LINEヤフー、LINE GAMEのユーザー識別子610万件が約4年にわたり外部流出していたと公表

2026年7月15日 14:18

印刷

記事提供元:Tech Times

(Lycorp.co.jp)

(Lycorp.co.jp)[写真拡大]

LINEヤフーは、LINE GAMEの3タイトルにおいて、広告分析ツールの設定ミスにより約610万人の内部ユーザー識別子が約4年間にわたり外部パートナー企業に送信されていたことを公表した。対象となるのは「LINE ポコポコ」などのユーザーで、氏名などの直接的な個人情報は含まれていないとされている。同社は2026年4月に問題を把握していたが、公表まで103日を要しており、データガバナンスの体制が改めて問われる事態となっている。

■設定変更によって送信されたデータと期間

今回のデータ露出は、サイバー攻撃や外部からの侵入によるものではない。2022年5月25日、LINEヤフーのパートナー企業が、LINE GAMEの3タイトルで広告の表示パフォーマンスを測定するために使用していた広告分析ツールの設定を変更したことが原因だ。

この変更により、本来受信すべきではないデータフィールド、すなわちLINEヤフーのシステムが個別アカウントを区別するために使用するランダムな文字列である「内部ユーザー識別子」がツールに送信されるようになった。LINEヤフーもパートナー企業も、変更の前後でツールの設定を監査していなかった。識別子はユーザーのデバイスからパートナーの外部分析ツールへ、セッションごとに1,409日間にわたり送信され続けていた。

LINEヤフーによると、送信された識別子のレコード数は合計710万件に上る。内訳は、「LINE ポコポコ」が約547万件(2026年4月2日まで)、「LINE ポコパンタウン」が約79万件(2026年4月3日まで)、そして「LINE ポコパン」が約84万件(サービスが終了した2025年6月11日まで)となっている。この710万件のうち約93万件は、ユーザーがLINEアカウントではなくゲストとしてログインしていたため、個別のアカウントと紐付けることができない状態で送信されたと同社は説明している。

同社は、これらの識別子を友だち追加のために共有するLINE IDとは異なる「ランダムな文字列」であると位置づけており、氏名、住所、電話番号、銀行口座番号、クレジットカード情報などは含まれていないと述べている。また、パートナー企業が送信されたデータの削除を完了したことを確認しており、不正利用は検知されていないとしている。

■「個人データではない」という説明の背景とリスク

送信された識別子は「個人データではない」とするLINEヤフーの説明は、日本の個人情報保護法(APPI)の法的に重要な解釈を反映したものだ。同法では、個人データを特定の個人を識別できる情報と定義している。ランダムな内部識別子単体では、その基準を満たさない可能性がある。しかし、この説明は広告分析ツールに内在する構造的なプライバシーリスクを省略している。広告測定SDKの目的は、ユーザーがどのゲームセッションを、いつ、どの程度の頻度でプレイし、どの広告に反応したかという行動データを記録することにある。もし広告分析ツールが1,409日間にわたり、行動イベントデータとともに永続的なユーザー識別子を受信していたとすれば、ツールに蓄積されたデータ群によって、氏名が紐付いていなくても、集団レベルでのオーディエンスセグメンテーションや再識別が可能になる恐れがある。

LINEヤフーの声明では、外部ツールが識別子とともにどのような行動データを保持していたかについては言及されていない。識別子自体が削除されたと述べるにとどまっている。この違いは、削除が完全であったかどうかを問う上で重要となる。

今回のインシデントの中心にある技術的メカニズム、すなわちサードパーティの広告SDKの設定ミスにより意図した以上のデータが送信されてしまう問題は、モバイルゲームにおいてよく知られたリスク要因である。国際プライバシー専門家協会(IAPP)が引用した調査によると、ゲームアプリには平均して17.5個の異なるSDKが組み込まれており、分析および広告SDKが最も一般的なカテゴリーを占めている。設定変更によって意図しないデータフィールドが送信された場合、唯一の確実な検知メカニズムは、外部へ送信されるデータフローの積極的な監査である。LINEヤフー自身の「ユーザープライバシーファースト」というガバナンスの枠組みには、そうしたレビューが含まれるはずであったが、2022年5月の設定変更時には機能しなかったとみられる。

■発見から公表までのタイムラインに関する疑問

LINEヤフーは2026年4月1日に設定ミスを発見し、2日後の4月3日には技術的な修正を完了した。その後調査を行い、発見から103日後の2026年7月13日に公式な公表を行った。

2022年4月に施行された改正個人情報保護法では、データ漏えいの報告義務が強化されており、事業者は1,000人以上に影響を及ぼし、個人の権利や利益を害する恐れのあるデータ漏えいの可能性を認識した場合、3〜5日以内に個人情報保護委員会(PPC)へ速報を提出し、30日以内に確報を提出することが求められている。

LINEヤフーは、PPCにそのような報告を行ったかどうかを公に明らかにしていない。同社が識別子を、追加データなしでは特定の個人と結びつけることができないランダムな文字列であり、個人を特定できない情報であると位置づけていることが、このインシデントがAPPIの義務的な報告閾値に達していないと判断した法的な根拠である可能性が最も高い。しかし、LINEヤフーは2023年の情報漏えい事件により、2025年1月の時点ですでにPPCの積極的な監視下にあった。つまり、今回のインシデントの報告義務に関する社内の法的判断は、規制当局がすでに注視している状況下で下されたことになる。

本記事の公開時点で、PPCがこのインシデントを改正APPIに基づく報告対象と見なしているかどうか、またLINEヤフーが2026年4月に速報を提出したかどうかは、どの情報源でも確認されていない。

■過去の漏えい事件に伴う改善期間中に発生

LINEヤフーは、ソフトバンクグループ傘下のヤフーとLINEの合併により2023年10月に誕生した。その2ヶ月後の2023年11月、同社は韓国の関連会社であるNAVER Cloudの委託先が使用するPCがマルウェアに感染し、44万人以上のデータに不正な第三者がアクセスしたことを公表した。

これを受け、日本のPPCは2024年3月にLINEヤフーに対して勧告を出した。また、総務省(MIC)も2024年3月と4月に行政指導を行い、LINEヤフーのシステムをNAVERおよびNAVER Cloudのインフラから分離するなど、全社的なコンプライアンスの抜本的見直しを求めた。このプロジェクトは、海外子会社については2026年12月まで続くと予測されている。

2025年1月の時点で、PPCはLINEヤフーが再発防止策を進めているものの、必要な措置の多くが未完了であると報告していた。今回のLINE GAMEにおける広告SDKの設定ミスは、2022年5月に発生し、2026年4月まで継続し、2026年7月に公表されたものであり、2023年の漏えい事件後の改善期間中に完全に重なっている。識別子の送信を引き起こした設定変更は2023年の事件やその後の規制当局の対応よりも前に起きていたが、同社がそれを検知したのは、データガバナンスの抜本的見直しが最も活発に行われているはずの時期であった。

■LINE GAMEユーザーが知っておくべきこと

「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」のユーザーは、LINEヤフーの公表内容に基づき、直ちに何らかの対応を取る必要はない。同社は、データの送信はすでに停止しており、パートナー企業が送信されたデータを削除したこと、そして識別子の不正利用は検知・報告されていないと述べている。LINEヤフーは影響を受けたユーザーに対し、順次個別に通知を行っているという。

ランダムな内部識別子が送信されたことによる実際のリスクは、それが再識別可能な行動データと組み合わされ、特定の個人のプロファイリングに使用されたという証拠がない限り、氏名、メールアドレス、パスワードが漏えいした場合よりも低いとされる。ただし、その評価は広告分析ツールが1,409日間にわたり識別子とともに何を保持していたかに依存しており、LINEヤフーの公表ではその疑問に完全には答えていない。

ゲームアカウントの状況を確認したいユーザーは、公式発表に掲載されている問い合わせフォームを通じてLINEヤフーに連絡することができる。

■注目ポイントQ&A

●LINE GAMEユーザーの識別子はどのくらいの期間、外部の広告ツールに送信されていましたか?

送信期間は2022年5月25日から2026年4月3日までの1,409日間(約3年10ヶ月)です。LINEヤフーは2026年4月1日に設定ミスを発見し、2日後に修正を完了しました。対象となるのは「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン(2025年6月サービス終了)」の3タイトルです。

●内部ユーザー識別子とは何ですか?「個人データ」でなくてもリスクがあるのはなぜですか?

LINEヤフーの説明によれば、内部ユーザー識別子とはアカウントを区別するためにシステムが使用するランダムな文字列であり、友だち追加に使うLINE IDや氏名、メールアドレス、電話番号などではありません。同社はこれ単体では特定の個人を識別できないと主張しています。しかし、広告分析ツールがこの識別子とともに行動データ(セッション時間、ゲーム内の活動、広告への反応など)を長期間蓄積していた場合、その識別子に紐づく行動プロファイルが形成されるリスクがあります。外部ツールが行動データを保持していたか、またそれが削除されたかについて、同社の公式声明では言及されていません。

●LINEヤフーは法的に定められた期間内に個人情報保護委員会へ報告しましたか?

改正個人情報保護法では、1,000人以上に影響する漏えいの可能性がある場合、3〜5日以内に個人情報保護委員会(PPC)へ速報を提出することが義務付けられています。LINEヤフーは4月1日に問題を発見しましたが、公表は103日後の7月13日でした。同社が4月にPPCへ報告を行ったかどうか、あるいは送信された識別子が法律上の個人データに該当しないため報告義務の対象外と判断したかどうかは公表されていません。PPCもこの件について公式なコメントを出していません。

●今回の件は、2023年に起きたLINEヤフーのデータ漏えい事件と関係がありますか?

原因やメカニズムは異なります。2023年の事件はNAVER Cloudの委託先PCがマルウェアに感染したことによる外部からの不正アクセスでしたが、今回はパートナー企業が使用する広告分析ツールの設定ミスという内部のガバナンス不備によるものです。しかし、第三者によるデータ取り扱いの監視が不十分であったという点では共通しています。今回の設定ミスは2022年5月に発生し、2023年の事件を受けたガバナンス改善期間中も検知されないまま継続していました。

元記事: LY Corp Discloses LINE GAME Identifier Leak Affecting 6.1 Million Over Four Years

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事