三条市のLINE WORKS業務利用に関する提案①

2021-03-28IT,合理化LINE,LINEWORKS,RocketChat,三条市

はじめに

2021年3月現在、LINE社が問題だ!と連日報道されています。

何が問題なのか。ざっくりまとめますと。

  1. LINE側の説明に嘘があり、発覚後も嘘の上塗りをしている。
  2. LINEを利用した際のデータは外国(主に韓国)のサーバに保存されている。
  3. 開発を発注した先が中国の業者で、業者がLINEサーバにリモートアクセスできる状況であった。

1はここでとやかく言っても仕方ないので、2・3だけ触れます。

2について。LINE社は日本人顧客のデータを守る気がない。

どういうことかというと、利用規約に顧客のデータを守ります目的外で使用しませんとうたっている以上、顧客の国籍に合わせた国にサーバを置いてデータ管理する必要があるということなのです。

なぜなら、守るべきデータが外国に置かれたサーバ内にある場合、サーバ自体は現地の法律に従う必要が生じるからです。

なんのこっちゃという人のために噛み砕きます。

まず、外国の領地内でその国の法律が適用されない例外的扱いとなるのは、大使館や在外国軍基地くらいです。

治外法権って聞いたことあると思いますが、よほどのことがないと外国の領地内ではその国の決まりに従わなくてはいけないのです。

そりゃそうです。

そうでなければ、俺は外国人だからこの国の法律なんか守らなくていいんだ、ということになりかねません。

ある国が定めた法律は、その国の領地内にあるものに適用されるのです。

さて、LINEのデータが保存されたサーバが外国にあるという話に戻ります。

例えば、現地の捜査当局あたりが現地の法律と手続きでサーバを差し押さえにきたらどうしたらいいのでしょうか。

従うしかありません。

正式な手続きを踏んでいるのですから、たとえ異議申し立てしたとしても一旦は差し押さえされます。

差し押さえ(所有権の強制的な一時移転)をされたらサーバ内部のデータは見放題になってしまいます。

たとえ暗号化してデータを守ってあったとしても、自白の強要することが許されている国であったらどうでしょうか。

復号化の方法を白状するしかなくなります。

結論として、顧客のデータは守れなくなってしまうということなのです。

せめて顧客の国籍と同じ国にサーバを置いておき、その国に自国民の個人情報を守る何かしらの法律があればいいのですが。

民主主義国家であれば、自国民の権利はそう簡単には脅かされないでしょうから。

さて、国内法で外国人の個人情報を守るルールが制定してある国ってどこがあるのでしょうか。

少なくともLINE社がサーバを置いていた国にはそのような法律は見当たらないのではないでしょうか。(しっかり調べたわけではありません。)

つまり2の問題というのは、LINE社は日本人顧客のデータは守る気がないということを意味するのです。

当局に出せと言われたら出すしかないよね、シカタナイヨネ、ボクタチハガンバッタヨ、ということなのです。

3の問題については、中国に対して顧客のデータを開示し続けていたということです。

中国には中国の法律で、

  • 企業には共産党員が必ずいなくてはいけない。
  • 共産党が求めた場合、企業や国民は協力する義務がある。
  • 協力の中には営業上の秘密に関するデータの提供や暗号化してある顧客データを解読するための情報(すごく長いパスワード的なもの)の提供も含まれる。

というものがあります。

つまり、一度中国企業や中国国民に対してデータへのアクセスを許すと、それはすなわち中国共産党つまり中国そのものへデータを開示していることと同義になるのです。

他の外国企業ならまだしも、中国共産党とほぼ同一視しなくてはいけない中国企業に対して、データを開示してしまったのですから、それすなわち顧客データを利用規約に書かれていない用途で使用しているじゃないの、ということになるのです。

三条市の公式見解の紹介

LINEユーザーの個人情報管理不備に関する三条市のLINE WORKSの対応について

上記リンク先で言われていることを要約しますと、

  • LINE WORKSはLINE社のものではないから問題ない
  • LINE WORKSの利用規約で運営会社は顧客のデータを権利放棄していると明記されているから問題ない
  • 三条市民に関する個人情報や機密情報はLINE WORKSで扱っていないから問題ない

となります。

前述の2で述べたように、運営会社がどんなに顧客データを守ります安心してくださいと言っても、サーバが置かれている国によってはどうしようもない、ということは本記事で説明してきました。

三条市は「問題ない」と言ってますが問題はそこじゃない、ということなのです。

三条市はLINE WORKSのサーバがどの国に蔵置されているのか運営会社に確認して発表する必要があります。

その上で、三条市は運営会社との契約内容から問題ないと判断します。運営会社を信じます。

と、コメントするかどうか初めて選択できる、ということになります。

ところで、住民に関するデータは扱わないから問題ないということですが、そもそもLINE WORKSを導入した経緯は業務の合理化のため、ですよね…?

ということは、

  • 職員Aが今どこにいて、これから何をするとか
  • 職員Bは〇〇に関する業務の決定権をもっているとか

こういう情報は当然扱っているんじゃないですかね。

これって機密情報なのではないですかね。

なぜなら、例えば、

  • 職員Aを引き込みたいから一人になったタイミングを知りたい、とか
  • 〇〇業務について有利な状況を作りたいから決定権のある者を攻略したい、とか

悪いこと考える人にとって有益な情報になりえますから、むやみやたらに公開していい情報ではない、つまり開示レベルを組織的に決定しなくてはいけない情報=機密情報だと思いますよ。

ビジネスチャットを導入したこと自体は素晴らしい

業務の効率化のために、民間で活用されているビジネスチャットを活用するべく行動したことは素晴らしいと思います。

流石、滝沢市長、お若い(2021年現在35歳)、素晴らしいです。

ですが、なぜLINE WORKSを選んだのかまでは説明していないことが気にかかりました。

ここまで指摘したようなことを気にされていなかったのではないかと、市長の周りには今回の件で意見する者がいないのではないかと、心配になりました。

IT業界の人(機材の販売者ではなくて)に聞けば直ちに指摘されるような、常識的なことなのに、です。

チャットだけであれば自前で構築できますよ。

ようやく本題です。

LINE WORKSが契約途中であっても、もし外国にサーバを置いていた場合、悪いこといわないので直ちに利用を中止するべきです。

その際の代案なのですが、それなりの予算を使って国内サーバで運営されているビジネスチャットへ直ちに移行することは難しいと推察いたします。

既にLINE WORKSに予算を投じたあとだからです。

公務所ですから計画に従って執行した予算を中止したり流用したりすると、失態を認めるなどそうとうな説明を行わなくてはならないものと推察いたします。

また、外国にサーバがあったとしても、それは契約前におそらく書面で明示されていると思います。

当時は気にしていなかった、という理由では違約金なしの一方的な契約解除まではできないのではないでしょうか。

つまりLINE WORKS利用に投じた予算は回収不可能である、ということですよね。

また、市長的にはせっかく始めたビジネスチャットの活用ですので辞めたくはないという気持ちも働くのではないでしょうか。

三条市からのコメントを見ていると、そのような気持ちがにじみ出ていると感じられるのです。

ですので、当面の間の代案ですが、「Roket.Chat」を使うことを提案したいと思います。

Rocket.Chatとは

Slack風のオープンソース(OSS)チャットソフトであり、dockerコンテナやsnapパッケージが提供されているため、自分で構築・運営することが容易なソフトです。

また、スマホアプリ(iOS,Android)も提供されているのでLINEの代わりとしては十分な機能があります。

三条市職員が全員同時に使うには稼働するサーバもそれなりのものが必要ですが、同時に利用するのは最大10人程度という風に工夫すれば、余っているノートパソコン程度で十分運用できます。

緊急措置としては十分です。

もっと大勢で使用したいのなら、部署ごとにサーバ役のノートパソコンを増やすという手もあります。

買い取ったけど使っていないパソコンとかあるんじゃないかなぁと思います。

もしくはリースしたけど数が余っており、予備として保管中のノートパソコンとかあるんじゃないかなぁ。

それらを活用するのです。

RocketChatの導入と運用に必要なものは、

  • 固定IPアドレス(おそらく市役所に導入している光回線に少額の追加料金を払えば導入可能)
  • ルータの設定変更ができる人材(おそらく管理を外注しているでしょうから、そこに対応してもらう)
  • RocketChatを設定できる人材(このブログの一連の記事を見て理解できる程度の人材)

です。

最後のRocketChatの設定ができる人材ですが、大丈夫です、このブログの記事を見ていただければ簡単です。

Linuxに触れたことがある程度の理系卒職員で十分対応可能です。

三条市の方々が楽しみにしてくれることを祈りつつ、次回に続きます。