不信感招いた「LINE」の個人情報管理から考える企業の責任
対話アプリケーション(応用ソフト)「LINE」利用者の個人情報が中国から閲覧可能になっていたことが3月に判明し、波紋を呼んだ。法令違反や外部への情報漏えいは認められなかったものの、個人情報の管理体制や利用者への説明不足で不信感を招いた。
LINEは開発や運用の一部を中国の関連会社に委託しており、現地担当者が日本国内の利用者の個人情報を閲覧できる状態だった。また、韓国のデータセンターで画像や動画をデータを保管していた。プライバシーポリシーにデータを海外に移転する可能性があることは記載していたが、具体的な国名まで明示していなかった。
中国では2017年に政府が企業や個人に情報活動への協力を求められる国家情報法が施行され、情報管理の動きを強めている。LINEの親会社であるZホールディングス(HD)が設置した外部有識者による特別委員会は「(政府機関などが民間企業に強制的に情報開示を求める)ガバメントアクセスなど経済安全保障への配慮が不十分で、見直す体制もなかった」と断じた。
国内利用者のデータを韓国のサーバーに保管しているにもかかわらず、担当者が官公庁に対して「データは日本に閉じている」と事実に反する説明をしていたことも明らかになった。
同社はすでに中国からのアクセスを遮断し、中国での開発業務を終了。利用者がやりとりしたデータを韓国から国内のサーバーに移す作業を進めている。
今回明るみになった一連の個人情報管理の不備について、現行法には抵触していない。しかし、国内利用者8900万人を抱え、行政手続きなどにも用いられる重要な情報インフラである点が問題視された。
社会のデジタル化に伴い、個人情報の収集が容易となった分、企業の管理責任は増す。「プラットフォーマー」と呼ばれる大手IT企業には、社会の個人情報保護への関心の高まりや国際情勢の変化を先取りした対応が求められる。