当社に対する個人情報保護委員会からの指導および当社の改善策について

2021.04.23 ALL

LINE株式会社(以下、当社)は、本日付で、個人情報保護委員会より指導を受けたことをお知らせいたします。ユーザーの皆さまをはじめとする関係各位には、ご心配・ご迷惑をおかけしておりますことを改めて深くお詫び申し上げます。今回の指導を真摯に受け止め、適切な改善策を講じることで皆様からの信頼回復に努めてまいります。

 

■個人情報保護委員会からの指導事項

当社では、2021年3月19日付で個人情報保護委員会より受けた報告徴収に対する報告書の提出と、それらに係る継続調査への対応を行ってまいりました。調査の結果、個人情報保護委員会より、本日付で個人情報の保護に関する法律(以下、法)第41条の規定に基づく指導を受けました。指導内容は以下の通りです。

 

⑴ 個人データの取扱いを委託する場合には、法第22条に基づき委託先に対する必要かつ適切な監督を行う義務があるところ、法第20条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、例えば次のような手法により必要かつ適切な監督を行うこと。

○委託先(再委託先を含む。以下同じ。)のシステム開発者に個人データへのアクセス権限を付与する場合には、その必要性及び権限付与の範囲を組織的に検討した上、必要な技術的安全管理措置を講ずること。

○委託先のシステム開発者に個人データへのアクセス権限を付与する場合には、不正閲覧等を防止するため、アクセスしたデータの適切な検証を可能とするログの保存・分析など組織的安全管理措置を検討した上、必要な措置を講ずること。

○委託先における個人データの取扱状況を把握するため、定期的に監査を行うなど、委託契約の実施状況を調査した上で、委託内容等の見直しの検討を含め、適切に評価する措置を講ずること。

 

⑵ LINE サービスの提供に関してメッセージ等の個人情報を取得する場合には、取得する個人情報の範囲を分かりやすく通知するとともに、通知内容が適切に表示されているか確認する体制を整備すること。

個人情報保護委員会 報道発表資料より:https://www.ppc.go.jp/files/pdf/210423_houdou.pdf 

 

■当社が講じる改善策

指導内容(1)について

当社は、当社サービスにおけるコンテンツのモニタリング業務を行うための社内ツールであるLINE Monitoring Platform(以下、LMP)を含む各種システムの開発・保守業務を、中国子会社であるShanghai LINE Digital Technology Limited. Dalian Branch(以下、LINE China)に再委託しておりました。また、当該業務委託においては、業務の過程で個人データを取り扱い得ることから、当該業務に必要な範囲におけるアクセス権限を付与したうえで、個人データの取扱いも委託しておりました。

このたび、再委託先であるLINE Chinaの監督について、法第20条に定める「自らが講ずべき安全管理措置と同等の措置」が十分に講じられていなかったとのご指摘を受けたため、今後は、委託先(再委託先を含む。以下同じ。)の監督について、以下の点を改善してまいります。

◯委託先のシステム開発者に個人データへのアクセス権限を付与する場合におけるアクセスの必要性や範囲・期間などについて、組織的なリスクアセスメントを行い、その結果を踏まえて必要な技術的安全管理措置を実施できる体制を構築してまいります。

◯委託先のシステム開発者に個人データのアクセス権限を付与する場合における、従前のアクセスログの記録・管理の方法を見直し、事後検証・不正検知をより実効的に実現できる組織的安全管理措置を検討のうえ、これを実施してまいります。

◯委託先のシステム開発者に個人データのアクセス権限を付与する場合における、従前の当社の委託先監督の基準を見直し、定期的な監査を含め、より実効的に委託先の業務実施状況を評価できる組織的な施策を実施してまいります。

 

指導内容(2)について

当社は、当社サービスのユーザーの皆さまに対して「通報」機能を提供しております。「通報」画面においては、「通報」に際して当社に送信されるトーク等の情報の範囲を記載した文言が表示されますが、過去にLINEアプリを修正した際に生じたバグにより、本来当社が意図していた通報時の説明文言とは一部異なる文言が表示されていたことを確認しました。本来のものとは異なる説明文言が表示されていた期間は、Android版では2018年8月20日から2021年3月28日、iOS版では2017年12月4日から2021年3月30日、デスクトップ版では2021年3月4日から2021年3月30日です。

当社は、2021年3月下旬に当該事実を認識し、2021年3月28日から2021年3月30日までの間に、本来意図した文言が表示されるよう、LINEアプリのバージョンアップデートを実施しています。なお、本件は、監督官庁への報告に係る調査期間中に判明し、監督官庁に速やかに報告していたものです。

今後は、個人情報を取得する際に、取得される個人情報の範囲を分かりやすく通知するとともに、通知文言が適切に表示されることを確認するチェック体制を強化するなど、抜本的な再発防止策を検討・実施してまいります。

 

当社は、今後もユーザーおよび関係者の皆さまに安心してサービスをご利用いただくため、このたびの指導に基づく適切な改善策と取り組みを実施してまいります。そして、Zホールディングスとの連携のもと、特別委員会における外部有識者からのご意見・ご指摘を踏まえながら、データガバナンスの強化を進めることなどを通じて、皆様からの信頼回復に努めてまいります。