データセキュリティ
2022.03.29
LINEでは、ユーザー情報を保護するために、個人情報の保護に関する基本方針や管理規程の策定、情報の安全管理体制の構築、適切な委託先の選定、海外での個人情報の取扱い状況の把握、高度な暗号化技術の採用や世界最高水準のセキュリティ設備が組み込まれたデータセンターの利用等、あらゆる対策を施しています。
基本方針の策定
LINEは、個人情報保護方針(https://linecorp.com/ja/legal/privacy)を策定し、遵守することで、個人情報を適切に取扱い、保護していくことに努めております。
個人情報の適切な取扱いに関する規律の整備
LINEは、個人情報保護のための安全管理措置に関する管理規定を策定し、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置について、個人情報の適切な取扱い方法を整備しております。
組織的安全管理措置
(1)組織体制の整備
LINEは、個人情報保護管理者を設置し、個人情報保護管理者が統括するセキュリティの専門組織が個人情報保護に関する施策の決定や、活動の推進を行っております。個人情報を取扱う部門においては、管理責任者を設置し、当社における個人情報保護の責任と権限を明確化しております。
(2)個人情報の取扱いに係る規律に従った運用
LINEは、監査ログ・保管に関する当社規定に基づき、個人情報の取扱い記録の検証を可能とするため、個人情報を取扱う情報システムの利用状況を記録、保管しております。
(3)個人情報の取扱い状況を確認する手段の整備
LINEは、個人情報の取扱い状況を確認するため「個人情報管理台帳」を作成し、個人情報の名称、項目、責任者、利用目的、アクセス権を有する者等について、管理しております。
(4)漏えい等事案に対応する体制の整備
LINEは、漏えい等事案に関する当社規定に基づき、個人情報の保護に関する法律や、個人情報の取扱いに関する管理規定に違反している事実または兆候を把握した場合、透明性をもって迅速に対応し、誠実に説明責任を果たすことができるよう、体制を整備しております。
(5)取扱状況の把握及び安全管理措置の見直し
LINEは、内部監査に関する当社規定に基づき、個人情報の取扱い状況の把握及び安全管理措置の見直しをするため、内部監査体制を整備し、毎年内部監査を実施しております。
人的安全管理措置
LINEは、情報セキュリティ教育に関する規定に基づき、個人情報保護に関する教育研修を毎年行い、役職員に個人情報の適切な取扱いについて周知、教育を行っております。また、役職員との間で秘密保持に関する事項を含む、誓約書を取り交わしており、違反した場合には規則に則った罰則を規定しております。
物理的安全管理措置
(1)個人情報を取り扱う区域の管理
LINEは、業務施設に関する規定に基づき、セキュリティ区域を定め、各セキュリティ区域における、物理的アクセスを制限しております。重要な個人情報を取扱う区域については、重要セキュリティ区域として指定し、許可された者だけの入室制限、入室の記録を行っております。
(2)機器及び電子媒体等の盗難等の防止
LINEは、記録媒体の管理に関する規定に基づき、個人情報が記録された電子媒体、書類等を当社役職員が入室許可された区域で、施錠可能なキャビネット等に保管しております。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
LINEは、記録媒体の管理に関する規定に基づき、個人情報が記録された電子媒体、書類等を上長が承認する場合にのみ持出しを許可しております。また、持ち出す際の紛失や盗難対策について、役職員へ教育、啓発しております。
(4)個人情報の削除及び機器、電子媒体等の廃棄
LINEは、記録媒体の管理に関する規定に基づき、個人情報が記録された電子媒体、書類等を廃棄する場合、溶解またはシュレッダー等により復元不可能な状態で廃棄しております。また、PCを含む情報システムを廃棄する際には、データを消去し、復元できないよう物理破壊を行っております。なお、外部に廃棄作業を委託する場合には、廃棄証明書を記録として取得しております。
技術的安全管理措置
(1)アクセス制御
LINEは、アクセス権限管理に関する当社規定に基づき、個人情報データベースへの役職員のアクセスを必要最低限に限定しております。また、アクセス権限の見直しを定期的に行っております。
(2)アクセス者の識別と認証
LINEは、アクセス権限管理に関する規定に基づき、権限発行は1アカウントにつき1名とし、役職員による利用状況の追跡を検証可能としています。
(3)外部からの不正アクセス等の防止
LINEは、個人情報を取扱う情報システムと外部ネットワーク境界にファイアウォールを設置するとともに、侵入検知システムを導入して監視を行い、情報システムに対する不正アクセスを防止する体制を整備しております。
(4)情報システムの使用に伴う漏えい等の防止
LINEは、個人情報を取扱うシステムの設計時に安全性を確保したシステム設計を行っております。また、定期的に脆弱性の有無を検査し、脆弱性が発見された場合は、迅速な対策を講じる体制を整備しております。
適切な委託先の選定
LINEは、外部委託先管理に関する規定に基づき、個人情報の取扱いの全部または一部を外部委託する場合、外部委託先の個人情報管理態勢を評価し、適切な外部委託先を選定しております。
委託契約の締結
LINEは、外部委託先管理に関する規定に基づき、外部委託先との契約において、個人情報の安全管理に関する事項、再委託に関する事項、個人情報取扱い状況の報告に関する事項、契約が遵守されない場合の措置事項、個人情報取扱いの事件・事故に関する報告事項等について、契約内容に含め、委託契約を締結しております。
委託先における個人データの取扱い状況の把握
LINEは、外部委託先管理に関する規定に基づき、外部委託先における個人情報取扱い状況の定期評価を行い、安全管理措置が講じられていることを確認しております。また、再委託を行う場合はLINEの承認を必要とすることを規定しております。
海外での個人情報の取扱い状況の把握
LINE株式会社は、日本のユーザーに関する個人情報を日本及び韓国のデータセンターに保管するとともに、日本、アメリカ及びドイツに所在する外部事業者のクラウドサービス、SaaS等により取り扱っております。日本以外の国または地域で個人情報を取扱う場合、当該国または地域の制度を把握した上、適切な安全管理措置を講じております。
個人情報の取扱い方法の審査
LINEで提供されるサービスは全て法務担当部門及び個人情報保護担当部門による審査を経ない限り公開されることはありません。個人情報保護担当部門は、取得する個人情報が必要最低限であること、利用目的の適切性、取得プロセスの適切性、重要情報の暗号化や保存期間の適切性、アクセス制御の適切性等の観点から確認や検証を行い、必要な場合の改善指示を行っています。また、個人情報は日本の法令に従い管理されます。
暗号化
LINEは、ユーザ間のトーク内容に対して、通信経路で暗号化が施されています。また、ユーザ間トーク内容のうち、テキストメッセージ、位置情報、1対1のVoIPのメディアストリーム(音声とビデオ)は、LINE のLetter Sealing エンドツーエンド暗号化 (end-to-end encryption, E2EE)を用いて暗号化されています。Letter Sealing は、第三者のみならず当社のサーバー管理者であっても、通信上及びサーバー上でのメッセージ内容を閲覧することは出来ないことを保証します。
暗号化通信とLetter Sealing は、標準的な暗号化アルゴリズムを採用しています。
尚、暗号化通信及びLetter Sealingの暗号化対象の範囲については、こちらを御覧ください。また、技術的な仕様に興味のある方は、暗号化ホワイトペーパーをダウンロードいただけます。
また、LINEのユーザー情報のうち、当社の定める主要な個人情報(電話番号、メールアドレス、パスワード等)は全て暗号化の上保管され、その管理状況を定期的に点検しています
厳格なアクセス統制
LINEのデータが保存されるサーバーは最新のセキュリティ設備が導入されたデータセンター内で管理され、データセンターは常駐警備員による常時監視やICカード及び生体認証での入退制限、監視カメラでのモニタリング等が行われています。同データセンターは厳格なアクセス統制を行い、LINE社内でも最低限の人員のみアクセスが許可されます。合理的な理由に基づく事前許可が無い場合、アクセスが許可されることはありません。
監視と脆弱性検査
LINEのデータセンターでは24時間365日、専任のセキュリティチームにより物理的、論理的な監視を行っています。セキュリティチームはネットワーク上のトラフィックを常時監視し、LINEの安全性を脅かす可能性のある全ての動きの分析を実施し、即座に必要な対応を行います。また、LINEは安全性をより担保するため、セキュリティチーム及び外部企業による定期的なペネトレーションテスト(模擬ハッキングテスト)を実施し、社内外の不正アクセスへの予防対策を行っています。
廃棄
LINEが取得した個人情報は、退会時などプライバシーポリシーに明記した利用目的達成後に社内規定に従って削除されます。削除は復号不可能な方法で行われ、サーバー廃棄時は廃棄IDC内にて物理破壊を行い、データ復元が不可能な状態にして廃棄しています。