LINEヤフー社が提供するサービスの開発体制・データ管理体制

2024年12月23日現在

本ページでは、LINEヤフー株式会社(以下、LINEヤフー社)が提供する日本のユーザーデータ※1を取り扱うサービス※2の開発・運用体制、データ取り扱い方針およびデータ管理体制についてご説明します。

※1 LINEは、日本の携帯電話番号で登録・認証を行ったユーザー、または、過去にFacebook認証で登録し地域が日本であると判断されたユーザーのパーソナルデータを指します。Yahoo! JAPANは、すべてのユーザーのパーソナルデータを指します。
※2 提供主体がLINEヤフー社以外のLINEブランドおよびYahoo! JAPANブランドのサービス(例:LINEマンガなど。詳細詳細は本ページ下部「よくあるご質問」をご覧ください)は、本ページの対象外となります。

Index

グローバル開発・運用体制

LINEヤフー社は、LINEブランド、Yahoo! JAPANブランドを中心に日本国内で延べ100以上のサービスを提供しています。

また、LINEブランドのサービスは、日本のみならず海外でも提供されており、なかでも台湾・タイで多くのユーザーに利用されています。
グローバルでのサービス提供を行うため、LINEヤフー社による開発ガバナンスのもと、日本・韓国・ベトナム・台湾・タイに所在するLINEヤフーグループ各社が協力して開発を行う、グローバル開発体制を構築しています。

例えば、日本で9,700万人、台湾で2,200万人、タイで5,500万人のユーザーに利用されているLINEアプリは、一つのアプリケーションとプラットフォームをグローバルで提供し、各国・各地域の文化やニーズに合わせて機能やUI/UXをカスタマイズしています。

 

国・地域ごとのLINEアプリ画面(例:ニュースサービスの違い)日本ユーザー向け画面:LINE NEWS、台湾ユーザー向け画面:LINE TODAY、タイユーザー向け:LINE TODAY

「LINE TODAY」台湾・タイ等で提供されているニュースサービス。各国・各地域の文化やニーズに合わせて機能やUI/UXをカスタマイズしています。

日本ユーザー向けサービスの開発・運用体制

グローバル開発体制のうち、"LINEヤフー社が提供する日本のユーザーデータを取り扱うサービス"に関する開発およびシステムの開発・運用を担当するLINEヤフーグループの海外グループ会社の一覧は以下の通りです。

所在地 会社名 主な役割
韓国 LINE Plus Corporation ・LINEアプリやLINEブランドのサービスおよびYahoo! JAPANブランドのサービス(コマース、ニュース、検索など)などの機能開発
・共通開発基盤、データプラットフォーム、サービスプラットフォーム、インフラ・ネットワーク、社内システムなどの開発・運用
ベトナム Techbase VietNam Co., Ltd ・LINEブランドおよびYahoo! JAPANブランドの一部サービスの機能開発
・社内ツールの開発等
LINE VIETNAM COMPANY LIMITED
LINE TECHNOLOGY VIETNAM CO., LTD
アメリカ Actapio, Inc. ・LINEヤフー社が提供するサービスで取り扱うデータの一部を保存する米国データセンターの運営及びインフラ・ネットワークの運営

上記海外グループ会社のうち、LINE Plus Corporation、LINE VIETNAM COMPANY LIMITED、LINE TECHNOLOGY VIETNAM CO., LTDの3社は、LINEヤフー社からの業務委託を受けて、LINEヤフー社が管理するユーザーデータへのアクセスを行う場合があります。
日本以外の国または地域から日本のユーザーデータへのアクセスに関する詳細は、本ページの「よくあるご質問」をご覧ください。

データ管理方針

LINEヤフー社は、日本のユーザーデータを取り扱うサービスをグローバル開発体制の元で開発・運用するにあたり、LINEヤフー社が定める「データプロテクション基本方針」に従い、グループ会社へのガバナンスを行っています。
データプロテクション基本方針は「ユーザープライバシーファースト」を全体指針として、(1)ユーザー利益の優先、(2)透明性の確保、(3)権利利益の保護、(4)コントロール権の尊重、(5)セキュリティを原則として掲げています。
データプロテクション基本方針について

ユーザープライバシーファーストの全体指針を示す図。指針に含まれる考え方として「プライバシーバイデザイン」「社会の倫理>企業の利益」「ユーザーの権利利益の保護」が挙げられています。指針を実現するための5つの柱となる原則は、(1) ユーザー利益の優先、(2) 透明性の確保、(3) 権利利益の保護、(4) コントロール権の尊重、(5) セキュリティです。具体的な取り組みとして、DPO設置、PIA実施、NIST PF、CBPR認証などがあります。

日本のユーザーのデータ保護・管理体制

日々拡大、高度化、グローバル化するサイバーセキュリティリスクを管理するため、LINEヤフー社では、業種を問わず世界中で広く参照されている米国標準技術研究所(NIST)が定めたCybersecurity Frameworkなどを考慮したうえで、さまざまなサイバーセキュリティ対策を講じています。

LINEヤフー社における主なサイバーセキュリティ対策を、NIST Cybersecurity Frameworkに基づいてご紹介します。

NISTのCybersecurity Frameworkとは、社内外の利害関係者とサイバーセキュリティリスクについてコミュニケーションを行うための分類法が示されたものです。
「統治」「識別」「防御」などの6分類に体系化されており、平時のリスク管理や脅威に対する事前の対策から、インシデントが発生した後の対応策・信頼回復の取り組みまで、サイバーセキュリティに関連する広範な管理策をカバーしています。

日本のユーザーデータを守るための主な対策を示す図で、NISTCybersecurityFrameworkに基づいています。6つの柱があり、それぞれの対策が示されています。統治(Govern):セキュリティガバナンス委員会の実施、グループCISOの情報連携、リスクマネジメント委員会の実施など。識別(Identify):情報資産の台帳管理、重要システムの特定とリスク評価、社内外のリスクアセスメント、BugBountyProgramの運営など。防御(Protect):多要素認証の徹底、最小権限の原則、情報の暗号化、ネットワークセキュリティの強化、ユーザーの個人情報保護教育など。検知(Detect):社内の端末・ネットワークの監視、各種ログ取得、保護、集約、分析など。対応(Respond):インシデント対応体制の整備、緊急対策の実施、情報漏洩の防止、インシデント報告手順の教育など。復旧(Recover):危機管理体制の整備、インシデント発生後の情報提供、再発防止策の情報提示、インシデントの分析、対応、記録、報告の活用など。

①統治:サイバーセキュリティ戦略・方針の設定と管理

LINEヤフーグループでは、サイバーセキュリティ基本方針を定め、情報セキュリティ上の脅威に対して、ユーザーの情報を漏洩から守ること(機密性)、24時間365日いつでもユーザーにサービスを提供し続けること(可用性)、コンテンツを破壊や改ざんから確実に守ること(完全性)を方針として、最善の取り組みを行なっています。
代表取締役社長が委員長を務めるセキュリティガバナンス委員会を組成し、CISO、CTOほかセキュリティに関連する執行役員らが参加してセキュリティガバナンスの向上に向けた議論を行っています。
また、グループ全体でセキュリティを強化することを目指し、グループCISO Boardを通じた密接な情報連携と継続的改善活動に取り組んでいます。
さらに、サプライチェーン全体を強化するため、厳格な基準に基づくサプライヤー選定および管理を実施しています。
購買・調達について

国内外のセキュリティ標準・規格を参照し組織の現状とのギャップを特定、改善に結び付けるべく、セルフチェックや第三者機関による審査を実施しています。

②識別:資産・リスクの特定と評価

LINEヤフー社における重要システムと、それに対して求める安全管理措置基準を定義したうえで、ISO27001※を活用したリスクマネジメントプロセスのなかで、リスクを把握し、管理する仕組みを整備・実施しています。
具体的には、年次のリスクアセスメントとして、各システムのデータ保管の現状、施されているセキュリティ対策、それに伴うリスクを全体的に把握し、評価する業務の仕組みを構築しています。
また、外部の専門機関と社内の専門組織が連携して、サービスの脆弱性診断、およびセキュリティ対策の有効性検証を定期的に行っています。
さらに、外部のホワイトハッカーなどの協力を得てシステムやサービスの脆弱性を早期に発見する取り組みである Bug Bounty Program や、脆弱性報告フォームを運営しています。
※ ISO27001:情報セキュリティマネジメントシステム(ISMS)に関する国際規格

③防御:特定された資産を守るための対策実施

当社ユーザーの個人情報へのアクセスは、内部不正・外部不正(サイバー攻撃)の両方の脅威を想定し、厳格な物理的・論理的アクセス制御を徹底しています。
例えば、特に機密性の高いユーザーデータの不正持ち出しを防ぐため、一般執務環境から隔離され禁止携帯品の持ち込み防止など専用のルールで管理されたセキュリティエリアを設置しています。またエリア外からの特に機密性の高いユーザーデータへのアクセスは、緊急時含む一定条件下に限定したうえで、アクセス可能なデータの制限、2名以上の作業体制といった対策下でのみ可能としています。

④検知:セキュリティインシデントの早期発見と対処

インシデントの早期検知と被害の最小化を目指し、外部の専門機関と社内の専門組織が連携して、24時間365日のセキュリティ監視を行っています。

⑤対応:インシデント発生時の適切な対応

インシデント対応基準や体制の整備、インシデント対応訓練を定期的な実施などを通じ、万一のインシデント発生時の迅速かつ適切な対応に備えています。
インシデント発生時には、迅速に事故対応体制を組成し、被害を最小化するための対応を実施するとともに、重要度に応じて速やかに経営トップまで影響や対応状況の報告を行う運用となっています。
また、CISOが統括するセキュリティ組織などの全社横断チームにより、事態の拡大防止と早期収束、二次被害防止のための迅速な情報開示を行います。

⑥復旧:インシデント後の復旧とコミュニケーション

大規模な災害や障害、サイバーセキュリティインシデントなどにより影響を受けた機能やサービスをいち早く復旧させるため、危機管理体制・事業継続管理体制を整備しています。
実行計画およびその進捗は、代表取締役社長を委員長とするセキュリティガバナンス委員会や経営会議での確認も行っています。

よくあるご質問

ユーザーデータを守るために、LINEヤフー社ではどのような体制を構築していますか。

LINEヤフー社は「プライバシー&セキュリティファースト」を経営方針とし、ユーザーの皆さまがいつでもサービスを安心してご利用いただけるように、安全のためのセキュリティ強化とプライバシー保護に取り組んでいます。
そのための社内体制として、全社の個人情報保護領域のガバナンス業務の責任を担う CPGO(Chief Privacy Governance Officer)、全社のデータ領域の業務を統括するCDO(Chief Data Officer)および全社の情報セキュリティ、サイバーセキュリティ領域の業務を統括するCISO(Chief Information Security Officer)が設置されており、それぞれの領域で責任をもってセキュリティ強化とプライバシー保護の取り組みを行っています。また、データの利用に関して社内の独立した第三者的な立場からの監視、ユーザー目線での助言等を行うDPO(Data Protection Officer)も設置されています。
加えて、外部の有識者を中心に構成する有識者会議による、定期的なフィードバックと改善を行っています。

LINEヤフー社のプライバシー&セキュリティ体制については、「プライバシー&セキュリティ」をご覧ください。
DPOの役割や活動については、「LINEヤフーDPOについて」をご覧ください。
有識者会議については「有識者との対話」をご覧ください。

LINEヤフー社のセキュリティ・プライバシーに関する取り組みについて、客観的な評価を受けていますか。

情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」に基づく認証、国際的な決済・クレジットカード産業向けのデータセキュリティ基準である「PCI DSS認定(Level 1認証)」を取得・維持しています。
詳しくは「外部認証」をご覧ください。

LINEヤフー社が管理するユーザーデータはどこの国のデータセンターで保管されていますか。

日本、アメリカおよび韓国のデータセンターで保管しています。
なお、韓国のデータセンターに保管しているLINEヤフー社が取り扱う日本のユーザーデータは日本国内に順次移転しています。LINEのデータの日本国内への移転の状況についての詳細は、「LINEのデータ移転に関するご説明」をご覧ください。
日本、アメリカおよび韓国はAPECによる越境個人情報保護に係る枠組み(CBPRシステム)に参加し、日本および韓国は欧州委員会による十分性認定を受けております。

クラウドサービスなどデータセンター以外に保管されるユーザーデータを含めた保管国の詳細については、プライバシーセンター「パーソナルデータの安全管理措置」をご覧ください。

LINEヤフー社が管理するデータセンターに保管されるユーザーデータに、海外からアクセスされることがありますか。

LINEヤフー社が管理するデータセンターで保管されるユーザーデータは、お客様へよりよいサービスを提供するため、LINEヤフー社のセキュリティガバナンス基準に則り、日本以外の国または地域のグループ会社やパートナーからのアクセスやデータ連携を行う場合があります。

  • グループ会社やパートナーに一部の業務を委託する場合
    LINEヤフー社の一部の業務をグループ会社やパートナーに委託するにあたり、ユーザーデータを日本以外の国または地域の業務委託先からアクセスする場合があります。LINEヤフーグループ以外の企業も含め、業務委託としてユーザーデータへのアクセスが行われる国または地域についての詳細は、プライバシーポリシー「5.b.業務委託」をご覧ください。
  • グループ会社間でユーザーデータを共同利用する場合
    LINEヤフー社は、パーソナルデータをグループ会社間で共同利用することがあります。たとえば、グループ会社の提供するサービスでのアカウント開設の手間を軽減するため、当社サービスでご登録いただいた情報を当社のグループ会社が参照する場合などです。共同利用の対象となるLINEヤフーグループ会社は、プライバシーセンター「共同利用の対象となるグループ会社一覧」をご覧ください。
  • その他、当社サービスの改善・向上等のため、個別に同意いただいている場合などにも、ユーザーデータの第三者提供が行われる場合があります。

詳細については、プライバシーポリシーの「5.パーソナルデータの提供」、プライバシーセンターの「パーソナルデータの連携」および「海外グループ会社・パートナーへのデータ連携」をご覧ください。

LINEアプリのトークのデータはどこの国のデータセンターで保管されていますか。

日本ユーザーのLINEアプリのトークのテキスト、トークで送信した画像・動画・ファイル、アルバムやKeepのデータは、日本のデータセンターにて保管されています。

トークテキストの内容については暗号化を行っており、データベースへアクセスするだけではデータの中身を確認することはできません。これらについては、LINEヤフー社が開発した「Letter Sealing」というエンドツーエンド暗号化プロトコルを用いて暗号化されています。「Letter Sealing」によって暗号化されたテキストは、当社のサーバー管理者であっても閲覧することはできません。「Letter Sealing」はデフォルトの設定でオンとなっており、セキュリティ保護の強化の観点から、オフにすることはできません。
なお、不正利用の申告など、ユーザーの同意がある場合は、別途暗号化される前のトーク等の情報が当社へ送信され、不正利用防止のため当社従業員が閲覧することになります。

Letter Sealingの適用条件や有効かどうかを確認する手順は、ヘルプセンター「トークを安全に使う」をご覧ください。

LINEアプリの利用開始時等に登録した電話番号やメールアドレスはどこの国のデータセンターで保管されていますか。

日本のユーザーの当該情報は、日本のデータセンターにて保管されています。LINEアプリ上の名前・電話番号・メールアドレス・LINE IDは、日本国内のサーバーで日本の法規法令に基づく当社のデータガバナンス基準に準拠して適切に取り扱っています。
LINEのデータの日本国内への移転の状況についての詳細は、「LINEのデータ移転に関するご説明」をご覧ください。
日本、アメリカおよび韓国はAPECによる越境個人情報保護に係る枠組み(CBPRシステム)に参加し、日本および韓国は欧州委員会による十分性認定を受けております。

クラウドサービスなどデータセンター以外に保管されるユーザーデータを含めた保管国の詳細については、プライバシーセンター「パーソナルデータの安全管理措置」をご覧ください。

自身のLINEアカウントを削除した場合、登録した電話番号やトーク履歴、購入履歴などの個人情報はどうなりますか。

アカウントを削除すると、購入した有料スタンプやコイン、LINEに登録した電話番号、友だちやグループのリスト、トーク履歴、連動アプリ(LINE GAMEなど)の登録等、原則としてすべてのデータが削除されます。
例外として、問合せ対応や法令遵守の目的で保管すべきデータがある場合は、適用法および社内規程に従って適切に取り扱います。
また、適用法および社内規程に従って定めた保存期間経過後、パーソナルデータを個人を特定できない形で保有する場合があります。
詳細については、プライバシーポリシーの「6.パーソナルデータの安全管理」をご覧ください。

また、LINEアカウントの削除手順については、みんなの使い方ガイド「LINEアカウントを削除する」をご覧ください。

捜査機関による捜査への対応として、ユーザーデータの開示が行われることはありますか。

原則としてご本人の同意がない限り、第三者にユーザーの皆さまの情報を提供することはありません。また、外部からそのような要請があった場合も対応することはありませんし、国家機関による盗聴や検閲等、ユーザーの皆さまの人権を不当に脅かす行為に対応することも一切ありません。
ただし、サービス提供者としての社会的な責任を果たす上で、例外として捜査機関による捜査などに対応するケースがあります。捜査機関から情報開示の要請を受領した場合など、関係法令に基づいて開示することが適切と判断される状況と範囲に限り、捜査に必要な情報を提供する場合があります。
また、どの程度の頻度で捜査機関から要請を受領し、応じているかを透明性レポートとして開示しています。

捜査機関への対応に関するLINEヤフー社の方針および透明性レポートについては、「捜査機関等からのユーザー情報開示要請に関する透明性レポート」をご覧ください。

2023年11月に公表した不正アクセスによる情報漏えいへの再発防止策と進捗状況はどうなっていますか。

本件を重く受け止め、再発防止に努めております。ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、改めて深くお詫び申し上げます。
再発防止策およびその進捗状況については、LINEヤフー社コーポレートサイト上の特設ページにて公開しております。
不正アクセスによる情報漏えいへの再発防止策および進捗状況

日本国内から利用できるLINEブランドおよびYahoo! JAPANブランドを冠するサービスで、LINEヤフー社以外が提供主体となるサービスはありますか。

以下のサービスはLINEヤフー社が提供主体とならないサービスです。
・LINEポケットマネー、LINEスコア(LINE Credit株式会社)
・LINE MUSIC(LINE MUSIC株式会社)
・LINE BITMAX(LINE Xenesis株式会社)
・LINE WORKS、LINE WORKS AiNote、LINE WORKS Vision(LINE WORKS株式会社)
・LINE FRIENDS、LINE FRIENDS STORE(LINE Friends Japan株式会社)
・LINEマンガ(LINE Digital Frontier株式会社)
・LINE Camera(Snow Corporation)
・LINE Pay(LINE Pay株式会社)
・LINEドクター(LINEヘルスケア株式会社)
・LINE FX(LINE証券株式会社)
・LINEMO、Y!モバイル(ソフトバンク株式会社)

Page top