LINEの個人情報は「流出」してない

どうも、エンジニアのgamiです。

ここ最近は、「LINEの個人情報問題」に関する一部の報道がユーザーの誤解を生んでいる様子を観測して、悲しい気持ちになっています。特に「LINEは個人情報を流出させたのか？」という点について、センセーショナルな記事を出して閲覧数を上げたい一部のメディアが誤読を誘うタイトルの記事を公開し、テレビがそれに乗っかり、たくさんのユーザーが「実際に個人情報の流出があった」と誤解をするという、よくある地獄が繰り広げられています。

もちろん、このLINE問題から得られる教訓や学びはあるはずです。そこで今回のnoteでは、この件を題材にして情報の流出とはそもそも何かについて考えたいと思います。

LINEの個人情報は流出していない

まず、3/23夜のLINE社による記者会見の記事を読む限り、「個人情報が流出した」という話は一切ありません。それは、ちゃんと日本語の文章を読解できればすぐにわかります。

LINEの個人情報問題、本当の“問題”はどこにあったのか

　実際、「一般的な利用者のLINEの中身を覗（のぞ）かれていた」とか「一般的なLINEの会話が外部に流出した」ということは確認されていない。後述するが、迷惑行為で「通報」されたトークに関連するテキストや画像などが、業務委託先中国企業で閲覧可能になっていた……という話である。

実際には、この記者会見で説明されたLINEの問題は次の2点でした。

1. 中国の関連企業でLINEの個人情報の一部を取り扱う業務をしており、中国政府に流出する可能性があった
2. 一部の画像・動画データを韓国のデータセンターに置いていたが、利用許諾のポリシーの中でそれが十分に説明されていなかった

1つ目の問題は「個人情報の一部が中国政府に流出するリスクがあった」ということにはなりますが、もちろん「実際に個人情報流出があった」という話ではありません。

本件については、解説をYouTubeにも上げたので、ぜひご覧ください。

どこからが情報の「流出」か？

一方で、残念ながら一部メディアの記事タイトルでは「流出」という言葉が使われました。多くのユーザーは記事のタイトルしか読まないので、実際にLINEから情報の「流出」があったかのような間違った印象を広めた可能性があります。

LINEの情報が中国と韓国に流出？ 記者会見を詳細レポート | マイナビニュース

LINEの危うい「個人情報管理」　中国政府への流出、拭えぬ懸念 - SankeiBiz（サンケイビズ）：自分を磨く経済情報サイト

ここで改めて、情報の「流出」とは何かについて考えましょう。

情報の「流出」というのは一般に、「秘密にしていた情報が外部に漏れること」を指します。同じ意味で、情報の「漏洩」という言葉が使われることもあります。この定義に照らせば、情報がどこかに移動したときにそれが「流出」かどうかを決めるのは、次の2つの要素です。

1. その情報は「秘密」にしていたか？
2. その情報は「外部」に漏れたか？

まず、一言で情報と言っても、企業側が「秘密」にしていない情報もたくさんあります。たとえばすでにプレスリリースで発表している情報をその企業の社員から教えてもらったところで、それは情報流出ではありません。

次に、情報が移動した先が「外部」かどうかも重要です。どんなに秘密にすべき情報であっても、同僚に社内チャットでそれを送ったところで、それは情報流出ではありません。とはいえ、情報流出の観点で企業の内部と外部をどこで分けるのかというのは少し難しい問題です。このあたりは専門ではないのであまり踏み込みたくないですが、「その秘密情報を第三者に開示しないこと」が契約で担保されている人は内部といえそうです。自社や関連会社の社員だけではなく、たとえば他社と秘密保持契約（NDA）を結んで秘密情報を伝えた場合も、普通は「流出」とは言いません。

今回のLINEの問題では、中国の関連企業の社員がアクセス可能なデータに個人情報が一部含まれていたようです。個人情報は当然「秘密」にすべき情報ですが、中国の関連企業の社員というのは明らかに「外部」の人間ではありません。その意味で、情報が「流出」したとは言えないと思います。

すべての「流出」事件は、それ即ち大問題か？

LINEの件に限らずこうしたニュースに対する世間の反応を見ていると、「流出」という言葉だけに反応して「これは問題だ！」とすぐに騒ぎすぎているように感じます。実際には、仮に情報が流出したとしても、その影響範囲は次の要素に応じて変わってきます。

・どんな情報が漏れた？
・どのくらいの規模で漏れた？
・どこまで広く流出した？

仮に秘密にしていた情報が外部に流出したようなケースであっても、直接的にはそこまで大きな影響が無いということもあります。

たとえば2021年1月にSMBCの業務システムのソースコードが流出する事件がありました。この事件は紛れもない「情報流出」でしたが、個人情報などは含まれておらず、実際に漏れたソースコードもセキュリティリスクにつながるものではなかったようです。実際、SMBCのソースコード流出がその後に直接的な問題につながったという話は聞きません。

また、万が一個人情報が漏れた場合であっても、その規模や範囲によって深刻さも当然変わってきます。2018年のある調査では、個人情報漏洩の21.4%が電子メールの誤送信によって発生しています。たとえば一部の個人情報を含むメールを取引先に誤送信してしまったというようなケースは、（もちろん問題ではありますが）実際の影響範囲は比較的小さくなります。大きなニュースにならないこのような小規模な個人情報流出は、日々発生しているわけです。一方、2014年に起きたベネッセ個人情報流出事件では、「流出した顧客情報は最大で3504万件に及ぶ」と言われています。一言に「情報流出」と言っても、その深刻さにかなりの差異があることがわかります。

今回のLINEの件で考えると、報道を見る限り、中国の関連企業からアクセス可能だったとされている情報は「LINE内で通報された直近のメッセージや画像」に限定されていたようです。これらの情報には個人情報も含まれていたようですが、あくまでもユーザーに通報されたメッセージとその関連情報に限定されていたとすれば、LINEが保持する個人情報全体に占める割合はかなり限定的と言えそうです。

何度も言うようにLINEの個人情報は流出していませんが、仮に今回の問題になった情報が中国政府に流出したとしても、LINEユーザー全員が「自分のメッセージがみんなに見られちゃうかも？」と不安に思う必要は全く無さそうです。（もちろんユーザーがセキュリティ意識を高く持つことは大事ですが。）

情報インフラは国境を超える

今回のLINEに関する報道で主に問題視されていたのは、「中国の関連企業から個人情報の一部がアクセス可能になっていた」ということでした。加えてLINE社の記者会見では、「韓国のデータセンターで画像や動画を保管していたが利用許諾に明記されていなかった」ということにも触れられていました。この「韓国のデータセンターで画像や動画を保管していた」という点だけに反応して、「LINEのデータが韓国にも流出した」という謎理論を展開している人がいるようです。たとえば前掲したマイナビニュースの記事タイトルには、明らかに悪意があります。

LINEの情報が中国と韓国に流出？ 記者会見を詳細レポート | マイナビニュース

もちろんデータを保管する国をポリシーに明記することは重要ですが、単に事業や技術の観点で海外にデータを置いているだけなのに「海外にデータを置いているのは何か悪い意図があるのだろう」みたいな結論を導き出すのは、流石に陰謀論じみています。

最後にサーバーなどの情報インフラを海外に置くことがどれくらい一般的か、問題があるとすればどこなのか、について駄文を書き散らしておきます。（炎上避けも兼ねて有料にします。）

物理的なサーバーを自社で管理するのが一般的であった時代には、恐らくあえて海外にサーバーを置くのはかなり大変な手続きが必要だったと推測します。グローバルで同一のサービスを提供する場合は別ですが、日本国内中心のサービスでわざわざ海外にサーバーを置くというのは、コストが大きすぎたかもしれません。

しかし、現代はクラウドインフラ全盛の時代です。AWSやGoogle Cloud Platformを使えば、世界中のあらゆる地域のサーバーリソースを瞬時に調達することができます。たとえばAWSがサービス提供するリージョンの一覧を見るだけでも、北米、南米、欧州、アジア・パシフィックなど世界中にAWSのデータセンターがあることがわかります。

グローバルインフラストラクチャリージョンと AZ

リージョンの指定も、基本的にはサーバーを立てるときのリージョン選択プルダウンをポチッと選ぶだけです。そこでは、多くの人が想像しているような「わざわざ国境を超えている」という感覚はありません。

サーバーを置く国を選ぶとき、普通はユーザーの近くにあるサーバーを使った方がレスポンス速度は早くなるので、日本だけで提供するサービスであれば日本にあるサーバーを使った方がその点は有利になります。しかしたとえばAWSの場合、リージョンによって提供されているAWS製品の種類が違ったり、料金が数十パーセント単位で違ったりします。こうした理由から、陰謀論的な理由が無くても、海外のサーバーにデータを保管するということは普通にあります。

もちろん、海外でデータを保管することのデメリットはレスポンス速度以外にもいくつかあります。たとえば企業向けのサービスを提供する場合、金融業界などの顧客ではポリシーが厳しく、日本国外にデータを置いているサービスは使えないということがあったりします。また、個人情報保護法でも個人データを外国の第三者に委託する場合は、本人の同意が必須になるなど扱いが厳しくなるようです。これらのコストとメリットを計算した上で、どこの国のサーバーを使うのかを各社が経営判断として決めるわけです。

ちょうどこのnoteを書いているときにも、僕のYouTubeの動画に「韓国にデータを置いていると、日本の法律の外になるのが問題なのです」みたいなコメントが付いていました。もちろんそう思うのは自由ですが、現実問題として、すでにかなりの数のインターネットサービスが国境を超えて使われています。今からインターネット鎖国を志すよりは、国境の薄いインターネットを前提にした上でどうやってプライバシーやセキュリティの問題を軽減していくかを考えた方が、建設的じゃないかなーと、僕は思います。