LINEヤフー株式会社は2026年7月13日、同社が提供するLINE GAME「LINEポコポコ」「LINEポコパンタウン」「LINEポコパン」において、利用者を識別するための内部識別子が、パートナー企業の使用する外部の広告ツールへ送信されていたと公表しました。この事象は2022年5月から約4年間気づかれないまま続いており、約710万件が対象となります。氏名・住所等の個人情報は含まれておらず、不正利用や二次被害も確認されていませんが、複数の報道機関がこの件を取り上げ始めています。
サマリー
- LINEヤフーは2026年7月13日、「LINEポコポコ」「LINEポコパンタウン」「LINEポコパン」の3タイトルにおいて、利用者の内部識別子がパートナー企業の使用する外部の広告ツールへ送信されていたことが判明したと公表した
- 内部識別子とは、同社がシステム上で利用者個人を区別するために用いるランダムな文字列で、友だち追加等で使われる「LINE ID」とは異なる
- 事象の発生は2022年5月25日で、2026年4月1日に判明・調査を開始し、同年4月3日に修正を完了した。約4年間、社内外で気づかれないまま続いていたことになる
- 対象件数は3タイトル合計で約710万件(ゲストログイン等で個人を特定できない状態のものを除くと約666万件)、ユニークユーザー数では約610万人(同約574万人)
- 原因は、広告効果測定ツールの設定変更時に、LINEヤフーおよびパートナー企業双方における設定の確認が不十分だったこと。この送信内容は同社のプライバシーセンターにも記載されていなかった
- 送信されていた情報に氏名・住所・電話番号、銀行口座・クレジットカード番号は含まれていない
- 外部ツールを提供する企業はすでに該当情報を削除しており、不正利用も確認されていない。二次被害の報告もなく、利用者側での対応は不要としている
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月13日 |
| 対象タイトル | LINEポコポコ、LINEポコパンタウン、LINEポコパン |
| 事象発生日 | 2022年5月25日(広告ツールの設定変更時) |
| 判明・調査開始日 | 2026年4月1日 |
| 修正完了日 | 2026年4月3日 |
| 対象件数(合計) | 約710万件(個人特定不可分を除き約666万件) |
| ユニークユーザー数 | 約610万人(同約574万人) |
| 送信された情報 | システム上の内部識別子(ランダムな文字列、LINE IDとは別物) |
| 含まれない情報 | 氏名・住所・電話番号・銀行口座・クレジットカード番号 |
| 原因 | 広告ツールの設定変更時における自社・パートナー企業双方の確認不足 |
| 不正利用・二次被害 | 確認されていない |
| 利用者の対応要否 | 不要 |
何が起きたか
LINEヤフーの発表によれば、「LINEポコポコ」「LINEポコパンタウン」「LINEポコパン」の3タイトルでは、パートナー企業が広告の表示状況等を確認・分析する目的で、外部事業者が提供するツールを利用していました。このツールに、本来送信する必要のない利用者の内部識別子が、端末から送信されていたことが判明しています。この内部識別子は、LINEヤフーがシステム上で利用者個人を識別するために用いるランダムな文字列であり、友だち追加等の際に使われる「LINE ID」とは異なるものです。
この送信は2022年5月25日、外部ツールの設定変更にあたって発生したもので、LINEヤフーおよびパートナー企業双方における設定の確認が不十分だったことが原因とされています。この送信内容は、同社のプライバシーセンターにも記載されていませんでした。LINEヤフーは2026年4月1日にこの事象を把握して調査を開始し、同月3日に修正を完了しています。発生から発覚まで約4年間、社内外で気づかれないまま送信が続いていたことになります。
対象となるのは、それぞれの対象期間中に3タイトルを利用していた利用者です。
「LINEポコポコ」は2022年5月25日から2026年4月2日まで約547万件(個人特定不可分を除き約529万件)、
「LINEポコパンタウン」は2022年5月25日から2026年4月3日まで約79万件(同約74万件)、
「LINEポコパン」はサービス終了日である2025年6月11日までの期間で約84万件(同約63万件)が対象です。
合計では約710万件、個人を特定できない状態のものを除くと約666万件となり、ユニークユーザー数では約610万人(同約574万人)にのぼります。このほか、ゲストとしてログインし利用者個人を特定できない状態で送信されていた件数も、3タイトル合計で約93万件(同約86万件)確認されています。
送信されていた情報には、氏名・住所・電話番号、銀行口座・クレジットカード番号は含まれていません。
また、同ツールを提供する企業は該当情報をすでに削除しており、不正利用も行われていないことが確認されているとしています。本件による二次被害についても報告されておらず、利用者側での対応は不要だとしています。LINEヤフーは、利用者に多大な迷惑と心配をかけたことを深く陳謝し、本事象について深く反省し再発防止に努めるとコメントしています。
関連:LINEで発生した個人情報漏洩と流出のまとめ【2026年最新】
情報システム部門への示唆
今回の事案は、氏名・連絡先等の直接的な個人情報の漏えいを伴うものではなく、システム上のランダムな内部識別子が本来意図しない送信先へ渡っていたという性質のものです。深刻な悪用リスクは低いものの、外部の広告効果測定ツール等、サードパーティのSDK・タグを組み込む際の設定変更が、自社のプライバシーポリシー・プライバシーセンターの記載内容と実際のデータ送信実態との間にズレを生じさせるリスクを、改めて浮き彫りにする事例です。
自組織で広告効果測定ツールやアクセス解析ツール等のサードパーティ製品を組み込んでいる場合、設定変更時にはパートナー企業側の設定内容だけでなく、自社側でも実際に送信されるデータの種類・範囲を検証するプロセスを設けることが重要です。特に、社内のプライバシーポリシーやプライバシーセンターの記載内容と、実際にツールが送信しているデータの範囲が一致しているかを定期的に監査する仕組みがあれば、今回のように4年近くにわたって気づかれないまま送信が継続する事態を防げた可能性があります。サードパーティ連携の設定は一度構築すれば終わりではなく、継続的な棚卸しと検証の対象として運用に組み込んでおくことをお勧めします。








