広告確認サービスへの想定外送付を公表
LINEヤフーは7月13日、同社が運営するスマートフォン向けゲームで使用していた利用者管理用データが、外部事業者のシステムに送られていたと発表した。
対象は「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」の3サービスである。ゲームの利用者ごとに設定された識別用の文字列が、広告の表示状況などを分析する外部サービスへ送付されていた。
本来はLINEヤフーの内部で利用者を管理するための情報だった。外部事業者へ渡すことを前提としたものではなく、システム上の設定に問題があったことで送信対象に含まれていた。
システム設定時の確認不足が原因
外部への送付が始まったのは2022年5月だった。その後、2026年4月に問題が見つかるまで、同様の状態が継続していた。
会社側は、システムの設定を変更した際に確認作業が不足していたと説明している。設定内容を十分に検証しないまま運用が続き、約4年にわたって管理用の情報が外部へ送られる結果となった。
発覚後、LINEヤフーは送信されたデータの種類や対象となったサービスを調査した。外部事業者側にも対応を求め、送付済みの情報が残らないよう削除措置を進めた。
人数と件数で報道上の数字に差
対象となった規模は、朝日新聞の記事では約610万人分、NHKの記事では約710万件とされている。両者は異なる単位を使っており、一方は利用者数、もう一方は送られた情報の件数を示している。
提供された記事には、約610万人と約710万件の差が生じた理由について、詳しい説明はない。このため、2つの数字を単純に同じものとして扱うことはできない。
いずれの記事も、3つのゲームを利用した多数の人に関連するデータが対象になったと伝えている。影響範囲を正確に把握するには、実際の利用者数と、外部へ送られた記録の総件数を区別する必要がある。
外部だけでは本人情報に結び付かず
送られたデータは、社内システムで利用者を管理する目的で無作為に割り当てられた文字列だった。氏名や住所、電話番号など、個人を直接示す情報は含まれていない。
クレジットカード番号などの決済情報も対象外だった。また、メッセージアプリ「LINE」で友だちを追加する際などに使われる「LINE ID」とは別の情報である。
LINEヤフーによると、社内では管理用文字列と各利用者の情報を関連付けることができる。ただし、外部事業者が送られた文字列だけを見ても、誰のデータであるかを判別したり、利用者の登録内容を確認したりすることはできないとしている。
データ削除後も管理手順の徹底へ
外部事業者に送られた情報はすでに削除されている。現段階では、送付された文字列が悪用された事実や、利用者に具体的な被害が発生したとの報告は確認されていない。
LINEヤフーは、利用者に大きな迷惑と心配を与えたとして謝罪した。今回の事態を重く受け止め、再発を防ぐための対応を進めるとしている。
送信された内容は氏名などを伴う個人情報ではなかったものの、外部サービスと接続する際の設定管理に不備があった。今後は、送信項目の事前確認、設定変更後の検証、運用開始後の定期的な点検を確実に実施することが課題となる。