総務省 LINEに報告求める方針 中国の会社のアクセス問題で
コメント
注目のコメント
LINEは政府のツールとしても使われてるインフラなのでそこの情報開示が不誠実であれば調査するのは良いと思いますが、GAFAとなると、もはや政府が調査する方法すらないブラックボックス感が強く、国内企業だけが厳しく監督されて外国企業は野放しみたいな事態にならないかは心配です。
例えば、Google+の情報漏洩が適切に開示されなかった事件が過去にありましたが、Googleの本体に日本の省庁が調査したりGoogleのCEOを国会に呼び出したりはできないですよね。このLINEの問題はなかなか難しい。
システムの運用や管理を外部に委託すること自体は特別なことではない。
システムの機能追加や改良などは自社を中心とした外部の開発要員(あるいは下請け会社)とのチームで行うことが多いが、そのデータの管理やサーバコンピュータの運用は自社で行うのではなくそれを専門に行う外部の会社に委託することは多い。
例えば最近よく耳にする"クラウド"というコンピュータシステムは、データやアプリを自社のコンピュータを用意するのではなくクラウドサービスを提供する他社のコンピュータにアプリやデータをインストールしてシステムを利用者に提供する。
"クラウド"を運用する会社はアプリのアップデートをシステムをできるだけ停止しないように行い、データの増加に対応してシステムの記憶容量の増設や応答速度を維持するためのデータアクセス効率化対応などを行っている。
このような作業に必要な技術はアプリ開発とは異なるもののため自社で要員を確保するより専門会社に委託するほうが効率的でかつ安全と言える(場合がある・場合が多い)。
よって、委託を受ける外部の会社は委託を受けたシステムのアプリやデータを見ることができることになる。それを他の競合他社に漏らすことがないように"契約"として約束を交わすことで漏洩を防止する。
このように考えれば、LINEがシステム管理を外部の会社に委託していることは"問題"とは言えない。その会社がシステムのデータにアクセスできることはシステム管理上必要ならそのこと自体を"問題"とは言えない。
しかし、記事にあるように"電気通信事業法"に基づいた通信事業ということを考えれば、通信の秘密の確保は重要となる。ユーザ情報や通信内容などのデータは暗号化するなどによりシステム管理者であっても見ることができないようにシステム設計(+構築)をしておくべきである。
LINEがこのような設計やシステム運用委託が行えていたのかどうか。暗号化していたとしてシステム管理者がそれを複合(暗号解除)して読めるようなことになっていなかったか。などが焦点になるのではないかと思う。
期限までにLINEが総務省に対して行う報告の内容に注目したい。EUのGDPR(個人情報保護)と日本の個人情報保護法で個人データの持ち出し(閲覧)でも問題になっていた話と似ている。中国との間で個人データが持ち出し(閲覧)OKとなっているかによると思うが、それは無いと思う。
EUの個人データを日本パソコンからインターネット経由で見る操作は情報持ち出しの移転で規制対象になるが、EUのGDPRと同様に日本の個人情報保護法が個人データを保護する体制にあると2019年に認定された。EUと同じルールで日本にも移転(閲覧)出来るようになったと理解している。逆もOKだと思った。Googleでさえ、GDPR違反で、62億円の制裁金支払いを命じられたことがある。LINEのセキュリティが甘いということになり、EUなら制裁金支払いの対象になりそうだ。
