二度あることは三度ある…たび重なる情報管理の不祥事

LINEヤフーの個人情報管理をめぐる不祥事は、今に始まったことではない。

旧LINEがZHDの傘下に入ったばかりの21年3月、中国の業務委託先の従業員が旧LINEサーバー内の利用者の個人情報(氏名、電話番号など)を閲覧できる状態にあった問題が発覚した。ZHDによれば、中国の委託先からアクセス可能になっていた期間は18年8月から21年2月までで、少なくとも4人の中国人技術者が32回アクセスしていたという。中国には、政府の要請に企業が従わなければならない「国家情報法」があり、中国政府に日本人ユーザーの個人情報が筒抜けになりかねない状況にあった。

さらに、LINEの利用者間でやりとりした画像や動画データが韓国のサーバーに保管されていた実態も明らかになった。(参考:本サイト2021年5月11日付「LINEも楽天も…頻発する「中国リスク」に日本のIT企業が備えるべきこと」)

その時はサーバーを国内に移すなどの対策をとったというが、今回、再び、海外からアクセスできる環境が続いていたことになる。

旧ヤフーも問題を起こしている。ことし5月中旬から7月末にかけて、ネイバーの技術を活用した独自の検索エンジンを開発・検証するため、ネイバーに約410万件の利用者の位置情報を提供していたことが露見。提供した情報はネイバーがコピーできる状態だったことも判明した。

総務省は8月、利用者への周知が不十分なまま個人情報を外部に出したとして行政指導に踏み切った。ヤフーはプライバシーポリシーで周知している範囲内での情報提供と認識していたというから、お粗末としか言いようがない。

セキュリティー侵害の概念
写真=iStock.com/matejmo
※写真はイメージです

国際的プライバシー認証ルールに不合格の烙印が押されていた

これだけでも、LINEヤフーの個人情報の管理体制をめぐる不信は容易にぬぐえないが、実は、まだあった。

日本経済新聞(23年7月4日付)によると、旧LINEが国際的なプライバシーの認証制度の審査で不合格の烙印らくいんを押されていたというのだ。

アジア太平洋経済協力会議(APEC)は、国境を越えて流通する個人情報の保護について「越境プライバシールール(CBPR)」を定めており、認証を得た企業は参加国のデータ保護に関するルールを守っていると認められ、国際的なビジネスを展開するお墨付きが与えられる。

そこで、経営統合の出鼻をくじかれた旧LINEは22年春、CBPRの認証を取得しようと動いた。

ところが、国内の審査機関「日本情報経済社会推進協会(JIPDEC)」は「企業統治そのものが適切に機能していない」「セキュリティー対策・安全管理措置にかかわる自己宣言が適正かつ正当なものではない」と、ハネつけてしまった。審査が始まった後に、報告していなかった個人情報の漏洩事故が10件近くも判明したというのだから、是非もない。

個人情報の保護対策に万全を期していると自負しても、第三者の目から見ればまるで不十分に映ったというわけだ。

信頼回復への取り組みが、かえって不信感を生んでしまったのである。