LINEは3月23日、ユーザーの個人情報が(業務委託先である)中国の関連企業からアクセスできる状態になっていた問題などについて記者会見を開き、謝罪しました。メディアからは「データが漏洩、流用した可能性は」「健康保険証のデータは、本当に韓国で保管していたのか」「業績に与える影響は」などの質問が相次ぎました。会見の内容を詳細にお伝えします。

  • LINEがメディア向け説明会を実施。今後のデータガバナンスについて説明

LINEが認識する課題と、今後の方針

冒頭、LINE 代表取締役CEOの出澤剛氏は、「ユーザーの皆さまにご迷惑とご心配をおかけしており、心からお詫びを申し上げます。大変多くの皆さまの信頼を裏切ることになったこと、非常に重く受け止めております」と謝罪。同席したLINE 取締役CSMOの舛田淳氏、上級執行役員の池邉智洋氏と共に深々と頭を下げました。

  • LINE 代表取締役CEOの出澤剛氏

LINEは、何が問題だったと認識しているのでしょう。出澤氏は、おもな課題認識として以下の3点を挙げました。

  • 中国で個人情報にアクセスする業務を実施していた。
  • LINEトーク上の画像、動画、ファイルを韓国で保管していた。
  • プライバシーポリシーで国名を明示していなかった。

  • 現状の課題認識

中国の拠点では5社の委託先と業務提携。タイムライン、オープンチャット、ユーザーから「通報」されたメッセージなどにおいて、スパム行為やフィッシングなどの迷惑行為がないか、未成年との不適切な出会いに関するメッセージがやりとりされていないか、といったモニタリング業務を委託していました。また、LINE Payにおいては、取引情報、利用者情報を韓国のデータセンターで保管していました。

  • モニタリングを中国の委託先に外注

  • LINE Payの取引情報、利用者情報は韓国にあるデータセンターで保管

こうした問題に対処するべく、安心・安全な2つの国内化として、「中国からの完全アクセス遮断、中国での業務終了」「トークデータの完全国内移転」を発表しました。中国からのアクセスは3月23日をもって完全に遮断(業務終了)。トークデータは6月までに日本国内へと完全に移転する予定です。

  • 安心・安全な2つの国内化

このあと、出澤剛氏はLINEメッセンジャー(トーク)、LINE公式アカウント(トーク)、自治体向けコロナワクチン予約システム、LINE Payといったサービスにまつわるデータの保存場所をすべて日本に移転すると発表。最後に「LINEはグローバルで成長してきた企業です。グローバルの企業と協調して、一緒に(システムなどを)開発してきました。一方で、世の中の情勢は変化しており、いろいろと我々が見落としてきたことが多かったんだな、ということで非常に反省しています」と再び謝罪しました。

  • 今後のデータ管理方針。サーバーを順次、国内に移転していく構え

今回の件に関しては、いくつかのプレスリリースが発信されているので、一読してみてください。報道関係者向け説明会の資料も公開されています(PDFファイル)。3月29日には金融庁へ報告、4月19日には総務省への報告を予定しています。

質疑応答

このあとメディアからの質問が相次いだため、当初の予定より45分延長して対応しました。

今回の方針について出澤氏は、「ユーザーさまへの配慮が足りず、こうした事態になったことを重く受け止めています。信頼回復を第一と考え、なるべく早く、明確な対応をする必要があり、こうした処置を決めました」と説明します。

データの漏えい、流用の可能性については「現時点では確認していません」。開発拠点は中国のほか、韓国、東南アジア、タイにも及んでいますが、そうした国からデータにアクセスした人間もいるのでは、という質問には「いま中国におけるデータアクセスの問題にしぼって、個人情報委員会に報告しているタイミングです。また改めて、他国における状況も開示していきたいと思っています」としました。

  • LINEの開発拠点は世界7カ国に及びます

―― 何が問題だと認識しているか。

出澤氏:ユーザーの方々対する、分かりやすさに対する配慮がかけていた。法的にどうこうではなくて、ユーザー感覚で『気持ち悪い』と思われるような、そうしたことに対して配慮ができていなかったと思います。

―― こうした状況になった経緯は?

出澤氏:我々の説明がミスリーディングだったと思います。開発のイベントなどでは、グローバルで開発しているとは言ってきましたが、(どこで開発しているなど)クリアな説明はしてこなかった。今後は、例えばデータ移転先の可能性のある国名、目的などをプライバシーポリシーに明記していく方針です。

  • プライバシーポリシーを改訂

―― プライバシーポリシーに国名を明記しなかった理由は?

出澤氏:まさに本来、世の中の動きを見れば、先回りしてやるべきことだったと思います。ずっとそのような表現をしてきたので、先んじて変更すべきだったのに、できなかった。検討はしており、やるタイミングを社内で議論していたところでした。

舛田氏:国の改正個人情報保護法は来年(2022年)の施行を予定しています。そこで、中国におけるいくつかの業務について国内移転の準備中でした。でも、まだ大丈夫じゃないか、と考えていました。LINEは、皆さまに『情報インフラ』と考えていただくまでに成長しました。だから、もっと率先してロールモデルになるべきでした。

  • LINE 取締役CSMOの舛田淳氏

―― なぜ最初から日本にサーバーを置かなかったのか。

舛田氏:LINEのサービスを考えたとき、速さ(レイテンシ)が大事な要素となります。画像や動画は、テキストに比べて非常にサイズが大きいため、レイテンシを考慮すると、サーバーは近くにあるほうが良いんです。

LINEは国内だけに向けたサービスではなく、台湾、タイ、インドネシアでも展開しており、当初はロシアや中東にもユーザーがいました。こうした状況においてもレイテンシがしっかり保たれる必要があった。かつ高いセキュリティレベルを持つサーバーがあり、さらには適した人材がいる国、と考えたときに、親会社である(韓国企業の)NAVERがありました。ある意味、リーズナブルな場所を選んだということです。

  • LINEのデータセンターは世界5カ国に設置

―― これまで国外に委託していた業務や保存データを日本国内に移管すると、どのくらいのコストがかかるのか。

舛田氏:データセンターがたくさん必要です。きちんと準備と投資をしていきます。

―― それによってサービスは劣化する可能性は。

舛田氏:日本のマーケットに対して、どうやってレイテンシを上げていくのか、という話になります。オープンチャットみたいなものは、実は2019年あたりから順次、日本のサーバーに移し始めていました。日本に置くという選択肢は、すでに持っていたんです。そのスピードを上げていこう、ということです。

―― LINEトークのテキストや画像は、そもそもサーバーに残せないシステムではないのか。

出澤氏:おっしゃる通りです。永久的にデータをサーバーに残すデザインにはなっていません。ユーザーさまの利便性のために、ある程度、残しておくという設計です。サーバーにある古い画像などは、ある程度の期間で消去されてアクセスできない状態になります。サービスによっても、その期間は異なります。

  • 上級執行役員の池邉智洋氏

―― 今回の問題が発覚したのち、ユーザー数に変化はあったか。

出澤氏:「ありがたいことに、ユーザー数に大きな変化はなく、使っていただいており感謝しています。

―― 健康保険証のデータも韓国で保管していたのか。

舛田氏:LINEヘルスケア社の運営する「LINEドクター」において、健康保険証、領収書、明細書、医師の本人確認書類、医師免許証などを韓国のデータセンターで保管・管理となっていました。センシティブなデータですので、日本への移管を予定しています。オンライン診療における動画は保存できない構造になっていて、また、通常の会員情報は日本国内のデータセンターで保管・管理されていました。

―― 健康保険証にもアクセスできていたということか。

出澤氏:韓国のデータセンターにアクセスできるケースは非常に限られており、障害が起きたとき、緊急時などです。現実的には、ほとんどありません。実際に権限を持っているエンジニアはいた、ということです。

―― 海外のメガプラットフォーマーは国境を越えた開発をしているが、今回の問題によって貴社の海外との協業は鈍化してしまうのでは?

出澤氏:海外との協業は我々の強みでもあるので、しっかりと手続きを踏んだ形で継続していきます。

―― 海外の特殊な法制度に対する考慮が足りなかったのでは?

出澤氏:中国での開発を長い間、続けていました。中国で2017年に施行された国家情報法という潮目の変化を見落としていた、というのが偽らざるところです。それは言い換えれば、ユーザーさまへの配慮が足りなかったということ。現状、皆さまからの信頼を失う事態になっています。

―― サーバーはクラウド化する時代であり、今回の件は大きな問題ではないのでは、という見方もあるが。

出澤氏:韓国に画像があり、ユーザーの皆さまから失望感が出てしまった。その観点から、我々への期待値として、しっかりやっていかないといけないと理解しております。

―― 中国で行っていた業務を国内のどこに移転するのか。

出澤氏:福岡県にLINE Fukuokaという大きなセンターがありますので、そちらに引き継ぎ、もろもろ吸収する形で調整しています。サービスレベルが低下する心配はないと考えています。

―― 中国の委託業務先ではこの先、何の業務が残るのか。

出澤氏:LINEコミュニケーションに関係ないもので、個人情報にあたらないものは、一部の継続が検討されています。多く業務は、これから検討していきます。

  • 中国拠点でのおもな委託先と業務

―― モニタリングツールなどの国内移管については?

池邉氏:(中国から)日本側の開発チームに引き継ぎます。モノはそのままで、開発チームが変わる形です。LINE Chinaが開発したツールは、セキュリティチームがソースコードから安全を確認したうえで、実装していきます。

―― 一部の報道では、中国人の技術者が32回にわたって個人情報にアクセスしたとされているが、それは何のためだったのか、コピーなどされていないのか。

出澤氏:アクセスの内容などは確認できています。いま個人情報保護委員会に報告している内容ですので、この場での言及は控えさせてください。

―― 業績に与える影響は?

出澤氏:現時点では、まずは信頼回復に努めます。影響がどう、というところよりも、まずは足元をしっかり対応していくことだと思っています。