LINE社の個人情報セキュリティ問題に学べること
掲載:2021年10月22日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ニュートン・ボイス
2021年10月18日、Zホールディングス株式会社(以下、ZHD社)より、LINE株式会社(以下、LINE社)が提供するコミュニケーションアプリ「LINE」の国内ユーザの日本国外での個人情報の取り扱い問題に関して、最終報告書「グローバルなデータガバナンスに関する特別委員会 最終報告書」が公表されました。
個人情報漏洩などの情報セキュリティ問題について、「自社は大丈夫なのか?」ということを、企業の皆さんは何よりも気にしていらっしゃると思います。この報告書から私たち当事者ではない者がどんな気づきを得られるだろうかと、私も早速目を通してみました。読んでみて感じたのは、「今、企業は個人情報セキュリティに関して、どこまでの厳格な対応を求められているのか?を知るのに絶好の事例になる」ということでした。
世の中の報道からは、あたかもLINE社の情報セキュリティ管理が相当杜撰だったかのようにみてとれます。私は、報道だけをみて「自分達の会社に比べても相当いい加減な管理をしていたに違いない」と結論づけるのは短絡的すぎるし危険だと感じました。LINE社の取り組みは、皆さんの企業における取り組みに比べてそんなにひどいものだったのでしょうか。何がどう足りていなかったのでしょうか?自社に当てはめて考える場合、どうなるでしょうか?今回はその点にフォーカスを当てていきたいと思います。
目次
LINE社の問題と私たちが持つべき「問い」
深掘りをする前に、LINE社では何が問題だったかということを整理しておきたいと思います。ひとことで言えば、「日本とは個人情報保護に対する考え方が異なる国の企業にデータアクセスができる業務を委託、またはそうした国にユーザのデータ保管をしていたにもかかわらず、利害関係者にそれを説明しなかった、または、正しく説明しなかった」という点が問題視されたのです。具体的には、報告書では次のように説明しています。
- 通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの業務に基づくアクセスがあり、このことについてユーザーに対して説明をしていませんでした
- 送受信された画像、動画及びファイル(PDFなど)が韓国のデータセンターに保存されていたにもかかわらず、ユーザーを含め対外的には、「LINEの個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をしていました。また、中央省庁等に対して、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の、客観的事実に反する説明を一部で行っていました
※出典:ZHD社「グローバルなデータガバナンスに関する特別委員会最終報告書;はじめに」より抜粋
このような問題に対して、私が知りたいと感じたことが2つあります。1つは「外国企業に委託をするときに、特に情報セキュリティに関して、企業がどれだけ厳しいリスクアセスメントをどのようにすべきなのか?」という点。EUではGDPRが、米国ではCCPAが、中国では個人情報保護法がそれぞれ整備されていますが、企業がそうした国の企業に業務委託をする際に何をどこまで気にすればいいのでしょうか。
そしてもう1つは、「利害関係者にそれを説明しなかった、または、正しく説明しなかった」と述べましたが、では「どこまで正確かつ具体的な情報を顧客に説明すべき」なのでしょうか。言い換えるならば、どれほどの情報の透明性を意識したリスクコミュニケーションをとるべきなのでしょうか?
企業はどれだけ厳しいリスクアセスメントをどのようにすべきなのか?
皆さんの企業において、何かしらの業務を外国企業に委託するとなった場合、どのようなリスクアセスメントを行うでしょうか?LINE社で行ったリスクアセスメントについて、報告書では次のように書かれています。
「LINE社の情報セキュリティ部門は、従前より、外部の法律事務所を起用する等して外国の個人情報保護法制についてのリサーチを行い、リスク評価を行っていた。しかし、2015年頃に中国におけるLINEアプリのサービスを中止していたこともあり、国家情報法等のように、個人情報保護法制そのものではないものの情報管理に影響を与え得る外国法制について、網羅的にはリサーチ対象に含めていなかった。」
※出典:同報告書「第2章1(2)中国において開発・保守を行うに至った経緯」より引用
このように、LINE社は全く何もしていなかったわけではなく、法律事務所等を使ってリスク評価を行っていたことがわかります。しかし、特別委員会が問題視したのはそのスコープです。「特に中国のような情報統制の強い国において、このご時世、LINE社のように通信インフラとも言えるサービスを提供する企業は、個人情報保護法のようなデータ取り扱いに直接的に関わる法律以外も考慮するのが妥当だろう」という指摘です。また、どのようなデータにどのようなアクセスがなされる可能性があるのかについては、サービス企画・開発に携わった部門が一番よくわかる立場であるにも関わらず、リスク評価の主体が情報セキュリティ部門になっていたという点も、課題を感じさせます。
この点について私の推測ですが、個人情報漏洩などの情報セキュリティ問題について、LINE社と同程度のリスクアセスメントしか行っていない企業は他にも数多くある(あった)と考えます。もちろん、「取り扱うデータの機密度やボリュームがとてつもなく大きいLINE社であればこそ、それくらいの厳格さは当然だ」という見方もあるでしょう。ただ、今後、情報セキュリティに対する各国の規制は厳しくなりこそすれ弱まることはないと考えます。今まではそれでもなんとかなった企業も、今後はそこまで意識していくことが必要と言えるのではないでしょうか。
なお、LINE社は、こうした問題対応の1つとしてリスクマネジメントのあり方も見直しています。具体的には、「LINE社が開発・企画するサービスごとの固有のリスクシナリオの洗い出しが不十分であった」との認識に立ち、事業部門(スリーラインモデル/スリーラインディフェンスの第一線)による自律的なリスク管理活動の強化を開始しているそうですが、この点についても見習うべきことがありそうですね。
どこまで正確かつ具体的な情報を顧客に説明すべきか?
皆さんの企業では、個人情報の取り扱い方についてどこまで具体的かつ正確に顧客に伝えているでしょうか。LINE社では「利害関係者にそれを説明しなかった、または、正しく説明しなかった」という点につき、大きく2つの具体例が示されています。
まず1点目。LINE社は、先の中国企業へ業務委託をしているという事実について、ユーザに対して「外国にある第三者からのアクセスがある」ことを説明していたものの、具体的な国名については説明をしていませんでした。そして2点目。LINEアプリで送受信された画像、動画およびファイル(PDFなど)は韓国のデータセンターに保管される仕組みとなっていたにも関わらず、ユーザを含め対外的には「LINEの個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をしていました。以下はその具体例です。
(2013年)ユーザー増加に伴う取材や問い合わせの増加を受けて、報道用FAQやそのドラフト段階での表現として、「LINEのサーバーは日本にあるため、日本の法令を遵守した上で運営されている」、「LINEを構成する主要なサーバーはすべて日本国内にあります。」
※出典:同報告書「第3章1(2)」より引用
なお、LINE社がなぜこのような説明の仕方に落ち着いたのかについて、報告書からは2つの理由が読み取れます。1つは、当時(2013年ごろ)、韓国に言及することで、かえって風評リスクを拡大させ得るような状況が存在したことが、組織の判断を萎縮させたのではないか、ということ。そして2つ目には、主要なデータはそのほとんどが日本側のサーバにあったことから「『主要な』サーバーはすべて日本国内にあります」という表現をすれば、説明責任を果たせると思ったことです。特に2点目については、LINEアプリ上のコミュニケーション全体の8割以上を占めるトークテキストの保管場所が日本であったのは事実のようです。(*1)
*1 データの保管状況に関し、データ量という観点では、韓国に保存されていた画像、動画及びファイルは、日本に保存されていたトークテキストに比べてデータ量が相対的に大きいため、韓国に保存されていたデータが多くなるものの(8割強)、送信数を基準にするとコミュニケーション全体の8割以上を占めるトークテキストは日本に保存され、関連するサーバーの数という観点では、その8割以上が日本に存在することが確認されている
※出典:同報告書「第3章1(2)②当該コミュニケーションに関する意思決定の状況」より引用
さらに報告書では、次のような事実があったことも述べています。
「韓国のデータセンターに保管されている画像・動画・ファイルは本人の氏名や電話番号などの情報とは紐づかない保管構造となっていることから、当時のLINE社の経営陣が『日本に保管されている』という回答方針を策定した」
※出典:同報告書「第3章1(2)②当該コミュニケーションに関する意思決定の状況」より引用
LINE社では、「利害関係者にそれを説明しなかった、または、正しく説明しなかった」という指摘を受けて、説明内容と実態を合わせるため、日本へのデータ移行を進めています。併せて、外国に保管してあるデータや外国企業がアクセスする可能性のあるデータについては、国名を明記するように修正しています。
いかがでしょうか。「どこまで正確かつ具体的な情報を顧客に説明すべきか?」という問いの答えは見つかりましたでしょうか。「お客様の情報がどこにどのように保管されているのか?どこの国の誰がアクセスする可能性があるのか?」をどこまで具体的に記載し、お客様に伝えるべきでしょうか。皆さんの会社では、同じような問題が起きていないでしょうか?「LINE社とはサービス内容が違うから、我が社は問題ない」で済ませることができそうでしょうか?この点につき、どのような思想を持って説明責任(アカウンタビリティ)のあり方を考えるべきか、良いヒントが報告書に提言として書かれていますので、それを下記に引用しておきます。
「ユーザーファーストといったときに、『ユーザーが気分を害する可能性があるから、なるべくオブラートに包んだ方がいいのではないか』というような短視眼的な考え方は、ユーザーに長くサービスを使ってもらう観点からはユーザーファーストであるとは言い難い。日本のコミュニケーションインフラを提供するLINE社は、『ユーザーを裏切らない』ことを重視し、中長期的な視野に立って誠実なコミュニケーションを行うことを旨としなければならない。そしてそのことを、LINE社の役職員ひとりひとりが思いを致さなければならない」
※出典:同報告書「第5章2.LINE社の政策渉外を含む対外コミュニケーションのあり方に関する提言」より引用
私たちがこれからなすべきこととは
本稿では、あえて焦点を絞り、論点を「企業はどれだけ厳しいリスクアセスメントをどのようにすべきなのか?」「どこまで正確かつ具体的な情報を顧客に説明すべきか?」という2つの問いに置き換えて報告書を読み解いてきました。ですが他にも問題はありますし、これら問題を解決するためには、組織のあるべきルールや体制を見直していかなければいけません。また、それを実施する人の気持ちも変えていかなければいけません。考えるべきことはたくさんあります。
だからこそ、同報告書は、ユーザーの個人情報の保存・アクセスを許容する国・地域に関するルールを作成することや、グループ全体での経済安全保障に関するガバナンス体制の構築、関連規定やマニュアルの整備及び見直し、企業風土・心理的安全性確保等、包括的な対策を提言しています。特にガバナンス体制は、ZHDグループの大きさを考えると解決の大きな鍵となるものです。報告書は、特にガバナンス体制については詳しく言及しており、「縦と横のガバナンスの強化・ベストミックス」の必要性を説いています。ここで横のガバナンスとは、事業会社個社の中で牽制を働かせるためのものを言い、縦のガバナンスとは、横のガバナンスが適切かつ円滑に運用されることを担保するためのグループ全体のガバナンスを指します(下図参照)。詳しくお知りになりたい方は報告書をご覧ください。
複眼的監督体制:横と縦のガバナンスの強化・ベストミックス
※出典:同報告書「複眼的監督体制:横と縦のガバナンスの強化・ベストミックス」より
どうですか?この辺りでお腹がいっぱいになってきたのではないでしょうか。考えるべきことは組織の大きさにも比例して広がるわけですが、あまり「ガバナンスがどうの」とか「プロセスがどうの」とか、もっともらしいカタカナ用語を使った視点から読み解こうとしても頭に入ってきませんね。かといって「どこの拠点で何があった」、「アンケートでどんな回答が得られた」などミクロの視点から読み解こうとしても、その情報量に圧倒され全体が見えなくなってしまいますよね。
だからこそ私は思うのです。私たちがこれからなすべきことは何か。それは、まず、私がここに掲げたような「単純な問い」に置き換えて、それを自組織にぶつけてみることではないか、と。
