3つのゲームで管理情報の誤送信が発覚
LINEヤフーは7月13日、スマートフォン向けゲーム3サービスで、利用者を区別するために付与した管理用の文字列が外部企業へ送られていたと公表した。対象となったのは「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」である。
送信先は、オンライン広告がどのように表示されたかなどを確認するサービスを提供する企業だった。社内で利用者を管理する目的で使われる情報が、システムの設定によって想定外の外部サービスへ送信されていた。
ゲームの操作内容や利用者の登録情報そのものが外部へ提供されたわけではない。しかし、多数の利用者に割り当てられた内部管理用のデータが、長期間にわたって社外へ渡っていたことが明らかになった。
2022年5月から今年4月まで継続
誤送信は2022年5月に始まり、2026年4月まで続いた。LINEヤフーによると、システムの設定を変更した際に、送信される情報や接続先を十分に確認しなかったことが原因とされる。
問題は2026年4月に発覚した。その後、同社が対象となるゲームや送信された情報の範囲を調査し、3つのサービスで同様の状態が続いていたことを確認した。
設定上の問題が解消されないまま、約4年間にわたって情報が送られていたことになる。外部サービスを利用するシステムでは、設定変更時だけでなく、運用開始後も送信項目や接続状況を継続的に確認する必要があることを示す事案となった。
公表内容で異なる対象規模の表記
影響範囲については、朝日新聞が約610万人分、NHKが約710万件と報じている。前者は対象となった利用者の人数を示し、後者は外部へ送信された情報の総数を示す表現となっている。
単位が異なるため、約610万人と約710万件を同じ基準で直接比較することはできない。1人の利用者に関する記録が複数存在したかどうかなど、数字の差を説明する詳しい内訳は、提供された記事には記載されていない。
ただ、対象となった3サービスから大規模な管理用情報が外部へ渡っていたという事実は共通している。規模を比較する場合には、利用者数と記録件数を別の指標として扱うことが求められる。
氏名や住所など直接情報は含まれず
外部へ送られたのは、英字や数字などで構成されたランダムな文字列である。LINEヤフーが社内システム上で利用者を見分けるため、個別に割り当てていた内部識別子だった。
氏名、住所、電話番号、クレジットカード番号など、利用者本人を直接特定できる情報は含まれていない。また、LINEで友だちを追加する際などに使われる「LINE ID」とも異なる。
LINEの内部では、識別子と利用者データを関連付けて管理できるが、外部企業が文字列だけを取得しても、登録者の氏名などを確認することはできないという。現時点で、情報の不正使用や利用者への二次的な被害は確認されていない。
送信先で削除済み、再発防止へ対応
誤って情報を受け取った外部企業は、対象となるデータをすでに削除した。LINEヤフーは利用者に迷惑と不安を与えたとして謝罪し、今回の事態を反省した上で再発防止に取り組む方針を示している。
今回の問題では、直接的な個人情報が外部へ送られた事実は確認されていない。一方で、社内管理を目的とする識別情報であっても、設定の不備によって大規模に社外へ送信される可能性が示された。
同様の事態を防ぐには、システム変更時の確認作業に加え、外部サービスへ送るデータの種類や範囲を定期的に点検する管理体制が重要となる。
