・この記事で解決できるお悩み
LINEを使用し続けて大丈夫か不安な方
LINEの情報管理に問題があったことがニュースで話題になっています。個人情報が韓国のサーバーにあったり、中国の業務委託先(オフショア先)の技術者が個人情報にアクセスし放題だったということで、LINEユーザーが不安になっています。
では実際何が問題で、我々はどうしたらよいのか考えてみました。
LINEの情報管理の何が危ないのか
まず、LINEの情報管理の何がまずいのかを具体的に見ていきましょう。
LINEの利用規約は非常に危険
みなさんがLINEを始めるとき、LINEの利用規約を了解していると思います。たぶん、内容は読まずにチェックだけしたでしょう。
では、今回問題となった件で、LINEの規約(プライバシーポリシー)にどのように書いてあるか見てみましょう。
データが韓国のサーバーに蓄積されていた件
【プライバシーポリシー】5.パーソナルデータの提供
(中略)
当社は、お客様から同意を得た場合または適用法で認められる場合、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。
(中略)
当社のパーソナルデータの提供先には、お客様のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者を含みます。
(考察)
今回はデータが韓国のサーバーに蓄積されていたわけですが、規約で明確に”第三国に移転することがある”と記載しています。それも、”自国と同等のデータ保護法を持たない地域”と明確に書いています。
つまり、データ保護されないよ、と明言しているので、メチャ恐ろしいですね。
また、日本以外の会社にデータを提供するとも明言しています。
日本国内であれば日本のデータ保護法で守られますが、第三国にデータを移転されたら、日本の法律外になります。もうやりたい放題になりますね。
だからEUとかでも法制化したと思いますが、国外にデータは出さない法律が必要です。
【4月1日補足】
昨日の日経新聞でLINE社のプライバシーポリシー改定の記事が出ました。以下日経記事抜粋。
『従来は個人データを「第三国に移転する場合がある」としていたが、韓国、ベトナムなど初めて移転先の国・地域名を明示した。個人データの保管場所についても「主要データは日本」としていたが、「日本および韓国のデータセンターで保管」と書き換えた。』
今まさにプライバシーポリシーを確認しましたが、該当箇所の変更は確認できませんでした。また、LINE社から正式にプライバシーポリシー変更のお知らせも出ていません。
データの保管先も問題ですが、データ移転の可能性や業務委託時のパーソナルデータの預託問題はそのままなんでしょうかね?
また、ホリエモンが当件についてYouTubeで吠えてましたが、彼の主張する通り「規約も知らないで利用するのがバカ。文句を言うのはお門違い!社長の出澤(彼の元部下)が可哀そう。」は正論です。だから利用者はみんな反省して、この際LINEを使わないようにすればよいだけです。まあ、出澤社長はそれが怖いから速攻で謝ったんでしょうけど。
【4月1日補足 終了】
【プライバシーポリシー】5.b.業務委託
当社は、当社サービスの提供に必要な一部の業務(例:インフラの構築・運用、決済、配送、カスタマーサポートなど)を、第三者に業務委託する場合があります。これにあたり、パーソナルデータの全部または一部を当該業務委託先に預託することがあります。
(考察)
今回問題になったのは、中国の業務委託先のエンジニアが個人情報にアクセスできた、ということです。
この規約には業務委託先の国名はありません。ですから、どこの国でもOKになります。
また、”パーソナルデータを業務委託先に預託する”とありますので、閲覧だけでなく、委託業務の作業中はデータを移転することも可能です。
いくらNDA(機密保持契約)を結んでいるとはいえ、相手は中国人なので、外部に持ち出ししないとは限りません(ちょっと偏見?)。今回の説明ではどのような仕組みで情報管理をしていたか一切説明はありません。通常、個人情報を扱うのであれば最高レベルの情報管理が要求されます。例えば以下です。
(セキュリティ管理の例)
・関係者以外入室できないプロジェクトルームでの作業
・入退出時の持物検査(携帯含め私物持ち込み禁止)
・インターネット接続なし(プライベートネットワークのみ)
・持ち出し不可能なPC
・作業PCのUSBロック(データコピー不可)
・もちろんリモートワーク不可
また、一般的に本番データを利用するのはテストで利用するためです。本来は個人の属性情報であれば、影響のでない範囲でマスキングをかけて提供すべきですが、たぶんそんなこともしてないでしょう。
LINEはもともと韓国の会社
ご存知の方も多いと思いますが、LINEはもともと韓国資本(ネイバー社)の会社です。途中で旧ライブドア(ホリエモン)なんかも絡んでいますが、それがたまたま、森川亮氏が社長の時に開発したLINEが爆発的に普及して、日本のSNSの代表になりました。だからデータのサーバーが韓国にあっても何ら不思議ではありません。
韓国に情報保護法はありますが、保護対象は韓国国内のみ。海外の情報であれば韓国当局者が閲覧することは、韓国国内法として何ら問題はありませんし、日本の法律も犯していません。噂では韓国国家情報院が情報閲覧していたとのことです(もちろん合法です)。
実際に情報が韓国国家情報院に閲覧されていたのかどうかは分かりませんが、LINEが日本のデータを故意に海外持ち出していた、もしくは国際間の情報セキュリティ感覚が欠如していたことが問題であると思います。たぶん何らかの意図が働いていたとしか考えられません。
LINEに限らないSNSの危うさ
SNSはどれも個人情報ダダもれだ!
個人情報の取り扱いに関しては、どこのSNSでも同じように酷いものです。
我々の行動は24時間、365日監視され、記録され、情報を盗まれています。SNSの会社はその情報を商売として莫大な利益を上げているという構図。
つまり、タダで便利な機能を使える代償として、我々の大事な個人情報がどんどん吸い取られて、商売のネタになっているということです。
Cookieもヒドイ
ついでに言えば、今大きく問題視されているCookieもひどい。
cookie(クッキー)とは、我々が見ているWebサイトから自分のスマホやPCの中に保存されてしまう情報のこと。そこにはサイトを訪れた日時や、訪問回数など、場合によっては個人情報まで記録されていることもあります。
このCookieは広告配信のターゲティングなどにも利用されます。ショッピングサイトでTシャツを検索していたら、その後訪れた違うページでも同じTシャツの広告が出てきた…そんな経験をしたことはありませんか?実はcookieがその広告に関わっているのです。
気持ち悪いったりゃありゃしない。。。
データとアルゴリズムの奴隷?
このように非常に危険になってきたSNS系企業の個人情報収集と活用。行きつくところ、中国のように究極の個人管理までになる可能性もなきにしもあらず。
ノア・ハラリの 21Lessons で述べられているように、我々はデータとアルゴリズムの奴隷になってしまうのかもしれません。
つまり、データやアルゴリズムを独占しているGoogleやその他大手SNSが、神に代わって世界を支配する世の中になりかねないのです。(まだ今は大げさでしょうが。。。)
海外業務委託開発も危ない(オフショア開発)
情報管理だけでなく、海外への業務委託も危ないです。
先ほど見たように、きちんと管理されていたい場合、現地で何をやっているか分かりません。
日本で開発していても、中国人による仕様書の持ち出しやインターネットへの流出が何年か前に相次ぎ、大きな話題になりました。
ましてや、海外でのリモート開発(オフショア開発)であれば、機密情報、個人情報管理は徹底して行うべきです。
すぐに「チャイナ+1」を徹底すべき
日本企業はのほほんとして未だにチャイナに多くの開発案件を出していますが、すぐに「チャイナ+1」を徹底すべきです。
チャイナには「国家動員法」があります。
中国政府が「有事だ!」と号令をかけると、世界中の中国人が民兵化するという法律です。つまり、中国国内はもとより、世界の中国人が中国の民兵になるのです。もし中国共産党の命令に従わなければ刑事責任に問われます(恐ろしい!)。海外にいても家族が人質になるので従わざるをえません(帰化していても同じ)。つまり本人の意思とは関係なく、中国共産党の手先になるしかないのです。
また、中国国内ではあらゆる組織のヒト・カネ・モノの徴用が合法化されます。外資系企業に至っても同じです。
つまり、情報セキュリティのみならず、チャイナと仕事をするということは、全てがなくなるリスクを抱えているということです。こんなときに契約云々などは紙のごとく吹っ飛びます。
本来であれば、開発委託先を中国以外に全面移管するのがベストですが、スキル面で一気には無理なので、まずは「チャイナ+1」で移管先の国と並行作業に持っていきます。
そして徐々にチャイナの割合を減らして、他国に移管していきます。
現在では、インド、ベトナム、フィリピン、ミャンマーなどが代替国ととして利用されています。(現在はベトナムが最大)
ただ、各国とも一長一短があり、なかなかチャイナからの移管が進まないのも事実です。
今後の本命はフィリピンだ!
そんな中で、今後の本命はフィリピンでしょう。
平均年齢26歳という若い国、日本から4時間で到着できる南国パラダイス(時差1時間)。
もちろんスキル的には中国に一日の長がありますが、英語でダイレクトに情報収集できるフィリピンの特徴を生かせば、遠くない将来に追付くことも可能かと。
日本からリモートでIT人材が獲得できるサービスも展開中です。
それでも規約を改定しないLINEとは?
危険な規約はそのまま
LINEは規約を改定するとは一切発表していません。
先に見た危険な条項はそのままです。つまり、我々が読まずにチェックしたものはそのまま有効なのです。
ここにLINEという企業の危険性があります。
これだけ問題にされれば、すみやかに規約を改定して、日本人にやさしい会社になるはずです。
でも、その規約には触れず、説明不足だっとばかりに形ばかりのお詫びで済まそうとしています。
一旦は韓国のデータを日本に移すかもしれませんが、また第三国に移管しないとも限りません。もしかしたら、データは日本と韓国の二重持ちにするかもしれませんね。検証のしようもないですから。ばれたら災害対策だ、とか言い訳するかも。
また、中国の業務委託先についても、今回はアクセス権限をはく奪したが、ほとぼりが冷めればまた付与するかもしれません。規約を改定していないので、データは今でも預託可能なのですから。
我々はどうすべきか?
LINEというものがここまで普及してしまったからには、即使わないようにすることはなかなか困難です。確かにLINEが便利であることは疑いようがありません。
LINEがZホールディングス傘下になったことで日本化を進め、規約をキチンと改定するか、LINEに代わる日本人にやさしいSNSの出現を待つしかないでしょう。
※Zホールディングスの大半の株式はネイバー社とソフトバンクが出資(出資比率50%,50%)
基本的に個人ではそれほど情報を抜かれても、大勢に影響はないかもしれませんので、LINEを使いながらも、重要なことはLINE以外のもにするなど、自己防衛をするしかありません。結論は以下でしょうか。
【結論】
・LINEは規約を改定しないので引き続き危険である
・しかしLINEをすぐに使わないようにするのは無理
・LINEは他愛のない情報連携に限定して使用する
・LINE自体が変わるか、他のSNSが普及するのを待つ
いずれにしろ、我々個々人がLINEに対して、規約の改定を求める大きな声を上げていくしかありません。
また、LINE社内が今回の事態をどのように受け止めるかもいずれ明らかにはなると思います。社風はすぐには変わりません。今回のことをきちんと反省しないと、いずれまた同様の事柄が露見することになると思います。
もう一回やったら、これはアウトになるので、今後が見ものです。私もしっかり見ていきたいと思います。
私もLINE Payもやってるし。。。
まとめ
さて皆さん、いかがでしたか?
「【危ない!】 LINEのにみる情報セキュリティとオフショア開発の危うさ」をご紹介しました。これからLINEなどのSNSやる上での参考になったでしょうか。
スマートフォンとSNSは我々の生活になくてはならないものになりました。つまり、生活インフラといえるでしょう。このように生活インフラとなったSNS自体、一企業としての利益追求だけでなく、社会的責任もこれからどんどん求められ、期待に応える必要があります。
我々自身も、その便利さだけに目を奪われるのではなく、その危険性も十分認識し、SNS企業を監視するよう気を付けたいものです。
ただほど高いものは無い、昔の人は良く言ったものです。
では、明るく、楽しく、前向きに、毎日をお過ごしください。
コメント