「710万件」と聞けば巨大事故に見える。一方で「ランダムな文字列だけで、氏名もカード番号もない」と聞けば、今度は無害に見える。どちらか一方だけで判断すると、このニュースの大事な部分を落とす。

識別情報のリスクは、文字列を人間が読めるかでは決まらない。受け取った側が別の情報と結び付けられるか、何に使えたか、送信後にどう管理されたかで変わる。今回は、710万という「件」と約610万という「人」を分け、確認できた範囲で事故の輪郭を測ろう。

LINEヤフー、710万件の識別情報を誤送信 「LINEポコポコ」などゲームユーザー対象
LINEヤフー、710万件の識別情報を誤送信 「LINEポコポコ」などゲームユーザー対象

LINEヤフーが、ゲーム「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」ユーザーの識別情報710万件近くを外部の広告ツールに誤送信していたと発表した。

今回の登場人物

  • LINEヤフー: LINEやYahoo! JAPANなどを運営する企業。今回はLINE GAMEの内部識別子を外部へ送っていたと発表した当事者だ。
  • 内部識別子: LINEヤフーのシステムが利用者を区別するためのランダムな文字列。人が見て氏名を読める名札ではないが、システムの中では同じ利用者を見分ける札として働く。
  • LINE ID: LINEで友だちを追加するときなどに使う文字列。今回送信された内部識別子とは別物だ。
  • 外部の広告ツール: LINEヤフーのパートナー企業が、広告の表示状況などを確認・分析するために使っていた外部事業者の道具。内部識別子は本来送る必要がなかった。
  • 個人関連情報: 個人情報保護法上、個人に関する情報だが、それだけでは個人情報などに当たらないもの。端末識別子などが該当しうるが、今回の内部識別子が法的にどの区分かは個別事情を見なければ決められない。

何が起きたか

ITmedia NEWSは2026年7月13日、LINEヤフーが「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」の利用者を識別する内部識別子、約710万件を外部の広告ツールへ誤って送っていたと報じた。

LINEヤフーの発表では、送信は2022年5月25日に始まり、2026年4月1日に判明、4月3日に修正を終えた。原因はツールの設定変更にあたり、LINEヤフーとパートナー企業で設定の確認が不十分だったことだという。本来送る必要がない情報であり、送信していることは同社のプライバシーセンターにも記載されていなかった。

送られたのは、利用者をシステム上で識別するランダムな文字列だ。氏名、住所、電話番号、銀行口座番号、クレジットカード番号は含まれず、LINE IDでもない。ツール提供会社は該当情報を削除し、不正利用は行われていないことを確認したとLINEヤフーは説明している。二次被害の報告はなく、利用者が行う対応もないとしている。

710万件は710万人ではない

最初に分けたいのは、件数と人数だ。公式発表の約710万件は内部識別子ベースで、内訳はLINE ポコポコ約547万件、ポコパンタウン約79万件、ポコパン約84万件。国内からの件数は合計約666万件だった。

これを重複を除いた利用者で数えると、全体で約610万人、国内で約574万人になる。公式発表は、なぜ約100万件の差が出るかを詳しく説明していない。複数ゲームの利用などを想像することはできるが、確認されていない理由を記事側で埋めるべきではない。確実に言えるのは、710万件をそのまま710万人へ置き換えてはいけないことだ。

さらに約710万件のうち、ゲストとしてログインしたため、送信された状態では利用者個人を特定できなかったものが約93万件あった。国内分は約86万件だ。ここでも、「特定できない件数」と「特定できる人数」は別の数え方である。数字が多いニュースほど、単位の小さな名札がよく逃げる。

ここが本題

では、ランダムな文字列が外へ出たら、誰まで分かるのか。

人間がその文字列を見ただけで、「これは東京都の何々さんだ」と読めるわけではない。今回、氏名や住所、電話番号などが一緒に送られたとも発表されていない。この点では、氏名と連絡先、カード情報がまとまって外へ出た事故と同じようには扱えない。

一方で、内部識別子は飾りではない。LINEヤフー自身が、システム上で利用者個人を識別するための文字列だと説明している。同じ文字列を自社の対応表と照合できる環境なら、利用者アカウントとのつながりを持ちうる。だから「名前の字が入っていない」ことと「誰にも結び付かない」ことは同義ではない。

たとえば学校の出席番号「2年3組17番」は、それだけを校外の人が見ても名前は分からない。でも学校が名簿を持っていれば一人に結び付く。今回の内部識別子も、どの相手がどんな対応表や追加データを持っていたかで意味が変わる。暗号めいた見た目は、透明マントではないのである。

法律の言葉を急いで貼らない

個人情報保護委員会は一般論として、Cookieなどの端末識別子が、それ単体では個人情報に当たらない場合でも、通常は「個人関連情報」に当たりうると説明している。他の情報と容易に照合して特定の個人を識別できれば、情報全体として個人情報に当たりうる。

ここで大切なのは、この一般論を使って今回の内部識別子の法的区分を勝手に確定しないことだ。内部識別子がどのデータと、誰の環境で、どれほど容易に照合できたのか。外部ツールの提供会社やパートナー企業が持つ情報は何だったのか。公表された資料だけでは、法的評価に必要な全事情までは分からない。

したがって「個人情報ではないから問題なし」とも、「必ず個人情報の大規模漏えいだ」とも、この記事では断定しない。確定できるのは、本来不要な内部識別子が、記載のないまま外部ツールへ送られ続けていた、という情報管理上の事実である。

実害は三段で見る

利用者への影響は、三つの段で見ると整理しやすい。

第一は入っていた情報の内容だ。今回の発表では、氏名、住所、電話番号、銀行口座番号、クレジットカード番号は含まれない。これらが流出した場合に考えられる直接の連絡、金銭被害、なりすましと同じ危険が、そのまま確認されたわけではない。

第二は結び付けやすさだ。内部識別子だけを受け取った側が、誰のものか分からず、他のデータとも結べなければ、使い道は狭い。反対に、同じ識別子を含む別データや対応表へアクセスできれば、行動やアカウントにひも付けられる可能性が高まる。今回の公表では、外部ツール側が具体的に何と照合できたかの全容までは示されていない。

第三は送信先と事後対応だ。今回は不特定多数が閲覧できる場所へ公開されたとの発表ではなく、パートナー企業が使う特定の外部広告ツールへの送信だった。LINEヤフーによれば、ツール提供会社は該当情報を削除し、不正利用もなかったとしている。二次被害の報告もないという。これらは現時点の直接的な危険を評価するうえで重要な材料だ。

この三段を合わせると、公表事実から見える利用者の差し迫った危険は、氏名や決済情報を含む事故より限定的だと考えられる。ただし「限定的」は「送ってよかった」でも「リスクがゼロ」でもない。誰を区別する札なのか分からないまま、不要な札を外部へ渡す設計は、止めるべき情報管理の穴だ。

攻撃ではなく設定の問題

今回、外部の攻撃者が侵入してデータを盗んだとは発表されていない。LINEヤフーが挙げた原因は、広告ツールの設定変更における確認不足だ。したがって「サイバー攻撃で710万人の個人情報が盗まれた」とまとめるのは、件数、人数、原因、情報の種類の四つを一度に取り違える。

むしろ考えるべきは、正規に使っている外部ツールへ、不要な項目が正規の通信として流れる問題だ。侵入を防ぐ鍵を強くしても、設定画面で送信項目を余計に選べば情報は出ていく。玄関の鍵は閉まっていたのに、宅配便へ違う箱を載せたようなものだ。

発生から判明まで約3年10カ月かかったことも重い。設定変更時の確認だけでなく、実際にどの項目が外部へ送られているかを継続的に棚卸しできていたかが問われる。ただし、公表資料には監査の詳しい仕組みや、なぜ2026年4月に見つかったのかは書かれていない。原因をさらに推測で増築するのは避けたい。

利用者はどう受け止めるか

LINEヤフーは、対象者へ個別に順次知らせている。利用者がパスワード変更やカード停止などの対応を取る必要はないとしている。氏名やLINE ID、決済情報が対象ではない以上、ニュースを見て慌ててアカウントを消す根拠も、現在の公表内容からは見当たらない。

ただ、企業のお知らせを読むときは、「何件か」だけでなく五つを確認するといい。何の情報か。何人か。誰へ渡ったか。相手は他の情報と結べたか。削除と不正利用の確認はできたか。見出しの大きな数字を、具体的な危険へ翻訳するための五点セットだ。

企業側には、プライバシーセンターへ書けば終わりではなく、そもそも必要のない情報を送らない設計が求められる。分析ツールは便利だが、初期設定や変更で項目が増えれば、便利さの荷物に識別子が紛れ込む。送信前に削る、変更時に複数者で確認する、運用中の通信を定期点検する。このニュースが示すのは、派手な攻撃だけが情報事故ではないということだ。

まとめ

約710万件は内部識別子の件数で、重複を除く利用者は約610万人、国内では約574万人だった。送られたのは利用者を区別するランダムな文字列で、氏名、住所、電話番号、口座・カード番号、LINE IDではない。LINEヤフーによれば、ツール提供会社は該当情報を削除し、不正利用もなかったとしている。二次被害の報告もなく、利用者が取るべき対応もないという。

中心問いへの答えはこうなる。今回の事故で、受信側が一人ひとりの氏名まで分かったとは公表資料から言えない。一方、内部識別子はシステム内で利用者を区別する札であり、他のデータとの結び付き次第で意味が変わる。だから実害は、710万という大きさだけでも、名前がないという一点だけでも決められない。情報の中身、結び付けやすさ、送信先と削除後の状況を一緒に見るのが、いちばん落ち着いた読み方だ。

Sources