2021年3月17日、日本で圧倒的なシェアを誇るメッセージングアプリのLINEにおいて個人情報管理の不備が報じられた。具体的には、プライバシーポリシーにおいて国内LINE利用者の個人情報の移転やアクセスを行う先が「第三国」となっており、国名を記載していなかったことが問題とされた。
個人情報保護委員会は、国名を指定した上で、利用者の同意を得ることを求めており、その点が不十分であったというのが本事案の表面的な事実である。しかし、LINEの業務委託先である中国企業の担当者が、開発や保守目的で、国内利用者データへのアクセスを行っていたことで、個人情報の漏えいの恐れがあることが同時に報じられ、国会議員や自治体におけるLINE利用が問題視されるなど、社会的な問題へと発展した。さらに、LINE(トーク)上の画像・動画は韓国のデータセンターで保存されており、韓国関連企業がアクセス権を保有していることも、国名指定の不備に該当するとされた。
今回の事態を受けてLINEは、中国関連企業の国内データへのアクセスを削除し、韓国にある画像、動画ファイルを2021年8月までに日本へ移転するとしている。同社はグローバル企業であり、日本以外にもアジアを中心にビジネスを展開している。多くの競争相手と戦う中で、この移転作業そのものや、移転後の国内データセンター維持費用の差分などのコストは、ビジネス上の大きな負担となるだろう。つまり、国際競争力の確保というビジネスゴールとは矛盾することになる。
こうして考えてみると、本件は、単なる「個人情報管理の不備」という次元の話ではなく、本連載で扱ってきたスマートシティーのデータ活用における課題と深く関わっていることが分かる。例えば、カナダ・トロントでのスマートシティー計画の頓挫は、スマートシティーで収集される都市データを私企業(Google関連企業)が活用することによる、プライバシー侵害の懸念と住民との対話の難航が大きな一因であった。すなわち、「経済的な発展」と「プライバシー確保や規制順守にかかわるデータ管理コスト」のトレードオフの問題であり、かつ、そのデータ管理の状況をどのように対外的に説明するのかという問題でもある。
データ活用ビジネスにおけるアプリケーションとデータ管理
データ活用のビジネスにおいて「データ」は、誰のもので、どこにあって、どのように移転・保管され、誰がアクセスできて、どのように加工され、いつ廃棄されるのかといった「データ」の取り扱いをルールとして定め運用することが求められる。また、同時に「データ」を内外の脅威から保護し、セキュリティリスクを下げることも重要だ。
加えて、セキュリティの観点から考えると、「データ」を保護するためには、それを取り扱うアプリケーションも合わせて考慮する必要がある。なぜなら、「データ」は必ず何らかのアプリケーションを介して処理されるからだ。「データ」に対する脅威の大半は、実はアプリケーションに対する脅威である。例えば、アプリケーションの設定ミス、脆弱性やバックドア※1の存在などが脅威として挙げられる。また、データの取り扱いルールや、暗号化などのセキュリティ対策の具体的な要件を検討する際には、該当国や業界の規制・コンプライアンスを順守する必要がある(図1)。今回のLINE事案では、規制・コンプライアンス順守の観点から、「App&データの取り扱い」とその外部に対する説明に課題があったといえる。
図1.ビジネスにおける「データ」と「アプリケーション」管理の考え方
※1:「裏口」の意。アプリケーションやデータに不正なアクセスを可能とする侵入口のことを指す。
