LINEの個人情報保護の不備について
緊急事態宣言は21日で全面解除する方針を表明しました。
今の流れについてはある程度想定はできていたが、病床使用率の関係で延長したのはいいとしても、これ以上陽性反応者が減るのも現実的ではないと言うか、3月という時期もあって増えることはある程度織り込み済みなのと、これ以上緊急事態宣言を継続してもメッセージ性が変わらないので無意味であるといったところの判断と思われます。個人レベルだと、変異株でもワクチン接種してもやることは変わらないですし、必要な対策というのも、三密回避、三密時のマスク、手洗いくらいで、容器の使い回しなど飲食の伴う花見、歓送迎会を控えるくらいしか出来ることはないですが、いろんな意味で騒いでるのは一部だけだと思いますよwww
LINEの個人情報保護の不備が本題となります。以下の記事を紹介します。
LINE、委託で個人情報保護に不備 ルール整備不可欠: 日本経済新聞
LINEは17日、システム開発を委託している中国の関連会社の従業員が、日本国内の利用者の個人情報にアクセスできる状態になっていたと発表した。LINEは個人情報保護法に違反しないとしているが、専門家の意見は分かれる。IT(情報技術)サービスの業務が拡大し海外への委託が広がっており、グローバル展開を支えるルール整備を急ぐ必要がある。(略)
あとLINEのプレスリリースです。
あとはこちらの記事も分かりやすいと思います。
LINEのデータは、日本と韓国のデータセンターで以下のように保管されております。
【日本のデータセンターで保管されているデータ】
トークテキスト・LINE ID・電話番号・メールアドレス・友だち関係・友だちリスト・位置情報・アドレス帳・LINE Profile+(氏名、住所等)、音声通話履歴(通話内容は保存されません)、LINE内サービスの決済履歴 等
【韓国のデータセンターで保管されているデータ】
画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報*1
*1 氏名住所など本人確認に必要な情報は国内で保管されています
そしてLINEの暗号化の状況は以下となります。
LINE Transparency Report - LINE Corporation
各コンテンツタイプ別の暗号化状況(Letter Sealing, LEGY暗号, HTTPS)をまとめると以下のようになります。
| コンテンツタイプ | 2015年 | 2016年 | 2017年9月 | 2018年4月 | 2019年10月 | 2020年9月 |
|---|---|---|---|---|---|---|
| テキスト | ◯ | ◯ → ◎ | ◎ | ◎ | ◎ | ◎ |
| 位置情報 | ◯ | ◯ → ◎ | ◎ | ◎ | ◎ | ◎ |
| スタンプ *2 | △ | △ | ◯ | ◯ | ◯ | ◯ |
| 画像ファイル *3 | △ | △ | ◯ | ◯ | ◯ | ◯ |
| ボイスメッセージ *4 | ☓ | ☓ | ◯ | ◯ | ◯ | ◯ |
| 動画ファイル *4 | ☓ | ☓ | ◯ | ◯ | ◯ | ◯ |
| その他のファイル *3 | △ | △ | ◯ | ◯ | ◯ | ◯ |
凡例: ◎ Letter Sealing対応 / ◯ 通信経路上での暗号化あり / △ 部分的な保護 / ☓ 暗号化無し or 不十分な暗号化 | ||||||
「グループ通話」、「グループビデオ通話」および「LINEミーティング」においては、通信路上の暗号化が適用されています。
| 通話タイプ | 2015年 | 2016年 | 2017年9月 | 2018年4月 | 2019年10月 | 2020年9月 |
|---|---|---|---|---|---|---|
| 1対1音声通話 | ◯ | ◯ → ◎ | ◎ | ◎ | ◎ | ◎ |
| 1対1ビデオ通話 | ◯ | ◯ → ◎ | ◎ | ◎ | ◎ | ◎ |
| グループ通話 | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| グループビデオ通話 | - | ◯ | ◯ | ◯ | ◯ | ◯ |
| LINE ミーティング | - | - | - | - | - | ◯ |
凡例: ◎ Letter Sealing対応 / ◯ 通信経路上での暗号化あり / - 機能未実装 | ||||||
尚、「Letter Sealing」によって暗号化されたものは、サーバー管理者であってもデータの中身は閲覧できないようです。また、画像・動画データについては複数のサーバーにファイルを分散化して保管されており、韓国のデータセンターに保管されてるものは、2021年半ば以降、段階的に国内への移転を行う計画されております。
穿った見方をすれば、「Letter Sealing」で暗号化されている情報以外のデータは、権限次第では閲覧はできるとも解釈が出来るし、開発に必要であったとしても、権限設定が一部不適切であったというのは事実ともいえます。
こんな記事も出てるしねw
モニタリングは、ユーザーが「公開」設定で投稿したコンテンツと、ユーザーによる「通報」が行われたコンテンツのみが対象なっており、ユーザーから通報が行われると、平文でテキストデータや画像や動画などがアップロードされる仕組みとなっており、タイムラインとオープンチャットのモニタリングは、LINE Fukuokaのほか、LINE Fukuokaの外部委託先(大連)でも行っているようです。
開発時にこれらの権限が与えられており、中国の大連の開発会社から、日本国内の利用者の個人情報にアクセスできる状態にあったといった問題となります。
①LINEの捜査機関対応業務従事者用CMSの開発(名前・電話番号・メールアドレス・LINE ID・トークテキスト*3)
②LINEのモニタリング業務従事者用CMSの開発(通報によりモニタリング対象となったトークのテキスト・画像・動画・ファイル、および、通報または公開によりモニタリング対象となったLINE公式アカウントとタイムラインの投稿)
③問い合わせフォームの開発(名前・電話番号・メールアドレス)
④アバター機能、LINEアプリ内のOCR機能の開発(同機能の利用において明示的に当社のデータ活用についてご同意いただいた顔写真)
⑤Keep機能の開発(ユーザーが同機能を利用して保存したテキスト・画像・動画・ファイル)
以下の記事を見ると、LINEでは2月下旬にアクセスできない措置を取りましたが、中国の技術者から少なくとも32回、日本のサーバーにアクセスがあったことが分かったようです。
恐らく、今回の件は悪用されるような情報は含まれていなかったが、問題の本質としては、現行の個人情報保護法は、利用者の同意があれば個人情報を国外に移したり、日本にある情報を海外から見られるようにしたりすることを認めていることや、外国企業への業務委託の範囲の適正といった問題があります。冒頭の日経新聞の記事ですが、こんな程度の認識ですので、恐らく今回の件は氷山の一角の可能性が高いです。
ある国内のアプリ開発企業は、ベトナム子会社に個人情報を含む業務を委託している。ベトナムを選んだのは「中国より人件費が安く、国家にデータを見られるリスクも低いため」という。
そんな状況ですので、甘利氏が動くようですね。
与党も対策に動く。経済分野の安全保障政策を主導する自民党ルール形成戦略議員連盟の甘利明会長は17日、企業の情報保護体制に警鐘を鳴らした。
日本経済新聞の取材に「無防備に人材・コスト面から中国企業に(業務を)委託している日本企業は多く存在する。これを機にリスクを洗い出すべきだ」と訴えた。
外国企業との取引ルールを定めるガイドライン(指針)が必要だとの問題提起もした。「外国企業との取引を法律で禁止するのは難しいが、中国に機微データを抜かれることで米欧のサプライチェーン(供給網)から外される可能性があるとの危機感が足りない」と強調した。ルール議連や新国際秩序創造戦略本部を開き、党としての対応策を議論する方針だ。
今回の件でも、LINEの説明で明確になったのは、「Letter Sealing」で暗号化されている情報以外のデータは、権限次第では閲覧はできるとも解釈出来るし、さらに言えば、韓国のデータセンターだけの問題ではなく、日本のデータセンターに保管されているデータが安全というわけではないということです。
最もLINEだけではなく、全ての個人情報が適切に管理されてるかは不明ですし、今回のように一部のデータのアクセス権が不適切であれば、個人情報が海外へ漏洩している可能性もあるわけですね。意図的にやりそうな企業もありますし、ある程度の枠組みは必要だし、LINEが反日とか中国企業だから問題みたいな感じで捉えてる限りは、この手の問題はなくならないということだけは確かだと思います。
そういう意味では、今回の件は朝日新聞の報道とあって、本質ではない記事が出てるあたりが怖いですねwww最も、朝日新聞的に中韓ガーとかいうのを煽ってるだけですしwww