画像:LINE株式会社より引用
SNSサービス「LINE」において2021年3月17日、運営元のLINE株式会社が中国の関連企業に開発業務を委託したことにより、委託先企業の一部技術者が日本ユーザーの個人情報にアクセスしていた事実が判明しました。
LINE株式会社によると、同社はサービス運用に利用する予定のシステム開発業務を中国の関連会社に業務を委託しており、委託先の技術者に日本ユーザーの個人情報が記録されているサーバーへのアクセス権限を付与していました。
このため、委託先企業の従業員は2018年8月から、日本ユーザーの個人情報が記録されていたサーバーへアクセスを実行したとのこと。ただし、LINE株式会社によると、不正なアクセスはなかったとのことです。
なお、同社は上記企業とは別の中国企業に不適切投稿の監視業務を委託していたほか、日本国内で送信された画像や動画データなどを、韓国のサーバーに記録していたとのことです。
アクセス権を削除し対応進める
日本の個人情報保護法は、国内で得た個人情報を海外に提供する場合、利用者の同意を得るよう求めています。また、個人情報保護委員会は2021年6月に控える法改正に合わせて、提供先の国名明記も義務付ける方針を示しています。
ところが、LINE株式会社ではLINEの個人情報指針にて、国外に個人情報を移転する場合があるとの記載にとどめており、国名の明記まではしていませんでした。このため、同社は2021年2月~3月にかけて該当企業の技術者が接続できないように設定を変更する措置を講じました。
なお、LINE株式会社の親会社であるZホールディングスは、第三者委員会を設置して運用の見直しなどを調査すると決定。ただし、日本の総務省などは今回の問題を受け、同省でのLINEの運用を見直すほか、地方公共団体にも運用報告を行うように求める考えを示しています。