[お知らせ]LINE WORKSにおけるユーザーデータの取り扱いについて

2021.03.24

5月10日追記:本文4-1に記載されている内容について一部更新を行いました。
3月29日追記:本件に関する「LINE WORKSユーザー向け説明会」の動画をこのページの一番下に掲載いたしました。

 


3月17日に公開した「LINEのユーザー個人情報に関する一部報道における「LINE WORKS」への影響について」(https://line.worksmobile.com/jp/pr/20210317/)を補足する詳細情報についてご説明いたします。

1. LINE WORKSにおけるユーザーデータの取り扱いに関する基本情報

ワークスモバイルジャパン株式会社(以下、ワークスモバイルジャパン)は、LINE WORKSサービス利用規約(https://line.worksmobile.com/jp/terms/) 第17条において、LINE WORKS上にてユーザーが本サービスに保存したすべてのデータに対する一切の権利を放棄することを明記しており、海外も含めた社内スタッフがユーザーデータを閲覧することはできない仕組みとなっております。ユーザーデータは、ユーザー自身により直接管理するものであり、利用規約によってユーザーから許可を得た範囲を除き、当社はデータについていかなる権利も取得しないものと定めています。
また、国際規格ISO/IEC27001、27017、27018の認証を取得しており、外部監査機関を通じて国際認証に準ずる内容にて、グローバル利用に適切かつ必要十分な機密性と完全性を保持したセキュリティ対策を行っています。また、SOC2/SOC3報告書(https://line.worksmobile.com/jp/security/)においても監査人からセキュリティやデータ管理を含め、一切の注記事項はなく、高いセキュリティ水準のサービス提供が行われていることを確認しています。

 

2. LINE WORKSの開発体制について

ワークスモバイルジャパンは、海外の現地法人と協力してサービス開発を行っています。WORKS MOBILE Corporation(韓国)(以下、WORKS KR)にて、LINE WORKSサービスの開発、QA、保守などを実施しています。LINE WORKSの一部機能(DriveエクスプローラーおよびPC版アプリ)の開発は、WORKS KRを通じてNAVER Chinaにて行っています。なお、NAVER Chinaスタッフは開発環境のみでの作業となり、運用環境およびユーザーデータへのアクセス権は付与されておりません。LINE WORKSは法人利用を前提としており、中国の国家情報法を意識して、中国への委託を限定的に行なってまいりました。よってNAVER Chinaにてデータの保管は一切行っておりません。

 

また、NAVER Chinaに委託した開発業務は、韓国の法令および商習慣に従い、韓国の裁判所が管轄することが業務委託契約書に明示されております。個人情報保護においては、韓国の個人情報保護法と同一水準を定めた合意書を締結しておりますが、韓国の個人情報保護法は日本の個人情報保護法の後に制定されており、ワークスモバイルジャパンでは日本と同様に厳格な運用を求めています。開発委託を行った一部機能のすべてのプログラムは、リリース前にWORKS KRによるソースコードレベルのセキュリティチェックを実施した後、WORKS KRによってサービス運用環境に配布されています。

 

3. LINE WORKSの運用体制およびユーザーデータへのアクセスについて

LINE WORKSはサービスを日本国内のデータセンターから提供しており、かつすべての通信経路は暗号化されています。LINE WORKSサービスのインフラ運用業務は、WORKS KRを通じてNAVER Cloud Corporation(韓国)にて行われています。また、迷惑メールタイプ分析はワークスモバイルジャパンにて行っています。なお、バックアップデータもすべて日本国内に保管されており、作業を通じて韓国など国外にデータを送ることはありません。

 

3-1 サーバーやデータのバックアップ

サーバーやデータのバックアップなど、定常的なサービス運用に必須の業務については、個別のデータを識別できない状態で一括して処理を行っており、運用に係るどの担当者もユーザーデータの内容を確認することはできません。なお、バックアップデータは日本のデータセンターにて保管されています。

 

3-2 カスタマーサポート

カスタマーサポート窓口等を通じて、ユーザーからの要請によりデータにアクセスする必要が認められた場合については、適切な承認プロセスを経て必要最小限の期間に限定して、WORKS KRの専用スタッフにアクセス権を付与する場合があります。その際のアクセス履歴はすべて改変できない形で記録され、NAVERのセキュリティチームによって作業が監視/モニタリングされています。また、ユーザーデータを扱う環境と業務環境は論理的に隔離されており、外部にユーザーデータを持ち出すことはできないシステム構成となっています。この情報管理体制については、ISO/IEC27001、27017、27018基準への適合を第三者監査においても確認されており、注記事項もございません。

 

3-3 迷惑メールタイプ分析

LINE WORKSのメール機能において迷惑メールを適切にブロックするため、ワークスモバイルジャパンにて、迷惑メールタイプ分析を実施しております。ユーザーによって「迷惑メール」報告が行われた場合に限り、該当するメールのみを社内の専用ツールに転送し、日本国内の専用スタッフにて該当メールが迷惑メールであるかを確認するための分析調査が行われます。報告された「迷惑メール」には、メール内に含まれる画像やファイルを含まれます。なお、ユーザーの報告なしに迷惑メールタイプ分析が行われることはありません。

 

また、LINE WORKSサービス利用規約11条③-2にて「本サービスの発展を目的とする研究や解析のための素材とするため、当該転送された迷惑メール等を国内外の研究機関などの第三者(一般財団法人日本データ通信協会を含みますが、これに限られません。)に提供することができます。」と記載しておりますが、第三者に提供した実績はございません。

 

 

4. LINE WORKSのデータの保管場所について

LINE WORKSをご利用いただいた際のデータの保管場所については、以下の表のとおりです。すべてのデータはISO/IEC27001、27017、27018基準に適合した厳密な管理体制のもとで管理され、第三者監査において注記事項なく実施されていることを確認しています。

 

LINE WORKSの機能 ユーザーデータの保管場所
トーク

ホーム(掲示板)

カレンダー

タスク

アンケート

アドレス帳

メール

Drive

管理者画面

日本のデータセンター

 

4-1 ログイン情報の保管場所について

ログイン情報のうち、ログインID、接続元IP アドレス、デバイス情報、(LINEログインする場合のみ)LINEアカウントに関する内部ID、(携帯電話ログインする場合のみ)携帯電話番号は日本と韓国のデータセンターに保管されます。LINE WORKSは日本と韓国でサービス展開しており、ユーザーが初回ログイン時に、日本と韓国どちらのサーバーにも接続する可能性を考慮して、両国のサーバーで最低限のログイン情報を格納しています。なお、ログインパスワードについてはハッシュ化された状態で日本のサーバーのみに保存されています。

なお、2021年4月29日以降、ログイン情報の一部を韓国のサーバーでも保管していた状態を解消し、現在はすべてのログイン情報を日本国内だけで保管するよう変更を行なっております。(5月10日追記)

 

4-2 外部トーク連携におけるLINEが受信した情報の保管場所について

外部連携機能を使用した場合に、LINE WORKSから送信されてLINEで受信したデータの保管場所については、LINE株式会社の利用規約に準じています。LINE WORKSの外部トーク連携機能を通じて送信され、LINEが受信したデータについて、改めてLINE社に確認をしたところ、トークテキストおよびプロフィールでの表示情報(会社名、ユーザー名、アカウント紹介文、電話番号、URL)のうち、プライバシー性の高い個人情報は日本国内のデータセンター、画像や動画などのデータは、韓国のデータセンターにて適切なセキュリティ体制のもとで管理が行われております。また、ユーザーからの「通報」機能を利用した迷惑行為の報告がない限り、 LINE社によるトークのテキストのモニタリングは行われておりません。これはトーク内でやりとりされる画像や動画についても同様です。なお、LINE社では、画像・動画を保管するサーバーに関しては、2021年半ば以降、段階的に国内への移転を行う計画を発表しております。

 

ユーザーによって明示的にLINE WORKSユーザーに対する「通報」が行われた場合は、LINEが受信したデータを対象として「通報」前後のトークのテキストデータのモニタリングが行われます。この場合も、日本国内のユーザーからの「通報」については、LINE Fukuokaにてモニタリングが行われ、NAVER Chinaにはアクセス権限はございません。

 

データの種類 LINE WORKS 外部連携機能によってLINEが受信した情報※1
トークテキスト 日本のデータセンター LINEの日本データセンター
写真/動画/ファイル 日本のデータセンター LINEの韓国データセンター

※1:LINE株式会社のプレスリリース(https://linecorp.com/ja/pr/news/ja/2021/3675)より。

 

 

5. 今後の取り組みについて

2022年の個人情報保護法改正に向けてプライバシーポリシーの更新準備を進めています。また、社会変化やビジネスニーズに応じてLINE WORKSの機能追加や機能改善が継続的に行われる中で、利用規約については適宜見直しを行ってまいります。国際規格ISO/IEC27001、27017、27018、SOC2/SOC3に加えて、日本の顧客に安心してもらうための取り組みとして新たにCBPRやISMAP等の認証の取得についても検討をしております。

 

ユーザーの皆さまには、安心してLINE WORKSをご利用いただけるよう、引き続き厳格な運用を行ってまいります。

以上

 

【ユーザー向け説明会 動画公開のお知らせ】

本件に関するLINE WORKSユーザー向け説明会を、326日(金)に開催いたしました。

ご参加いただけなかった方はこちらの動画をご確認ください。