LINEヤフーは2026年7月13日、同社が提供するゲーム「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」の利用者の内部識別子が、パートナー企業が使用する外部の広告ツールへ送信されていたと公表しました。送信は2022年5月から約3年10カ月にわたって続き、対象はユニークユーザーで約610万人(国内約574万人)にのぼります。原因は広告ツールの設定変更時の確認不足で、氏名や住所などの個人情報は含まれていません。
この記事でわかること
- LINEヤフーが公表した外部送信事案の事実関係(対象・件数・期間・原因)
- 「個人情報ではない識別子」でも公表に至る理由と外部送信規律の考え方
- 自社のサイト・アプリで情シスが確認すべきポイント
何が起きたのか
LINEヤフーの発表によると、LINE GAMEの3タイトルにおいて、本来送信する必要のないユーザーの内部識別子が、ユーザーの端末からパートナー企業の外部広告ツールへ送信されていました。同ツールは広告の表示状況の確認・分析に使われていたものです。
| 項目 | 内容 |
|---|---|
| 対象サービス | LINE ポコポコ/LINE ポコパンタウン/LINE ポコパン |
| 送信された情報 | ユーザーの内部識別子(個人を識別するためのランダムな文字列。LINE IDとは別) |
| 件数 | 識別子ベースで約710万件(国内約666万件)、ユニークユーザーで約610万人(国内約574万人)。このほかゲスト利用分が約93万件 |
| 期間 | 2022年5月25日発生 → 2026年4月1日判明 → 2026年4月3日修正完了 |
| 原因 | 広告ツールの設定変更にあたり、LINEヤフーとパートナー企業における設定の確認が不十分だった |
送信された情報に氏名・住所・電話番号、銀行口座・クレジットカード番号は含まれていません。ツール提供企業は該当情報をすでに削除しており、不正利用も確認されていないとしています。また、この送信内容は同社のプライバシーセンター(外部送信に関する公表ページ)に記載されていませんでした。
なぜ約4年間気づかれなかったのか
発生は2022年5月の設定変更時、判明は2026年4月です。設定変更の時点で「何が外部に送信されるか」の確認が、自社とパートナー企業の双方で漏れたまま運用が続いたことになります。広告ツールやSDKの通信内容は開発チームからもインフラチームからも死角になりやすく、一度設定されると誰も見直さないという構図は、多くの企業に共通する課題です。
個人情報でなくても公表対象になる理由
今回送信されたのは「ランダムな文字列」であり、単体で個人を特定できる情報ではありません。それでも公表・謝罪に至ったのは、利用者への透明性の問題だからです。
2023年6月に施行された改正電気通信事業法の「外部送信規律」では、Webサイトやアプリからユーザーに関する情報を第三者へ送信させる場合、送信される情報の内容や送信先・利用目的を利用者が確認できるように公表等をすることが求められています。広告識別子や内部IDのような「個人情報に該当しない情報」も対象に含まれる点が、個人情報保護法との大きな違いです。今回の事案では、送信内容がプライバシーセンターに記載されていなかったこと自体が問題の核心と言えます。
現場目線の課題
この事案は「不正アクセス」でも「攻撃」でもなく、自社側の設定確認不足で起きています。正直なところ、情シスの立場ではこれが一番防ぎにくいタイプの事案だと感じます。広告タグやSDKの設定変更はマーケティング部門やパートナー企業の主導で行われることが多く、情シスが変更の存在自体を知らないまま本番反映されるケースは珍しくありません。しかも通信は正規のツールへの正規のHTTPS通信なので、セキュリティ監視には引っかかりません。「何も悪いアラートが出ていない=問題がない」ではないことを、あらためて突きつけられる事例です。
情シスはどうすべきか
自社サイト・アプリの外部送信を棚卸しできているか?
まず確認すべきは、自社のWebサイト・アプリに組み込まれたタグ・SDKが「何を・どこへ」送信しているかの一覧が存在するか、そしてそれがプライバシーポリシー等の公表内容と一致しているかです。外部送信規律の制度概要と対応方法は、総務省の解説ページ(利用者に関する情報の外部送信の規律)にまとまっています。自社が電気通信事業法の適用対象かどうかの判断を含め、まずこちらを参照してください。
タグ・SDKの設定変更を変更管理に乗せる
今回の直接原因は「設定変更時の確認不足」です。サーバやネットワークの変更には変更管理プロセスがあるのに、タグマネージャーや広告SDKの設定変更は対象外、という組織は少なくありません。マーケティング部門やパートナー企業が行う設定変更も、「外部送信される項目が変わるか」を確認する簡単なチェックを挟むだけで、今回のような長期の見過ごしは防ぎやすくなります。あわせて、タグを扱う担当部門への地道な啓発(何気ない設定変更が法令対応に影響すること)も欠かせません。
パートナー企業との責任分界を明確にする
LINEヤフーの発表では、自社とパートナー企業の双方の確認不足が原因とされています。外部ツールを介した情報送信は、契約上どちらが送信内容を管理・確認するのか曖昧になりがちです。サードパーティに起因するリスクの考え方は、関連記事「サードパーティリスクの「推移的信頼」とは何か」も参考にしてください。
中長期の視点
広告エコシステムを介した情報の流れは複雑化しており、識別子の扱いへの規制・社会の目は年々厳しくなっています。個人情報保護法上の「個人データの第三者提供」との整理(関連記事:個人情報の第三者提供と同意─小田原市1万件問題の落とし穴)や、そもそも何が保護対象のデータにあたるのかという論点(関連記事:文字起こしAIの声紋収集は生体データか|法規制の行方)を含め、「法律上セーフかどうか」だけでなく「利用者に説明できるか」を基準にデータの流れを設計することが、結局はレピュテーションを守る近道です。
まとめ
- LINEヤフーのゲーム3タイトルで、利用者約610万人分の内部識別子が約3年10カ月にわたり外部広告ツールへ送信されていた。原因は設定変更時の確認不足で、個人情報は含まれない
- 個人情報に該当しない識別子でも、外部送信規律の下では公表・透明性の対象。送信内容が公表ページに記載されていなかったことが問題の核心
- 情シスは自社サイト・アプリの外部送信の棚卸しと、タグ・SDK設定変更の変更管理への組み込み、パートナー企業との責任分界の明確化を進めたい

