テロの現実的な脅威にさらされた米国や英国などに比べて情報保護に関わる法整備が十分ではなく、国民の危機意識も高いとはいえない。日本国内だけで見ても、中央と地方では差がある。これはサイバー空間に限らず、サプライチェーン(部品供給網)などにも言えることで、中国製の部品が情報を抜き取るという、サイバー攻撃に比べて目立たないが「じわっと入ってくる攻撃」への懸念もある。今回の問題発覚で、政府内でこうした点への意識が高まり、議論が活発化した。

 一方、デジタル世界の移り変わりは速く、リスクもめまぐるしく変化する。LINE社も急成長に情報管理の徹底が追いつかなかった例と見ることができる。報道にも課題を瞬時にとらえ、時には先回りして課題やリスクを報じるぐらいのスピード感が求められる。そうでなければ今後、デジタル改革が進む政府や自治体、個人のプライバシーを扱う企業などへのチェック機能を果たせなくなる。

 今回のLINEのような問題が個人の情報にとどまらず、国を守ることにつながるという意識。こうした問題の本質を、いかに国民一人一人まで浸透させていけるかが、今後の報道に問われているのではないか。(聞き手・大部俊哉

     ◇

LINE〉2011年3月の東日本大震災後に電話やメールがつながりにくくなったことから、安否確認などのための無料通信アプリとして韓国IT大手NHN(現ネイバー)の日本法人が開発し、11年6月にサービスを開始。「トーク」と呼ばれる会話機能だけでなく、音楽配信や決済、政府や自治体の手続きなどのサービスを展開し、月間利用者は今年6月の発表で国内約8800万人、台湾やタイなど世界で約1億8700万人に上る。日本法人は13年に「LINE」に商号変更。今年3月、ポータルサイト「ヤフー」を傘下に持つZホールディングス(HD)の完全子会社となった。

LINEの個人情報管理の不備をめぐる経緯

2021年

3月17日 LINEの個人情報が中国の業務委託先から閲覧可能になっていた問題を朝日新聞が報道

  18日 LINEが「トーク」に投稿された画像と動画を、利用者に具体的な説明のないまま韓国内のサーバーに保管していたことを本紙が報道

  19日 親会社のZホールディングス(ZHD)が、外部有識者による特別委員会の設置を発表

     総務省と政府の個人情報保護委員会がLINEに報告を求めたと発表

  23日 LINEの出沢剛社長らが記者会見して謝罪。中国からのアクセス遮断や韓国内に保管していたデータを国内に移す方針を表明

  26日 ワクチン予約でのLINE利用を保留する動きが自治体に広がっていることを本紙が報道

  31日 個人情報保護委がLINEとZHDに立ち入り検査

     LINEがプライバシーポリシー(個人情報に関する指針)を改定。データ移転先や保管先の国名を明記

4月16日 金融庁が全国の金融機関に個人情報管理などの一斉調査を始めたと報道

  23日 個人情報保護委がLINEに改善指導したと発表。業務委託先の中国企業への監督などに不備があったと判断

  26日 総務省LINEに改善指導。社内システムの安全管理や利用者への説明に不十分な点があったと認定

  28日 ZHDが決算報告の会見で、個人データの移転先について「保護法制のレベルが日本と同等の国や地域に限られるべきだ」と言及。中国は含まれないとの見方も示す

  30日 LINEを利用した行政サービスの約2割で機密・個人情報を扱っていたとする調査結果を政府が公表。こうした利用を原則禁止する指針もまとめる

5月31日 出沢剛社長らが役員報酬の一部を自主返上すると発表

6月11日 特別委が中間報告で「正確な情報発信で説明責任を果たす姿勢が社内で不足していた」と指摘