【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
******
シン・エヴァンゲリオンを人生初の4DXで観た。
可能なら語りたいところだが、最終盤は領域展開進行からの(以下ネタバレのため省略)、、、的な終わり方がおれにはよく理解出来ず、変な解釈で恥を晒したくないので、3月中旬から一連報道されているLINEの個人情報の取り扱いに関して書くことにする。
その前に、まず断っておきたいのは、今回報道されている「LINE」と法人利用を想定した「LINEWORKS」は別製品であり、サービス提供元も資本関係はあれ別会社、ということである。
LINEWORKSの提供元は、今回LINEで問題視された点はシステム上も運用上も当てはまらないと公式にアナウンスしており、現時点ではあくまで個人利用を想定した「LINE」についての話となる。
また話の前提として、LINEでやり取りされるデータは全て暗号化され、サーバにも原則として暗号化された状態で保管されている。
暗号化されたサーバ上のデータは運営側も原則として読み取ることは出来ないが、後述(1)については例外的な状態だったとのことである。
ただし現時点では、情報が悪用されたという事実は確認されていない。
3月17日、LINEの個人情報取り扱いを問題視する一連の報道の内容を受け、LINE社は以下の3点について課題認識として公式サイトでアナウンスした。
(1)中国で平文化された個人情報の一部にアクセスする業務を行っていた
(2)トークでやり取りされた画像や動画、LINE Payの取引情報等を国外(韓国)に保管している
(3)国外保管を行う旨を記したプライバシーポリシーにおいて国名は明示していない
これを受け総務省は3月19日、省内におけるLINE利用停止と、LINEを公式アカウントやサービスとして利用している自治体に対して利用状況の報告を求める事態となった。
一方LINE社も3月23日公式に会見し、上記を認めたうえで情報漏えいは確認出来ておらず、また中国からの個人情報に対するアクセスは遮断したと述べ、合わせて今後の改善を宣言した。
上記の(1)~(3)について、「ニュースになってるけど何が問題なの?(いまさら聞けない)」と思っている方もいると思うので、それぞれ具体的に何が問題視されたのかを改めて考えてみる。
(1)だが、報道において問題視された背景には中国の国家情報法という法律の存在がある。
中国企業は中国当局から情報提出を命令された場合にはそれに従う義務があるため、国内の個人情報にアクセスさせる相手としてふさわしくないのではないか、という中国の法的リスクに基づいた指摘である。
(2)と(3)は関連している。
画像や動画、決済アプリ(Line Pay)の一部データが韓国のデータセンターに保管されているということだが、韓国には中国のような法的リスクは存在しない。
またプライバシーポリシーには、国名は記載されていないにしても第三国(外国)にデータ保管する可能性が記載されているし、ほとんどのクラウドサービスにおいて同様の記載となっている。
個人の信条によって自分の個人情報を渡したくない国があっても不思議ではないが、国名が記載されていないことも含めて利用開始時に納得済みのはずである。
したがって本来は問題ない、、、はずなのだが、LINEは国や多くの自治体が提供するサービスのインフラとしても利用されている。
例え法律上(後述)や慣例上は問題がないにしても、報道をトリガーとして問題視する声が大きくなれば政府として静観するわけにはいかなかった、といったところではないだろうか。
本来これはLINEだけの問題ではなく、グローバル社会におけるクラウドサービス共通の課題である。
現行の個人情報保護法において、プライバシーポリシー上における国名記載は必須とされていないが、一方でガイドライン上には記すべきだと書かれている。
つまり必須かどうかはあいまいであり、前述の通り実際にデータ移転先の国名は記載されていないサービスが多い。
しかしながら、2022年に施行予定の「改正個人情報保護法」では国名記載が必須となる。
各クラウドサービス事業者は今後決まる具体的な改正内容に沿って利用規約やプライバシーポリシーをアップデートしていくだろう。
利用規約やプライバシーポリシーは小さな文字で長々と書かれており、正直、これ読めって、、、あんたバカぁ?!という気しかしないが、間違いなく読むべきである。
利用規約から逃げちゃだめだ。
