LINEヤフー、LINE GAME 710万件の内部識別子が外部送信 3年10か月気づかず

710万件という数字より、公式発表のこの一行のほうが重い。「その旨は当社プライバシーセンターにも記載されていませんでした」。送るべきでない識別子が3年10か月流れ続け、しかも流れている事実を確認する手段が、どこにも用意されていなかった。攻撃を受けたわけではないのに、である。


LINEヤフーは2026年7月13日、LINE GAMEの「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」の3タイトルで、利用者の内部識別子がパートナー企業の使用する外部の広告ツールへ送信されていたと発表した。件数は内部識別子ベースで約710万件(うち日本国内約666万件)、ユニークユーザー数では約610万人(同約574万人)。

内訳はLINE ポコポコが約547万件、LINE ポコパンタウンが約79万件、LINE ポコパンが約84万件で、うち約93万件はゲストログインのため個人を特定できない状態だった。事象は2022年5月25日に発生し、2026年4月1日に判明、4月3日に修正が完了した。原因は広告ツールの設定変更時における確認不足である。

氏名、住所、電話番号、銀行口座、クレジットカード番号は含まれず、不正利用や二次被害は確認されていない。

From: 文献リンクLINE GAMEユーザー内部識別子の外部送信に関するお知らせとお詫び

【編集部解説】

まず、言葉を正確にしておきたいと思います。多くの速報は「流出」と報じましたが、LINEヤフーが公式に用いているのは「外部送信」という表現です。

これは単なる言い換えではありません。何者かがサーバーに侵入して奪っていったのではなく、システムが設計どおりに動いた結果、送るべきでないデータが送られ続けていた。攻撃の痕跡もなければ、アラートも鳴らない。だからこそ3年10か月という時間が経過しました。

「内部識別子」は、本当に無害なのでしょうか

公式発表は、内部識別子を「システム上でユーザー個人を識別するためのランダムな文字列」と説明し、LINE IDとは別物であると強調しています。氏名も住所もカード番号も含まれていません。

ただ、この「ランダムな文字列」を軽く見ないほうがよい理由があります。識別子とは、その名のとおり個人を一意に指し示すための鍵です。単体では意味を持たなくとも、他のデータと突き合わせられた瞬間に、行動履歴や属性を一人の人物に束ねる軸として機能します。

実際、LINEヤフーにとって内部識別子が問題になるのは初めてではありません。2023年11月に公表された不正アクセス事案でも、漏えいの対象にはLINEユーザーの内部識別子と、それに紐づくサービス利用履歴が含まれていました。同社は2024年3月5日と4月16日に総務省から指導を、3月28日には個人情報保護委員会から勧告を受けています。

識別子は「たかがランダム文字列」ではありません。前回の事案では、内部識別子に紐づくサービス利用履歴が、個人データの漏えいとして件数に計上されました。何と結びつくかによって、重さが変わる情報だということです。

本当に重い一行は、件数ではありません

公式発表のなかで、私がもっとも重要だと考えているのは次の記述です。

送信されていた事実が、同社のプライバシーセンターにも記載されていなかった——。

2023年6月16日に施行された改正電気通信事業法の「外部送信規律」は、利用者の端末から外部へ情報を送信させる場合、その情報の内容と送信先をあらかじめ利用者に通知するか、容易に知り得る状態に置くことを事業者に義務づけています。俗に「日本版Cookie規制」と呼ばれるものです。

つまり本件は、「意図しないデータが出ていた」だけでなく、「出ていることを利用者に知らせる手段が機能していなかった」という二重の問題を含みます。710万件という数字よりも、この一行のほうが構造的には重い、というのが私の見方です。

3年10か月、誰も気づかなかった理由

原因は、外部の広告ツールの設定変更時における確認不足とされています。

ここで注目したいのは、そのツールを使っていたのがLINEヤフー自身ではなく、パートナー企業だったという点です。データは、自社のサーバーからではなく、ユーザーの端末から直接、外部事業者のツールへ飛んでいきました。

Webやアプリを作った経験のある方なら、背筋が寒くなる話でしょう。タグマネージャの設定を一行変えた。SDKをアップデートした。広告計測の項目を追加した。その一手が、3年10か月にわたって検知されないまま数百万人分のデータを流し続ける——。これは組織の規模や優秀さとは関係なく起こりうる事故です。

サイバー攻撃には、EDRもSOCも侵入検知も効きます。しかし「正規の経路を、正規の手順で、余計なデータが通っていく」事象に対して、多くの組織はそもそも見張る仕組みを持っていません

「不正利用はない」の先を読む

LINEヤフーは、送信先の企業が該当情報をすでに削除し、不正利用も二次被害も確認されていないと説明しています。ユーザー側で何かをする必要もありません。パスワードを変える必要すらない、という意味では、読者のみなさんが今すぐ慌てる事案ではないでしょう。

ただ、これを「だから問題なかった」と受け取るのは早計だと思います。削除されたから被害がなかったのであって、削除されなければどうなっていたかは別の話です。識別子の集合体は、広告テクノロジーの世界では十分に価値を持つ資産になり得ます。

この事案が指し示す、もう少し長い射程

私たちは今、あらゆるサービスがサードパーティのSDKと計測ツールの上に成り立つ時代を生きています。AIによる広告最適化が進めば、端末から吸い上げられるシグナルの種類はさらに増えるでしょう。

そのとき、「何が、どこへ、なぜ送られているのか」を説明できる企業と、できない企業の差は、そのままユーザーからの信頼の差になります。プライバシーは、事故対応の巧拙ではなく、平時の可視化能力で決まる——本件はそう教えてくれているように思います。

日本を代表するプラットフォームですら、3年10か月気づけなかった。ならば、あなたのサービスは大丈夫でしょうか。この問いを、他人事ではなく自分事として持ち帰っていただくことが、この記事の目的です。

【関連記事】

LINE公式アカウント情報漏えい:Akamai CDN脆弱性「CVE-2025-66373」がもたらしたリスクとは
同じ「内部識別子」が漏えい対象となった2025年12月の事案。原因は異なるが識別子の重みを対比できる。

OmniVisit始動:電通デジタル×ブログウォッチャー、位置情報で「広告→来店」を媒体横断で可視化
外部送信規律のもとで広告計測が進む現在地。端末から情報を送る側の論理を推進側から描いた記事。

Motorola Razr の Smart Feed が Amazon アプリを乗っ取り?アフィリエイト報酬を横取りか
第三者の広告SDKに端末挙動を委ねたとき、誰の意図が実行されるのか。本件と同じ構造を扱う。

【編集部後記】

LINEヤフーは、原因を「設定変更時の確認不足」と説明しています。ここは公表された。けれど、なぜ約3年10か月ものあいだ誰も気づかなかったのか——その理由は、発表文のどこにも書かれていません。

原因の説明と、発見が遅れた理由の説明は、別物です。前者だけを読んで納得すると、再発防止が何を防ぐものなのかが見えないままになります。

送信が始まったのは2022年5月。外部送信規律の施行は2023年6月16日です。この13か月のあいだ、あるいは施行後の2年10か月のあいだに、点検の機会は一度もなかったのでしょうか。


【用語解説】

内部識別子
サービス提供者がシステム上で利用者一人ひとりを区別するために自動で割り当てる、意味を持たないランダムな文字列である。利用者自身が見ることはほとんどなく、変更もできない。単体では氏名や連絡先を導けないが、事業者側のデータベースと突き合わせれば個人にたどり着ける。

LINE ID
利用者が友だち追加や検索の際に使う、任意に設定できる公開用のIDである。システム内部で機械的に割り当てられる内部識別子とはまったく別のものだ。

外部送信規律
2022年に改正され、2023年6月16日に施行された電気通信事業法第27条の12に基づく規律である。利用者の端末から外部の事業者へ情報を送信させる場合、送信する情報の内容と送信先をあらかじめ利用者に通知するか、容易に知り得る状態に置くことを義務づけている。「日本版Cookie規制」とも呼ばれ、登録・届出の有無にかかわらず、多くのWebサイト運営者・アプリ提供者が対象となる。

ゲストログイン
アカウントを作成せずにサービスを利用する方式である。個人を特定する情報が紐づかないため、送信された識別子から利用者本人を割り出すことはできない。

ユニークユーザー数
重複を除いた実人数を指す。本件では内部識別子ベースで約710万件、ユニークユーザー数で約610万人と差があるが、この差が生じた具体的な理由について、LINEヤフーは説明していない。

SDK(ソフトウェア開発キット)
アプリに特定機能を組み込むために外部企業が提供する部品の集合である。広告配信や効果測定の分野で広く使われるが、アプリ提供者から内部の挙動が見えにくく、意図しない情報送信の温床になりやすい。

タグマネージャ
Webサイトやアプリに埋め込む計測タグ・広告タグを一元管理するツールである。コードを直接書き換えずに設定変更できる利便性の裏返しとして、設定ミスが即座に本番環境へ反映されるリスクを抱える。

EDR(Endpoint Detection and Response)
PCやサーバーなどの端末の挙動を常時監視し、不審な動きを検知・対処する仕組みである。外部からの攻撃や不正な操作を捉えることを主眼としており、正規の経路を正規の手順で流れるデータは検知の対象外となりやすい。

SOC(Security Operation Center)
セキュリティ機器のログや警告を監視し、攻撃の予兆を分析する組織・拠点である。EDRと同様、監視の起点は「不正な通信」であり、「正常だが送るべきでない通信」は前提から外れる。

二次被害
流出した情報が悪用され、なりすまし、不正ログイン、フィッシングなどの実害へ発展することを指す。本件では現時点で報告されていない。

【参考リンク】

利用者情報の外部送信に関する公表事項|LINEヤフー プライバシーセンター(外部)
外部送信規律に基づき、サービスに導入された第三者のタグ・モジュールと送信される情報を公表するページ。

LINEヤフー プライバシーセンター(外部)
パーソナルデータの取り扱いを図表や事例で説明するページ。本件では記載漏れが問題の一つとなった。

LINEヤフー株式会社(外部)
「LINE」「Yahoo! JAPAN」などを運営する企業の公式サイト。2023年10月に3社などが再編して発足した。

LINEヤフー プライバシー&セキュリティ(外部)
プライバシーとセキュリティに関する同社の方針・体制と、各種お知らせを集約した公式ページ。

LINE GAMEサービスプライバシーポリシー(外部)
LINEブランドのゲームサービスで取得するパーソナルデータと、その利用方法を定めた規約。

不正アクセスによる情報漏えいへの再発防止策及び進捗状況(外部)
2023年の不正アクセス事案を受けた行政指導・勧告と、再発防止策の進捗を公開する特設ページ。

本件に関する問い合わせ窓口(外部)
本件について、LINEヤフーが利用者からの問い合わせを受け付けている専用フォーム。

外部送信規律FAQ|総務省(外部)
外部送信規律の対象事業者や適用範囲について、総務省が想定問答形式で解説した公式ページ。

個人情報保護委員会(外部)
個人情報保護法を所管する行政委員会。2024年3月28日にLINEヤフーへ勧告を行っている。

【参考記事】

LINEヤフー、710万件の識別情報を誤送信 「LINEポコポコ」などゲームユーザー対象(外部)
タイトル別の件数内訳を整理。氏名や口座情報、LINE IDは含まれず、提供会社は削除済みと報じる。

LINE、3作品で個人識別子「610万人分」を外部送信。3年10カ月間送信、LINEヤフーが謝罪(外部)
送信が最長で約3年10カ月続いた点と、設定確認の不足という原因を整理して報じる記事。

個人情報保護委員会がLINEヤフーに行政指導、個人データ52万件流出受け(外部)
2023年の不正アクセスで最大約52万人分が漏えいし、勧告に至った経緯を内訳とともに伝える。

情報漏洩続くLINEヤフーに総務省が行政指導、ネイバーとの依存関係に改善求める(外部)
2024年3月5日の行政指導を報道。約44万件が約51万件へ増えた経緯にも触れている。

総務省、LINEヤフーに2度目の行政指導 具体的かつ明確な報告指示(外部)
2024年4月16日の指導を報道。前回も内部識別子と利用履歴が漏えい対象だった点に触れる。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。