情報漏洩を繰り返す企業体質は改善することができるのか。「LINEヤフーに外圧を」。情報セキュリティ対策の管理徹底のための提言とは? 2023年12月5日に掲載した『繰り返される情報流出 LINEは使っても大丈夫か?』を再掲する。
11月27日、大手ITサービスLINEヤフーから、「利用者情報を含む40万件の個人情報が流出した可能性がある」との発表があった。LINE利用者の性別、年代、LINEスタンプの購入履歴や取引先や社員のメールアドレスなどが含まれているという。
LINEは今年10月にヤフーと合併し、個人情報の管理方針であるLINEヤフープライバシーポリシーを改定して、利用者がログインすると順次同意画面を表示することで新しいプライバシーポリシーに同意することを求めていた矢先の情報漏えいである。
LINEは、2021年3月17日にも業務委託先の中国の関連会社の従業員が国内の個人情報データにアクセス可能な状態だったことを公表しており、この時も物議を醸している。LINEの説明によると、18年8月から21年2月までの間、中国上海の会社から国内にあるサーバーに置かれている氏名、電話番号、ID、メールアドレスや利用者の通信内容にあたるトーク機能や利用者が保存したメッセージなどの個人情報がアクセス可能だったほか、掲示板機能「オープンチャット」の監視業務が国内の委託先から中国の大連にある会社に再委託されていたことも判明している。
プライバシーポリシーに記載された業務委託先
LINEヤフーは、サービスを提供するために必要な業務、例えばインフラの構築、運用、開発、決済、配送、カスタマーサポートなどの業務を第三者に業務委託する場合があることをプライバシーポリシーで公表している。プライバシーポリシーの項番5.b.「業務委託」には、「パーソナルデータの全部または一部を以下の国または地域に所在する企業を含む当該業務委託先に預託しています」とした上で、移転先として日本、米国、韓国、アイルランド、カナダ、フィリピン、豪州、ベトナム、タイ、台湾、インドネシアをあげている。
個人情報保護法は、海外に個人情報を移転する場合、利用者に同意を得ることを求めている。LINEとヤフーの統合に伴うプライバシーポリシーの改訂へ同意することは、改めて韓国を含む海外企業への業務委託を利用者が認めることになるのだ。
プライバシーポリシーは、その条項を読むこともなく、ほぼ無意識と言っていいぐらい簡単に同意ボタンを押して同意してしまうが、この行為は自分の個人情報を海外企業に委託するかどうかについての大きな決断なのだ。
