だから言わんこっちゃない、LINE情報漏洩の深すぎる闇

スポンサーリンク
データベース IT

だから言わんこっちゃない、LINE情報漏洩の深すぎる闇

7年前から指摘してきたのに

今回、朝日新聞・峯村健司さんらの報道で明らかになった、⽇本国内で最も利⽤されているSNS「LINE」の個⼈情報が、⽇本国外である韓国のサーバーに暗号化されていない無防備状態格納されており、しかも再委託先の中国企業などがアクセス可能な状態だったという事件は、第一級の情報漏洩事案である可能性があり、安全保障上、極めて重大な損失を日本の国家・社会に与えかねないものだと認識しています。

by Gettyimages

筆者は、LINEが設立に関与した一般財団法人情報法制研究所の事務局次長と上席研究員を兼任し、また、日本の個人情報保護の枠組みについて研究を行ってきました。

本件LINEの事件についても知り得る立場にあり、2014年ごろからこの問題について警鐘を鳴らしてきたつもりではありましたが、今回の一連の報道でようやく広く国民の知るところとなり問題視された件については、安堵と同時に忸怩たる気持ちを抱きながら、問題の詳細について本稿で解説して参りたいと存じます。

また、この問題が進む過程で、筆者自身が長年執筆をつづけてきていた「ヤフーニュース個人」の1000本以上の記事が、すべて削除されました。言うまでもなく、LINEを運営していた旧LINE社とヤフージャパン社は経営統合を今年3月1日に行っており、本件問題について従前より指摘をしてきました。また、この経営統合について望ましくないと論じてきた筆者が疎ましかったのかもしれません。

が、相応の根拠を持って問題を指摘してきた筆者に対する言論封殺とも言える事態が起きている件については、これが世界と戦うプラットフォーマーを目指すと標榜した会社のやることかと疑問に感じますので、冒頭にまず申し上げておきたいと思います。【本稿の執筆は3月22日午後、その時点で把握している情報を元に記事を執筆しています。】

何が問題であったか

2014年7月号の会員制月刊誌「FACTA」(14年5月発行;当時・阿部重夫編集長)で、LINEで書かれているトークの内容を含む個人情報が、韓国の情報部門「韓国国情院」を通じて、中国系ICTコングロマリット大手であるテンセント社(騰訊)に漏洩していたという記事「韓国国情院がLINE傍受」が発表されました。

その直後の14年7月、韓国経済紙の報道を追う形でロイターが「アリババとソフトバンクによるLINEへの出資交渉」が進んでいたことを報じています。当時より、LINEの事業の主体は韓国よりも日本、タイなどの他国でのSNS事業がメインであることは知られていましたので、アリババグループやソフトバンク系がLINEを欲しがった理由は、まさにLINEが持つSNS機能そのものはもちろん、SNS経由で取得される⽇本⼈などの個人に関する情報であることは⾔うまでもありません。

一連の報道に前後して、LINEは情報漏洩が行われていたとするFACTA記事に対して、否定するプレスリリースを打っています。結果的に、これはまったくの嘘であり、隠蔽であったことが明らかになるのですが、実際には、LINEの暗号化レポートにもある通り、LINEは情報の漏洩そのものがあることは内々で認めて、漏洩が起きないような暗号化対策を粛々と打ってきたことが分かります(「LINE、改めて傍受を否定 『暗号化後データは独自形式、解読は不能』」  ITmedia NEWS)

これを見る限り、コンテンツタイプ別に見て「〇」の表記が示され、あたかも暗号化が為され、問題ないかのように表示されているものの、実際には「通信経路上での暗号化あり」であって、韓国NAVERのサイトで保存されているユーザーの画像や映像、LINE Payの決済情報などのコンテンツについては暗号化されずに、権限のある人(韓国NAVER技術者など)が見ようと思えば見られる状態であったことは自明です。

危険性の本質

LINEが当時、なぜ明らかに虚偽である「(日本人利用者などの)データ解読は不能」とリリースを打ったのかは謎ですが、ここの情報には画像・映像だけでなく、決済情報も入っており、そこには一部exifを含む位置情報や撮影日時に関する情報が格納され、またLINE PayやLINE証券などの決済データには個人の信用情報や決済の場所(お店)・金額なども含まれています。

これらの情報は、諜報上、極めて利用価値の⾼いものです。この韓国NAVER社のサーバーから韓国の情報機関である国情院や、その先の国家の情報部門などにデータがリレーされていたとしてもおかしくないものです。実際、韓国は法体系として、裁判所の令状に拠らず政府機関などが捜査や調査の名目で民間企業の持つデータにアクセスする権限を有しており、日本人の個人に関する情報が危険にさらされている危険性が極めて⾼い状態であることが改めて認識されたと判断されます。

つまり、これらの日本人の個人に関する情報は、単に個人に関する情報が他国の情報部門に素通りになっていたとして、そのことだけが問題なのではありません。

一連の個人に関する情報からソーシャルグラフと言われる「誰が、誰とつながって、どのくらいの頻度で音声や動画のコンテンツをやり取りしていたか(どのくらい親密な関係か)」を割り出すことができます。これは、例えば自衛官や海上保安庁の職員、警察庁・警視庁の関係者のみならず、その家族のライフログを収拾することで、特定の隊員・職員が誰と親しく、どこに駐屯していて、いま家族と一緒なのかどうかも含めて分析を行うことができることを意味します。

 

仮にexifなど撮影場所などの位置情報が含まれていないとしても、その時間帯に家族とLINEで連絡を取り合っていることが分かれば、確実に「その自衛官や警察官、海上保安庁職員、政治家秘書などは、家族と一緒の場所にいないことを示します。ソーシャルグラフから、どこに勤めるどういう家族構成の人物かのプロファイリングが進めば、保存されている画像や音声、映像、トーク時間などから、その人物がほぼリアルタイムでどこにいるのか分析可能であろうことは間違いないのです。

ごく簡単に⾔えば、⻑年にわたり、少なくとも2014年以降、日本人の個⼈に関する情報が韓国NAVER社のサーバーに無防備な形で収納されており、ユーザーに不利益になる形で、例えば情報機関などに漏れていたとしてもおかしくない状態だったと⾔えます。

しかしながら、日本では警察庁なども問題に気づきながら「警察庁行動原則 2019年11月号112頁情報セキュリティの基本原則」においても「5 ソーシャルメディアを利用して警察情報は絶対に取り扱わない/LINEアカウントの乗っ取り等、ソーシャルメディアは情報流出の危険性が高いことから、警察情報は絶対に取り扱わない」との対応に留まったため、警察官本人の個人での利用(友人との連絡およびLINE Payなど私的な活動)や、家族間の連絡などでは広くLINEが使われ、結果として警備に関する情報が従前よりかなり漏れてしまっていたのではないかと危惧される事態となりました。

越境データの問題

一方、LINEの問題に関して対外的に対処しているZホールディングス社は公式での釈明において、主に朝日新聞報道を念頭に「ユーザーの個人情報に関する一部報道について」というリリース文を掲載しています。

この内容は、一連の問題は「日本の法規法令に基づく当社のデータガバナンス基準に準拠して適切に取り扱ってい」るとして、あくまで適法なデータ処理の一環と扱ったうえで、ユーザーへの利用規約においてデータ管理の再委託等に関する表現に不備があったという説明に終始しています。

何より、冒頭に合った「『LINE』に対して外部からの不正アクセスや情報漏えいが発生したということはございません」という文言については、そもそも外部からの不正アクセスがあったり、情報漏洩があったことに対する問題というよりは、韓国企業が自由に日本人の重要な個人に関する情報にアクセス可能な状態で長い期間格納され続けたという、いわゆる「越境データ」問題がそこにあったわけです。

 

漏洩はもちろん最悪ですが、それ以前に、中国、韓国など第三国で閲覧可能な状態でデータが⾒られる状態に置いてあったこと⾃体が問題だったと⾔えます。

一方、では他のSNSやプラットフォーム事業者はどうなのかという問題が起き得ます。当然のことながら、GoogleやAmazon、Microsoftなど欧米系プラットフォーム事業者においても、また、LINE以外のSNSでも運⽤上、ユーザーデータを暗号化せずに平⽂で置いておく仕組みで管理している企業は存在します。

これは、先日問題となったオンライン会議システム「Zoom」が一時期中国系情報機関の監視対象下にあったのではないかという懸念や、Bytedance社が提供する動画SNS「TikTok」でも同様の情報漏洩が行われただけでなく、中国政府による情報監視が行われているのではないかという問題があったのは記憶に新しいところです。

後述しますが、日本の法規において、これらの越境データがどのような形で保存・格納され、適切にデータ処理が行われていたかどうかを知ることは困難が伴います。今回のLINEの問題は、一連の「データは誰のものか」を考えるうえで、日本人が日本人の手によってどこまで自分たちの情報を管理できるのか、法的にカバーされるのか、何かあったときに救済の余地はあるのか、という議論の入口にあるということです。

当局の対応と問題解決への道筋

LINEは公称の利用者が世界で1億8600万人あまり、日本で8400万人あまりとされ、日本においては特に、もっとも国内で利用されているSNSということもあり、その利便性の高さ故に自治体や政府機関なども含めて多くの公共機関による利用が進み、また、機密情報を扱う企業や研究所、大学法人などの組織でも多く使われてきました。

特に昨今のコロナウイルスワクチンの接種に関しては、一部の自治体では住民の接種状況や予約においてLINEが広く使われ、ワクチン接種のロジスティクスについてLINEが果たしている役割は大きいと言えます。

しかしながら、これらのLINEでやり取りされるデータが、仮に日本国内で完結しない仕組みであるのだとすれば、すべての自治体や政府機関がオフィシャルでLINEを利用することは、ただちに日本人の情報が韓国にリアルタイムで漏れてしまうことに他なりません。

実のところ、現在に至るまで、Zホールディングス社からのリリースや政府機関・各政党への説明は行われているものの、肝心のLINE社は記者会見はおろかリリースも出ていないように見えます(3月22日現在)。

まずは、正⾯の問題は⽇本⼈の個⼈情報保護の状況について政府が知るところから始まるのは間違いなく、すでに報じられているように個⼈情報保護委員会がLINEに報告を求める形から始まり、不⾜分、分からない部分については早期に独立行政委員会である個⼈情報保護委員会による⽴⼊検査を相応の規模で実施する必要があります。

また、通信事業法違反の嫌疑では総務省が、LINE PayやLINE証券などでの情報漏洩の疑いについては金融庁が、自治体情報など各行政サービスにLINEが果たした役割と問題についてはきちんと経営陣の国会への喚問なども踏まえて、事実関係の確認を進めていくべきでしょう。(「個人情報保護委、LINEに報告求める 法的措置も視野」朝日新聞デジタル )

ただし、前述の通り問題は越境データであり、韓国NAVER社で格納されていた⽇本⼈の個⼈に関する情報がどういう状態であったのか、が問題になります。これは、Zホールディングス社やLINEがいかに釈明をしようとも、また、⽇本の個⼈情報保護委員会当局が武装して韓国NAVER社に乗り込もうとも、実態を完全に把握することは不可能です。そうであるがゆえに「データに不正にアクセスされた痕跡があったかどうか」ではなく「そもそもデータが閲覧可能な平文の状態で海外で保存されていた」という時点でアウトであると言えます。

少なくとも7年以上前から、LINEの情報が韓国当局に把握されていた報道が事実だとするならば、いまさら乗り出していったところで状況の全容を掴むことは不可能と言えます。

同様に、情報が流出していた疑いの強いLINE Payなどの決済情報もまた、韓国NAVER社でどの程度流出してしまっていたか、可能性としてどれだけの情報が閲覧可能な状態で韓国に置かれ続けていたのか把握する必要があります。

さらに、LINE証券や、LINE Payとの統合が進められるとしていたPayPayほか、LINEとヤフージャパンの各サービスとの連携において、国民の信用情報、決済情報がどれだけ現地韓国のデータとリンクして、どこまで平文で格納されていたのかを調査しなければなりません。そして、これらの聴取について、実際に韓国側事業者や再委託を受けていた中国企業や中国人技術者が、素直にすべてのことを正直に話してくれる保証はどこにもないのです。

全体像はうかがい知れない

いずれにせよ、利用者情報が適切に管理されていたのかという観点から見るならば、LINEが行ってきた金融関連事業はもちろん、そこに関連するヤフージャパンの金融関連事業もまた調査の対象としなければなりません。

例えば、国内QRコード決済最大手とみられるPayPayとの統合を視野に入れていたLINE Payの情報が、不適切な形で韓国で管理されていたのだとするならば、PayPayもまた、現状の情報管理がどうなっていたのか検証する必要があります。

PayPayはインド決済技術大手Paytm社のテクノロジーを使って運営されており、そのPaytm社はごく最近まで中国アリババ社の出資を受け同じテクノロジーを使って世界的決済大手アリペイ(Alipay)を運営しています。

その意味では、ヤフージャパンが手がけるPayPayはAlipayクローンであり、また、日本国内ではAlipayと提携しているPayPayがどのような形でデータを管理しているのか、当局は全体像を知る必要があります。

そして、これらの一連の問題は、LINEとヤフージャパンの経営統合を行うにあたり、相互で、どれだけの統合前調査(DD;デューデリジェンス)を行ってきたのかという話になります。

両者ともにインターネット上でのサービスを⾏う⼤企業同⼠の実質的な合併であり、最もリソースを投⼊すべきデータインフラのところで起きているのが今回の韓国NAVER社の問題であることを考えれば、ヤフージャパン側も「統合されるまで知りませんでした」ということはあり得ません。

ヤフージャパン側の経営責任者である川邊健太郎さんは、かねてヤフージャパンの経営方針を「データドリブンカンパニー」と掲げ、同じくCSO(チーフストラテジーオフィサー)を務める安宅和人さんもビッグデータやデータサイエンスの重要性を重ねて説いています。

しかしながら、その足元で起きていることが大規模な経営統合している先のデータが中国や韓国にそのまま流れている疑いがあり、それについてデューデリジェンスで気づくことなく、3月1日の経営統合直前になってから「1月下旬に外部からの指摘で」判明し、経営統合後の3月中旬になって朝日新聞が一面で報じてから「実は知りませんでした」と言われても、どういうことなのだと叱咤激励せずにはいられません。

明らかに、知っていて統合を急いだのではないかという懸念も抱きますし、一連の報道において、本件両社の経営統合が行われた3月1日以降になって都合よく報道が行われた点において、経営統合後の主導権を握りたいヤフージャパン側が、問題を知ったうえで報道にリークしたのではないか、という噂すらも出る状況になるのは、過去の経緯からしても致し方のないことです。

いずれにせよ、韓国へのデータ移転に対して、日本国内法において適法であり、ユーザーに対する利用規約の記述内容や説明が不足していたとするZホールディングス社側の説明においても、個人情報保護法や、資金決済法、通信事業法、金融商品取引法の面などからも懸念される事項は多く、また、どういう形であれ自治体や政府機関のデータが適切とは言えない形で韓国で格納されていたのだとすれば、冒頭にも述べた通り第一級の情報漏洩事案として、安全保障の枠内で話されるべき内容であることには変わりありません。

この問題はどう着地されるべきか

結局のところ、出て行ってしまったかもしれないデータは返ってこず、なにぶん相手は中国や韓国ですので、仮に我が国の当局が「調査させて欲しい」と言ってもシラを切られたらどうしようもありません。起きてしまったことは仕方がないとして、振り向かず泣かないで歩いていくのであります。

重要なことは、(a)この問題を糧にして、中長期的に日本のデータポータビリティ、越境データ、データローカライゼーションといった我が国の国民の情報を適切に守るための仕組み、法制度、検証体制(立入を含め)を如何に整備し、実効性のある仕組みを用意するかという議論と、(b)当面の問題として、我が国が行わなければならないDX、eガバメントなど国民の公的情報の情報化をLINE抜きでどう手配していくのかという議論とを縦軸・横軸として並行して行っていくことです。

一部には、「だから日本にデータを置いておくべきなのだ」あるいは「中国や韓国の企業や技術者は信用できないので、日本発のサービス企業や仕組みで公的情報を展開するべきだ」といった議論が出てきます。

しかしながら、確かにLINEやZホールディングス社が最悪の形で韓国に日本人の情報を格納していたからと言って、他のプラットフォーム事業者や日本のサービスベンダーが、彼らより適切な形で日本人の情報を管理している保証はありません。

越境データだから駄目なのだという話ではなく、適切な形で日本人の情報や住民票など公共データが管理され、それが事業者からの報告だけでなく利用者からの要請で開示が行われ、また、何か問題があったときにきちんと立入でき、被害があれば日本法で裁くことができて、日本の中で救済されることが求められます。

その場合、(a-1) 個人情報保護の枠組みとして、個人情報保護委員会から総務省や都道府県・自治体が扱う行政情報まで一通でデジタルに最適化した制度的なロジックをどう貫徹し、国民の生活における利便性と安全性とを共に向上させるのか、(a-2) 国民の重大な資産や決済、信用に関する情報の取り扱い基準を見直し、プラットフォーム事業者が金融事業をクロスオーバーさせる際の適切なデータ取扱いのあり方を模索する金融庁側の仕組みの最適化、さらに(a-3) 国家の情報機密に類する個人に関する情報をカバーする枠組みと、情報の追跡可能性を如何に整備するかが問われています。

LINE問題のダメージコントロールは

LINEの問題とは別に、コロナウイルス対策において、経済的困窮者も含めた国民に対する特別給付金を緊急に政府が支給しようにも、そもそも国民の連絡先や普段使いの銀行口座すら知らず、自治体が徹夜して対応に追われた事例などは、まさに我が国が国民の情報を持たずに今日までやってきたことの問題が露わになったと言えます。

もちろん、LINE的な情報漏洩のようなものがあってはならないのは間違いないのですが、一方で、自治体が何か住民に対してサービスを行うにあたって、国民に広く使われているLINEが機能的に必要不可欠なものだと認識されていたこともまた事実です。

その利便性ゆえに、金融部門や健康情報もLINEに機能として吸収された結果、今回のような大規模な問題に直面して大変な騒ぎになったことは懸念として共有されるべきですが、やはり必要な機能とデータの安全性、何かあったときの日本国内で完結する救済の仕組みが法的に整備されることで初めて我が国のDX、データプラットフォームはようやく道筋がつけられることになります。

 

これらの保全は、データ資本主義と言われるプラットフォーム事業全盛の世界において、まさに大航海時代における造船術・航海術にも模される技術分野であって、国民を守る安全保障の根幹を担います。国民の情報保全から所得把握・徴税まで「将来の日本社会がデータを公的部門がどう守り、利活用していくのか」という青写真を考えて計画的に、着実に進めていかなければならない分野です。

しかるに、当面の問題をどう落着させ、社会がLINEの問題をどうダメージコントロールして咀嚼するかを考えていかねばなりません。単に「だからLINEは駄目だったのだ」と感情的に反応することよりも、この問題が示した我が国の脆弱性そのものを、当面どう弥縫策として解決していくかが大事であると言えます。

(b) 我が国の国民と行政情報を利便性の高い形で安全に繋ぐDX、電子政府の枠組みについて、いま一度「何が理想であるか」と「それに向けて、どのような計画で実装していくか」という落とし込みを再度考えていくべきでしょう。

単に中国や韓国に情報委託をするのはけしからんという話だけではなく(立憲民主党の長妻昭さんが指摘した日本年金機構からマイナンバーが中国に漏洩した件も一連の情報保全に含まれる)、LINEに代わる有力なSNSやメッセージングサービスが国内に見当たらないことのほうが不適切であると言えます。

この場合、国や自治体が個別の小さな予算で一個一個システムを立ち上げるのではなく、決済から納税、自治体が提供するすべてのシステムをネット上にきちんと統合していくアプローチを如何に適切な段取りで取っていくかを考えていかなければなりません。


ある意味で、ここを「自由競争」にしてしまったために、気がついて見ればセキュリティ上、取り返しがつかない事態に陥って、安全保障問題にまで発展してしまうというのは日本の悪い意味での伝統芸になっています。問題を矮小化することなく、この問題をきっかけとして、日本をより便利で快適な社会にするための飛躍にできればと願います。

コメント

タイトルとURLをコピーしました