読売新聞オンライン

メニュー

ニュース

動画

写真

スポーツ

コラム・連載・解説

発言小町

漫画

教育・受験・就活

調査研究

紙面ビューアー

その他

サービス

読売新聞のメディア

購読のお申し込み

読売新聞オンラインについて

公式SNSアカウント

LINE問題で露呈した日本の情報セキュリティーの脆弱性

メモ入力
-最大400文字まで

完了しました

POINT
■無料通信アプリ「LINE(ライン)の利用者のデータが、中国企業で閲覧できる状態になっていた問題は、日本の情報セキュリティーに対する認識の甘さを浮き彫りにした。

■日本はこれまでモノと同様にデジタルデータについても「自由貿易」を 標榜(ひょうぼう) してきたが、大幅なデータ出超になっている現状を見ても、すでに「データ先進国」とはいえない。

■安全保障面からもデータ保護の重要性が指摘されるようになっていることを考えれば、「自由貿易」路線を転換すべきだ。安全保障の観点も踏まえてデータの海外流出を防ぐ新法の制定が必要ではないか。

知財評論家 荒井寿光 

利用者が知らなかった問題点

記者会見するLINEの出沢剛社長(中央)(3月23日、東京都港区で)=沼田光太郎撮影
記者会見するLINEの出沢剛社長(中央)(3月23日、東京都港区で)=沼田光太郎撮影
読売新聞3月24日朝刊
読売新聞3月24日朝刊

 無料通信アプリ「LINE(ライン)」の利用者のデータが、業務委託先の中国企業で閲覧できる状態だったと報道された。そればかりか、メッセージに添付された動画と画像、決済アプリ「LINEペイ」の取引情報は、全て韓国のデータセンターに保管されていることが明らかになった。

 LINEは韓国企業の子会社であり、以前から情報インフラを海外企業に頼っていていいのかという指摘があり、電波法などに基づく外資規制を検討すべきだという意見も出ていた。

 LINEの利用者数は、日本国内で8600万人に上るという。政府や全国のおよそ900の自治体が公式アカウントを開設しており、行政インフラとしても広く利用されている。行政に対する意見募集、新型コロナウイルスの情報発信と対策、子育て支援、保育所の入所申請、粗大ゴミ収集の申し込み、住民票の写しの申請、住民からの様々な相談などのほか、LINEペイでの市税や国民健康保険料、水道料金の支払いなど決済サービスにも幅広く使われている。動画などの大容量のデータでも簡単に送受信でき、音声通話もビデオ通話もすべて無料で利用できるLINEは、いまや国民的な「ツール」に成長している。

 だが、こうしたデータがどのように扱われ、セキュリティーがどうなっているかは、多くのユーザーが知らなかっただろう。LINEは社内調査を始めたというが、どのような調査結果になるか注視したい。

データ管理は国家安全保障に直結する

 取引などの個人データは、市場動向や消費者の購買志向を割り出すには不可欠で、今や石油などのエネルギー資源と並ぶ経済的な資源になっている。

 なかには、国家安全保障にも密接に関係しているとされるデータも少なくない。中国企業が開発・運営する動画共有アプリ「TikTok(ティックトック)」について、米国政府が2019年、「ユーザーの利用データが中国に流れ、米国の国家安全保障リスクが懸念される」として、軍に対して利用を禁止したのはその一例だ。トランプ前大統領はその翌年には、一般国民の利用も禁止しようと動いている。

 一方の中国では、21年3月19日、軍人に対し、米国の電気自動車「テスラ」の利用を禁じた。テスラの全方位カメラや超音波センサーから発する位置情報などを通じて軍事機密が漏洩(ろうえい)する恐れがある、との理由からだ。軍人だけでなく、政府の職員にも利用を制限しているとの報道もあった。日本でも、立憲民主党が「国会の機微に触れる部分が漏れるおそれがある」として、LINEの幹部間の利用を当面、やめることにしたという。

 国内だけでなく、海外を含めたデータ・チェーン(情報流通経路)全体の管理は喫緊の課題になっている。

 急増する国際的なサイバー攻撃では、直接相手国を攻撃するだけでなく、第三国の関係会社などを踏み台にする事例が増えている。2020年1月には、三菱電機が大規模なサイバー攻撃を受け、同社が関わる防衛、電力、鉄道などの情報が流出したことが明らかになった。中国系の組織が中国にある三菱電機の関係会社に侵入し、それを踏み台に日本国内の14ある本部の大半や研究所に侵入したと見られている。

保護法制の世界の流れと日本の対応

 EU(欧州連合)は「個人情報保護を強化する一般データ保護規則(GDPR)」を定め、原則として個人データの域外移転を禁じている。米国は「連邦情報セキュリティーマネジメント法(FISMA)」に基づいたセキュリティフレームワーク(安全性の枠組み)と、クラウドサービス認証制度で個人データを管理している。

 一方で中国は、サイバーセキュリティー法により、重要インフラの運営者に対して個人情報の国内保存を義務付け、国外への移転を規制している。2017年に施行された中国の国家情報法では、「いかなる組織及び個人も、法に基づき国家諜報活動に協力し、国の諜報活動に関する秘密を守る義務を有する」(第7条)とされている。中国では多くの日系企業が活動している。関係会社や委託先へのデータ移管やアクセスポイントについては、特に注意が必要だ。

写真はイメージです
写真はイメージです

 日本政府は今のところ、個人データ保護については個人情報保護法で対処している。同法では、「個人情報の取り扱いを海外に委託する場合は、利用者の同意が必要」と定めている。しかし、ネット上では「同意する」ボタンをクリックしないと閲覧や利用ができないページが多く、ほとんどの利用者は「プライバシーポリシー(個人情報に関する指針)」を読まずに「同意する」ボタンをクリックしているのが実態だ。

 一般的な利用者はデータ管理に関する専門知識を持っていない。そもそも個人に同意を求め、ワンクリックで「同意した」とみなす今の仕組みには無理がある。

データの自由貿易論は妥当か

 2019年1月、当時の安倍首相が世界経済フォーラムで「データフリーフロー・ウィズ・トラスト(信頼ある自由なデータ流通)」を提唱した。知的財産保護、プライバシー保護、国家安全保障上の機密保護を例外として、産業データや匿名化した個人データを、国境を越えて自由に流通させる、いわばデータの自由貿易を進めようという考え方だ。データをどの国でどのように処理するかは民間企業のビジネス判断に委ねられ、日本はデータの国内保存やサーバーの設置を義務づけていない。これが今回のLINE問題の背景にある。

 「リカードの理論(比較優位論)」に従えば、モノはコストを最小化できるところで生産するのが望ましい。先進国はハイテク関連商品を作り、発展途上国は軽工業品を作り、それを自由な貿易によって交換すれば、ともに発展できる。

 しかし、データの貿易には、リカードの理論は当てはまらない。データのコストは、ほとんど全てがシステム開発費で、“The winne takes all(勝者の総取り)”と言われるように、先行した企業や国が時間がたてばさらに有利になり、追う立場になるとどんどん不利になる。先行したGAFAは時間がたつほど強大になり、データを圧倒的な勢いで独占しつつある。

 日本政府は、デジタル技術の一流国、つまり強者に位置するという前提で、データの自由貿易(データ・フリー・フロー)を主張している。だが、日本のデータ産業がもはや世界より遅れていることは否定のしようがない。20年前から唱えられている行政の電子化は遅々として進まず、新型コロナ対策の国民一律10万円の特別定額給付金給付でも、政府のデジタルシステムは使い物にならなかった。日本は一流国どころか、いまや「データ敗戦国」「データ後進国」と言われても仕方ないのではないか。

いつまでも自由貿易一辺倒でいいのか

 だとすれば、データの自由貿易を唱え続けるだけでいいのか、再考が必要だろう。前述したように、データの自由貿易は、先行する強者(強い企業や強い国)に有利で、弱者は不利になる。現にデータ量の出入りを見ると、国内から海外への流出量が、海外から国内への流入量よりはるかに多く、日本はデータ資源では出超の「データ貿易赤字」国なのだ。

 安全保障の観点からも、今後はますますデータの適正な管理が求められることになるだろう。日本がデータの自由貿易一辺倒を唱えるのは、もはや古いのではないか。

 あらゆる情報やデータは、国家安全保障に関係する性質を有しており、今の技術では大量のデータも瞬時に丸ごとコピーできる。データは一度流出したら、技術的に取り返すことはできない。データにアクセスできるということは、システムに侵入してサイバー攻撃ができるということでもある。

 2018年3月、日本年金機構が約500万人分の所得やマイナンバーなどの個人情報の入力を都内の情報処理会社に委託していたが、同社は契約に違反して中国の業者に作業を再委託し、日本の個人情報が中国に流れていたことが問題になった。今回のLINEの問題は、この教訓が生かされずに起きたという見方もできる。

 2022年に施行される改正個人情報保護法で、データシステムを海外に委託する際は、相手国の国名を明記することが義務付けられる。しかし、委託先の国名を書き加えたとしても、ネットの利用者があの長ったらしいプライバシーポリシーを読むようになるだろうか。実態上の効果は疑問と言わざるを得ない。

データ保護のための新法を

 データの保護を民間事業者の善意に任せていては、国民のプライバシーと国の安全は守れない。行政指導で民間企業のデータ管理を厳格化させることには限界がある。国家の安全保障問題として捉えなければ、世界の流れに乗ることはできない。筆者は新法を制定し、規制することが必要だと考える。

 新法では、<1>データの国内保存を義務付け、海外へのデータ移転をコントロールする<2>政府や地方自治体が情報インフラを利用する時は、単に使いやすさだけでなく、安全保障の観点を入れて採用を決める<3>国家の安全保障を守るために必要なソフトウェア、データ、情報関連機器、システムなどは、コストが高くても国内での開発と生産を行うこと――を規定すべきだ。以上3点の措置は、世界貿易機関(WTO)条約でも、安全保障の観点から加盟国に認められている。

 今後ますます進むデジタル革命のメリットは大きいが、それに比例して、社会的なリスクも大きくなる。今回LINEで明らかになった問題が、他の会社のシステムでも起きている可能性がある。政府は早急に総点検を行い、実態を把握して、被害防止のための法律制定を含めた総合的な対策を講ずる必要がある。

プロフィル
荒井 寿光( あらい・ひさみつ
 1966年、通商産業省(現・経済産業省)入省。特許庁長官、通商産業審議官などを経て、内閣官房・知的財産戦略推進本部の初代事務局長、世界知的所有権機関(WIPO)政策委員、東京大学、東京理科大学、政策研究大学院大学の客員教授を歴任。現在、日本商工会議所知財専門委員長。「知財立国が危ない」(馬場錬成氏との共著)、「知財革命」「知財立国」「特許戦略時代」「これからは日本もプロ・パテント(特許重視)の時代」など著書多数。

無断転載・複製を禁じます
1948442 0 国際・安全保障 2021/03/30 13:30:00 2021/05/07 11:46:09 2021/05/07 11:46:09 https://www.yomiuri.co.jp/media/2021/03/20210330-OYT8I50016-T.jpg?type=thumbnail

ピックアップ

読売新聞購読申し込み

読売IDのご登録でもっと便利に

一般会員登録はこちら(無料)