あなたの行動は中国当局に監視されている。LINEの個人情報が中国人にアクセスされていた――。／文・峯村健司（朝日新聞編集委員）

LINEは「公共インフラ」

筆者は朝日新聞（3月17日）で、中国・大連にあるLINEの関連会社で働く中国人スタッフが、利用者が日記のように書き込む「タイムライン」の書き込みや画像、動画などを監視していたことをスクープした。

LINEの月間利用者数は日本国内だけで8600万人に上る。LINEは、単なるコミュニケーションアプリに留まらず、決済サービス「LINEペイ」や「LINEバイト」など、日常生活に関わるあらゆるサービスを展開している。また、約900の自治体がLINE公式アカウント上で、住民からの相談や納税などに対応しているほか、東京と大阪に設置された新型コロナワクチンの大規模接種センターをはじめ、約200の自治体でワクチン接種予約システムにも使われている。いまや「公共インフラ」と呼ぶべき存在なのだ。

折しも、3月1日には、LINEはヤフーを傘下に持つZホールディングスと経営統合し、そのサービス総利用者数が約3億人という巨大プラットフォーマーとなっていた。

「公共インフラ」の信頼性を揺るがす事態を受け、政府も即座に対応。個人情報保護委員会と総務省が、それぞれ個人情報保護法と電気通信事業法に基づき、改善を指導した。

だが、一連の報道では明かしていない事実もある。実は、LINE上の「書き込み」だけではなく、ユーザーが登録した銀行口座の情報など、極めて高度な個人情報まで中国人スタッフにアクセスされていた可能性があるのだ。

「LINE中国」の求人情報

記事の端緒となったのは今年2月、中国のサイトに掲載された求人情報だった。

「ソフト開発　2万元～3万5000元（約34万～60万円）」

雇用主は、「LINE中国」（正式名・LINEデジタルテクノロジー）と記されている。2018年、韓国にあるLINEの子会社「LINE プラス」が中国・大連に設立した会社だ。世界に5つある同社の開発拠点の一つで、AI（人工知能）や「タイムライン」などのアプリ機能の開発をしているという。

これまで、旧知のLINE幹部から「LINEのデータ管理やアプリ開発は日本国内だけで行われている」と聞いていた。そもそも、2014年以降、中国国内では政府の規制によってLINEは使えない。

本当に中国企業がLINEのアプリ開発を請け負っているのか。LINEの元社員や取引先企業の関係者に取材を重ねた。「LINE中国」は3月時点の従業員は105人。「LMP」と呼ばれる、不適切な書き込みなどの監視支援ソフトの開発や、アプリのAI関連機能のほか、自分の顔を模したキャラクター（アバター）や翻訳機能などを開発している。

同社の内部資料には驚きの内容が記されていた。LINE社内では利用者の個人情報を機密性に応じて4段階に分類しているという。このうち最も機密性が高いのはLINEのIDや銀行口座情報などで、「赤」に分類。電話番号や書き込み内容などを2番目に高い「オレンジ」としている。そのいずれの個人情報にも、「LINE中国」側からアクセスすることができると記されていたのだ。

3月15日、事実関係を尋ねるべく、東京・紀尾井町のZホールディングス本社で同社の中谷昇・常務執行役員や、LINEの舛田淳・取締役最高戦略マーケティング責任者らと向かい合った。

冒頭、「LINE中国」でのソフト開発について聞くと、中国のネット検索大手・百度（バイドゥ）の幹部を務めたこともある舛田氏はあっさりと事実関係を認めた。

「優秀で人件費が安い技術者が確保できたからです。残念ながら日本にはAI人材はほとんどいない。国内だけで開発しようとすれば、世界を相手に勝ち残ることはできません」

だが、「赤」と「オレンジ」に分類される機密度の高い個人情報が「LINE中国」内でアクセス可能だったことについて尋ねると、舛田氏の表情が一変した。

「開発過程において適切な権限を与えた技術者のみが（機密度の高い個人情報に）アクセスできるようになっていました。しかし、今では安全性を考えて中国からは誰もアクセスできないような措置をとっています」

さらに、いつまでアクセスできたか突っ込んで聞くと、LINE側の回答には矛盾が目立ってきた。

「日本にあるサーバーに昨年末までアクセスできました。あ、いや……、先月末まででした。ただ、適切な権限を持った者だけがアクセスでき、その履歴は残っています」

――何人の外国人技術者がアクセスしたのか？

「48人……。いや9人です。国籍は中国と韓国です」

――内訳とアクセス数は？

「えっと……。わからないので確認します」

――権限を与えた人のみがアクセスしていたのなら、すぐにわかるのでは？

「9人は権限を持っていただけで、実際にはアクセスはしていません」

二転三転する説明

結局、約1時間半の取材でも納得のいく説明は得られず、取材は翌日に持ち越されることになった。

翌3月16日、LINE側は前日の「権限があるだけでアクセスはしていない」としていた説明を覆した。

「アクセス権のある9人のうち、4人が計32回アクセスしていました。いずれも中国人でした」

だが、32件がいつごろ、どのような個人情報に、どのような目的でアクセスしたのかは、「調査中」との回答を繰り返すばかりだ。

LINEのプライバシーポリシー（個人情報に関する方針）には、「第三国にパーソナルデータを移転することがある」と書かれているのみで、国名は明記されていなかった。

個人情報保護法では、個人情報を国外の事業者に提供したり、海外からアクセスしたりする場合には利用者本人の同意が必要、と定められている。また、2020年6月に成立した改正個人情報保護法（2年以内に施行）に関し、政府の個人情報保護委員会は、原則として移転先の国名などを明記するよう求めている。つまり、個人情報保護法に抵触する可能性があるのだ。

だが、この問題は同法の違反という“形式犯”にとどまらない。問題は、中国人技術者が個人情報にアクセスした目的と、その情報が中国政府に提供されたか否か、である。

中国政府は2017年に「国家情報法」を施行し、「いかなる組織及び国民も、国家の諜報活動に協力しなければならない」と定めている。

中国政府当局者が語る。

「中国内のすべての企業が、当局の指示に従って情報を提供する義務を負っている。外資系企業といえども、例外ではない」

つまり、「LINE中国」のスタッフが個人情報の提供を求められた場合、断ることはできないのだ。

中国政府への情報漏洩の可能性について舛田氏に尋ねると、「ございません」と言下に否定した。だが、尋ねるまで、LINEは権限を与えた人数やアクセス数すら把握していなかった。しかも、2日目の取材を終えた3月16日の夜には、広報担当者から、舛田氏が「9人」としていたアクセス可能な職員数を「4人」と訂正する連絡があった。つまり、権限を持つスタッフ全員がアクセスをしていたことになる。二転三転する姿勢を見ると、「中国政府に提供されていない」とする説明も言葉通りに受け取っていいのだろうか。

むろん、筆者は、取材時の言い間違いや矛盾をことさらに責め立てたいわけではない。あまりにも危機意識に乏しいLINEのガバナンス体制を問題視しているのだ。「LINE中国」が設立されたのは、国家情報法が施行された翌年の2018年4月だ。同法のリスクについて、どのような議論がされていたのか。舛田氏に尋ねると、驚きの答えが返ってきた。

「当時、弊社の法務・セキュリティー部門から国家情報法に対する意見は出されませんでした。リスクとして考えなければならなかったのですが、対応は後手に回っていました」

LINEのガバナンス体制は、日本を代表する巨大プラットフォーマーのそれではない。「公共インフラ」の担い手としてはおろか、一企業としても不適格と言わざるを得ない。

狙われる国会議員

何よりも危惧されるのが、日本の要人の個人情報が中国側に漏洩していた可能性だ。私が知る限り、LINEを使っていない政治家や官僚はほとんどいない。国会議員同士で議連についての意見交換をするなど、秘匿性が高い業務にも使われている。