LINEは利用停止になって、日本年金機構は利用停止にならない理由

事の経緯
何が問題か
「中国に個人情報関連業務を委託することは違法である」は本当か
真実を探す
LINEは利用停止になって、日本年金機構は利用停止にならない理由
あとがき
- 日本政府に対して

事の経緯

3/17(水)、無料通信アプリ「LINE」が、中国人技術者らが日本サーバ内にある日本人利用者の個人情報にアクセス可能であることが報じられた。
・朝日新聞：www.asahi.com

・NHK：

www3.nhk.or.jp

これら報道に対し、同日に株式会社LINEは自社HP上で見解を公表した。
・LINE HP：

linecorp.com

この見解の中で、

「LINE」に対して外部からの不正アクセスや情報漏えいが発生したということはございません。

とあり、昨今度々話題となる不正アクセスや情報漏えいの類いではないようである。
そして、

「LINE」の日本国内ユーザーの一部の個人情報に関して、LINEのグローバル拠点から日々の開発・運営業務上の必要性からアクセスを行っていることについて、ユーザーの皆さまへのご説明が十分でなかった点について、ご不安やご心配をおかけすることになり、誠に申し訳ございません。

とあることから、
LINE社としては利用者への説明不足が問題であったと認識しているようである。

一方で政府の個人情報保護委員会と総務省は、LINE社に対して本件の報告を要求した。
・朝日新聞：
個人情報保護委、LINEに報告求める法的措置も視野：朝日新聞デジタル

また一部の政府機関は、LINEアプリによる行政サービスの利用停止を発表した。

この件のタイムラインについて、個人ブログにまとめられている。
・piyokangoさんのブログ：
管理不備と報じられたLINEの問題についてまとめてみた - piyolog

何が問題か

ここで報道機関及び日本政府の連合とLINE社との間で主張が対立していることが分かる。

日本政府（と報道機関）：個人情報にアクセスされており、個人情報の漏えいである
LINE社：個人情報の漏えいではなく、利用者への説明不足が問題である

両方の間で認識が大きく異なっている部分がどこかというと、「海外への個人情報関連業務の委託」についてである。

各種報道によると、日本政府は「中国に個人情報関連業務を委託することは違法である」と主張していると解釈できる。
（下記記事で「中国の関連企業からアクセスできる状態にあった問題」とある。）
・朝日新聞：
個人情報保護委、LINEに報告求める法的措置も視野：朝日新聞デジタル

だがちょっと待ってほしい。
「中国に個人情報関連業務を委託」している会社なんて国内にいくらでもいるはずである。
最近では、下記記事が記憶に新しい。
・時事通信：
マイナンバー、中国で流出か長妻氏指摘、年金機構は否定：時事ドットコム

しかし「中国に個人情報関連業務を委託」が判明し個人情報漏えいの疑いが報じられた後の、日本政府の両社への対応は明確に違う。
LINE社に対しては各政府機関にLINEアプリの利用停止を指示する一方で、日本年金機構に対しては国民に年金システムの利用停止といったことは一切していない。

この極端な対応の差は、一体何なのだろうか。

このとおり、この件について明らかにおかしな部分がいくつかあると個人的に思っている。
以降の章で、感じた疑問点を整理していく。

「中国に個人情報関連業務を委託することは違法である」は本当か

日本政府の立場として、国家安全保障の観点から中国政府に日本政府の情報を渡したくないのは事実であろう。
中国は、中国政府が中国国内の全ての情報を管理・監視できるとする法律があるため、国家安全保障上非常に危険な国家である。

ただ日本に中国への委託が違法であることを明記した法律は存在しない。
いやあるにはあるが、本件が特定秘密とは一切関係ないのは明白である。
・特定秘密保護法：
特定秘密保護法関連｜内閣官房ホームページ

では日本政府は、何を根拠に違法と主張しているのか。

個人情報保護法の中で関連しそうな部分を取り上げる。
（個人情報保護委員会が動いているのでほぼこの法律のことで間違いないだろう。）
・個人情報保護法：
個人情報の保護に関する法律 | e-Gov法令検索

当該法律（外国にある第三者への提供の制限）第二十四条、こちらがそのものずばり本件に関連する。
この条項では、外国へ個人情報の提供を認める旨の利用者本人からの同意を得る必要があると記載されている。

LINEアプリのプライバシーポリシーでは冒頭の見解にあったとおり、明確ではないが記載してはある。
・LINEプライバシーポリシー（5.パーソナルデータの提供）：
LINEプライバシーポリシー

そして同じくLINE社の見解にあったとおり、非常に分かりづらい。
ぱっと見一般的なことが書いてあり外国へ個人情報を提供することも明記されているが、この文言で中国にある委託先にパーソナルデータを提供するとはほとんどの人が想像できないだろう。
（そもそもパーソナルデータって何？個人データのこと？）

一方で個人情報保護法には、中国だけとにかくNGとは書かれていない。
適法適切なプロセスであれば中国を含む外国へ個人情報を提供することは合法となっている。

なぜLINEアプリだけが、日本政府曰く「中国に個人情報関連業務を委託することは違法である」になってしまっているのか。
これが分からない。

ちなみに同じく「中国に個人情報関連業務を委託」が報じられた日本年金機構の方は、
機構の個人情報保護管理方針（プライバシーポリシー）に外国へ個人情報を提供することは一切記載されていない。
・日本年金機構の個人情報保護管理方針：
https://www.nenkin.go.jp/info/houshin/kojinjohohogo.html
（あと更新日：2016年2月9日と古いままだけど大丈夫か？）

LINE社は外国へ個人情報を提供するをプライバシーポリシーに記載して利用者からその旨の同意を得ているのに対し、日本年金機構は利用者から一切同意を得ずに外国に個人情報を提供したのである。
そしてLINE社の今回の委託業務はシステム開発であり、一般的に個人情報を閲覧する業務でない可能性が高い。

なので日本政府の理論「中国に個人情報関連業務を委託することは違法である」に則ると、
むしろ日本年金機構の方が法律違反の状態であり、違反状態が解消されるまでの間年金システムを停止することになるはずである。

日本年金機構の方が、LINE社よりも個人情報委員会に報告を要求されなければならない状態である。

ここまで長々と整理してきたが、「中国に個人情報関連業務を委託することは違法である」とする主張は明らかに誤っており、
正直日本政府としてもそこまで考えていないだろう。
（どこの法律にも書いてないので。）

報道された情報だけでは日本政府の対応を理解することは難しく、本件の裏事情がまだ隠されているのは間違いない。

真実を探す

個人的に、この問題の本質がまだ見えていない。
（この件がなぜここまでセンセーショナルに報道されているのかについて。）
私の中で腑に落ちるために、本件は以下のいずれかの真実が隠されていると考える。

１．LINE社が中国政府に日本利用者情報を渡していた。
（LINE社が中国政府の要請に応じて意図的に中国人技術者に日本利用者情報を閲覧させていた。）

２．日本政府は海外プラットフォーマー達を国外追放し、その場所をNTT社に明け渡して日本製アプリを作ってもらうことで、国家の安全をより強固なものにしたい。
（ちなみにLINE社は、ヤフー社、楽天社と同じくプラットフォーマーと報道されたことがある。）

３．日本政府はコロナ対策・総務省接待問題の国会議論に飽き飽きしており、話題を逸らすために小さなIT企業を叩き始めた。

１．実はLINE社が中国政府に内通していた説

LINE社の見解では、

LINE Digital Technology (Shanghai) Limitedの一部の開発業務でアクセスできた以下のデータへのアクセス権限の削除を行いました。

とある。
削除理由について、開発業務においてリリース時の検証または不具合発生時の原因追跡のために一時的に付与された権限であり、原因追跡が完了したので削除したものと解釈できる。

ここでよく分かっていない点が、中国人技術者が一般的に認識されているような個人情報を閲覧できたのかである。
個人情報が保管されているシステムに対する（一般的に個人情報が閲覧できない）開発権限が実際には付与されたように読み取れるが、書き方が悪くその開発権限で個人情報も閲覧できたようにも読み取れる。

一般的にIT統制として、運開分離が適切に実行されることが求められる。
簡単な例を話すと、アプリ開発の権限とDB管理の権限は明確に分離され同じ人に両方の権限を付与してはならない。
例えばの話だが、その人が不正にLINEPayの残高を増やすことができてしまうからである。
（一般的にDB管理の権限があれば、個人情報を閲覧可能なことが多い。）

そしてLINE社は、ISMS、SOC2、SOC3、PCI-DSSを取得しているので、権限管理の機構上は分離されていると考えられ、おそらく開発権限では個人情報の閲覧はできないものと思われる。
・LINE社外部認証：
ポリシーと外部認証 | LINE Corporation | セキュリティ＆プライバシー

このことから見解に書かれていることは概ね事実であり、一部社員が中国政府に内通していたとしてもバレずに情報提供することは困難だと思われる。

あと考えられる線は、LINE社全体で会社ぐるみで中国政府と協力しているかどうかであろう（つまり、見解に書いてあることは全部ウソ。）。
個人的に、LINE社は韓国つながりで一部集団から非常に嫌われている節がある。
今回の件は、そのような集団が考える陰謀論が実は正しかったことを証明するものかもしれない。
とは言え今回の件は、韓国ではなく中国であり、一部集団の中に朝日新聞やNHKが含まれていないのは明らかなので、何があったのかよく分からない。

こちらは今回の日本政府の調査で明らかにされるだろう。

（ちなみに今回の報道といい、どこかのTV番組で出澤社長の社内動画が社員提供で流されていたりで、LINE社内の情報管理はかなりガバガバの可能性が高い。）
（piyokangoさんのブログにも「*4:piyokangoが信頼できる筋より情報提供を受けたことにより判明したもの。」とあり、いたる所でLINE社内の情報がリークされている。）
（もしかしてTransparency Reportにある捜査機関からの要請の中に、TV局やpiyokangoさんも含まれてたりするのかも？）
・LINE社 Transparency Report：
LINE Transparency Report - LINE Corporation
（あるいはとことん計算尽くされた計画的なセルフリークか。。。？）
（中国政府も協力者の情報管理がガバガバだと気が気でないだろう。）

２．日本政府による国家安全保障をよりよくするため説

日本政府は、自民党政権であるため国家安全保障を非常に強く意識している。
・自民党議員のコメント：
自民・甘利氏「中国委託の企業リスク洗い出しを」 LINE問題で: 日本経済新聞

そしてサプライチェーンリスクを重要だと考えており、それに関連して最近ではISMAPという制度ができた。（日本版FedRAMP）
・IPA ISMAP：
政府情報システムのためのセキュリティ評価制度（ISMAP）：IPA 独立行政法人情報処理推進機構
（しかしグッバイ谷脇康彦さん。）

そのため、日本製が一番安全という昭和の思考で停止したまま、外国製のアプリをなんとか日本製に置き換えようとあの手この手を講じているのである。
日本製のバグまみれのアプリで個人情報がダダ漏れした方がいいのか、それとも外国（中国を除く）製のアプリで外国に個人情報の行方を委ねるのか、日本国民は究極の選択をしているのである。
（頑張れ、NTT社！）

３．日本政府の総務省接待問題の国会追求を逃れるため説

これはネタである。
とはいえ、これが私の本命である。

日本政府はここ最近総務省接待問題で叩かれ続けているので、ストレス発散のためちょうど叩きやすい材料が出てきた民間企業をいじめ始めたのである。
いじめの負の連鎖は止まらない。

繰り返しになるが、中国人技術者らが日本にある開発サーバにアクセスすることはごく普通のことである。
（もちろん適切なプロセス、ルール、ガバナンス、コンプライアンスに則っているという前提のもとで。）

日本政府がこんなありふれた小さなことでLINE社をいじめ始めた理由は、時期的に「３」の話題逸らしが主な理由だろうと個人的に思っている。