メディアでも大きく報じられた通り、LINEヤフーは2024年4月に総務省から2度目の行政指導を受けました。
指導は、不正アクセスにより旧LINE社の従業員の氏名、メールアドレス、電話番号、顔写真などのが漏えいした大規模な個人情報漏えい事件に対するものです。
現代社会において、個人情報漏えいは、すべての企業にとって他人事ではありません。どれだけ完璧と思えるセキュリティ対策を取っていたとしても、様々な要因で個人情報が流出してしまうことは起こり得るのです。
そこで今回は、個人情報漏えいで企業の信頼を損なわないための学びを得るために、LINEヤフー社の事件と再発防止策について詳しくみていきましょう。この事件を反面教師にして、ぜひとも貴社のセキュリティ対策を見直すきっかけとしてください。
LINEヤフー個人情報漏えい問題のあらまし
LINEヤフーに対する総務省の行政指導は今回が2回目です。この事件には、概ね以次のような経緯を辿りました。
2023年11月 | LINEヤフーで不正アクセスが発生し、大規模な個人情報漏えいが確認される |
2024年3月5日 | 総務省がLINEヤフーに対し、情報漏えいの原因究明と再発防止策の報告を求める(1回目の行政指導) |
2024年4月1日 | LINEヤフーが総務省に再発防止策を提出 |
2024年4月16日 | 総務省がLINEヤフーに対し、再発防止策が不十分であるとして、2度目の行政指導を行う |
個人情報漏えいが発覚した当時のLINEヤフー(当時はLINE株式会社)では、セキュリティ関連のメンテナンスを外部の企業に委託していました。
その企業の従業員がメンテナンスの際に使用した端末がマルウェアに感染していたため、2023年9月14日から10月27日の間にLINEヤフーのシステムが不正アクセスを受けてしまったのです。その結果、LINEヤフーが保有する最大52万件もの個人データが漏えいしました。
総務省は、電気通信事業法で定める「通信の秘密」の漏えいがあったとして、2024年3月5日にLINEヤフーに対して行政指導を行いました。さらに、4月1日に同社より提出された報告書の内容について、「通信の秘密の保護」と「サイバーセキュリティの確保」の観点から対策が不十分であると判断し、4月16日に改めて2度目の行政指導を行っています。
LINEヤフーからメンテナンスを委託されていた企業は、韓国NAVERの子会社NAVER Cloudからも業務委託を受けていた企業です。
NAVERは、LINEヤフーの6割超の株式を保有するAホールディングスに50%出資しており、NAVER Cloudは旧LINEのシステムを保守するための認証情報を保有している企業でもありました。こうした状況が旧LINEへの侵入に繋がったとみられ、行政指導のポイントと考えられていたのです。
再発防止策の詳細とその評価
今回の特に個人情報漏えい事件で注目すべき点は、LINEヤフーが提出した再発防止策が不十分であるとして総務省から2度目の指導を受けた点です。大規模な個人情報漏えいは、すでに企業の信頼性を揺るがす大きな出来事ですが、そのうえでさらに「対策が不十分」という指導を受けることは企業にとって更なるダメージです。
ではなぜ、LINEヤフーは2度目の行政指導を受けることになってしまったのでしょうか。ここでは、LINEヤフーが提出した再発防止策の詳細について解説します。
再発防止策の詳細
LINEヤフーが提出した再発防止策の内容は、主に次の通りです。
アクセス権限の見直し
NAVERなどの外部関係者に対するアクセス権限を厳格化し、必要最低限の権限のみを付与する方針を強化する。これにより、外部からの不正アクセスのリスクを低減し、情報の漏洩を防ぐことを目指す。
技術的安全管理措置の強化
ファイアウォールの強化、不正アクセス検知システムの導入、定期的なセキュリティ監査の実施など、システムのセキュリティ対策を強化する。特に、不正アクセスを迅速に検知し、対応する体制を整えることを重要視する。
業務委託先とのシステム分離
情報漏洩の原因の一つである業務委託先とのシステム分離を進める。ただし、完全なシステム分離には時間がかかるため、今後も継続的に取り組む必要があると公表している。
社内教育の強化
従業員に対するセキュリティ教育を強化し、個人情報保護の重要性についての認識を高めるための研修を実施する。これにより、全社員が情報セキュリティに関する知識を持ち、適切な対応ができるようにする。
総務省による再発防止策の評価
総務省は、前述の通り、こうしたLINEヤフーが提出した再発防止策が不十分であるとして、2度目の行政指導を行いました。総務省が「不十分」と判断した評価のポイントは、大きく次の3点です。
- NAVERとの委託関係の縮小や終了に対する具体策が示されていない点
- NAVERのネットワークとの、認証基盤を含む完全な切り離しの実現が、2年以上先に設定されている点
- 資本関係を含むNAVERとの関係の見直しが、「要請」に留まっている点
つまり、総務省はLINEヤフーが示した再発防止策の方向性自体は評価しつつも、その実効性を担保する内容になっていない点を問題視したと言えます。
個人情報漏えいのきっかけにもなったNEVERとの関係が改善されないかぎり、同様の事件の再発を防止するための施策として十分であるとは評価できないということでしょう。
情報漏えい再発防止の重要性と今後の課題
情報漏えいは、企業にとって信頼失墜や経済的損失を引き起こす重大な問題です。デジタル化が進む現代では、利便性の裏返しで大規模な情報漏えいのリスクが高まっています。中でも、個人情報の保護はが一層重要となっています。
企業は、適切なセキュリティ対策を講じることで、顧客の信頼を守り、ビジネスの安定的な継続性を確保しなければなりません。
LINEヤフーのような大規模なプラットフォーム企業だけでなく、情報漏えいはブランドイメージを大きく損ない、ユーザー離れを引き起こすリスクを抱えているのです。
LINEヤフーが再発防止策を着実に実行し、信頼を回復するためには以下の点が重要だと考えられます。
早急なシステム分離の実施
まずは、情報漏えいの原因の一つとされる業務委託先とのシステム分離を確実に、かつ迅速に進めなければなりません。
1度目の報告書では、委託業務の終了・縮小については2024年6月までに計画策定予定、LINEヤフーとNAVERとの認証基盤の分離については、完全な分離を実現するのは2026年12月となっていました。つまり、重大な事案の原因の一つが完全に解消されるまでには、2年以上もの時間がかかるということです。
総務省もこの点を最も問題視しており、技術的な課題はあるにせよ、より早急かつ具体的な対策が必要でしょう。
継続的なセキュリティ強化
再発防止のためには、定期的なセキュリティ監査と改善を行い、最新の脅威に対応する体制を整えることが求められます。
これには、現時点でも予定されているLINEヤフー本社と国内外の子会社との認証基盤の分離も含まれます。
不正アクセス検知システムの導入やファイアウォールの強化、セキュリティパッチの適用を継続的に行うことで、セキュリティは強化され情報漏えいのリスクは軽減されるのです。
社内意識の徹底
今回の事件は、メンテナンスを委託していた企業の一従業員の端末がマルウェアに感染してしまったことがきっかけでした。
マルウェア対策としては、様々なセキュリティソフトの導入などで、システムの脆弱性を補っていくことができます。
しかし、どんなにシステムでセキュリティを強化しても、そのシステムを扱う担当者に十分なセキュリティの意識がなければ、マルウェア感染は防げません。
マルウェア感染に限らず、情報漏えいなどセキュリティ上の事件は、ヒューマンエラーに起因していることが少なくないのです。
そのため、全従業員が情報保護の重要性を理解し、適切な行動を取るようにするための継続的な教育が必要となるでしょう。
セキュリティに関する知識を深めるための研修やワークショップを定期的に実施し、従業員のセキュリティ意識を高めることが重要であり、新入社員や中途採用者に対する特別なトレーニングも取り入れるように考えるべきです。
こうした意識を社内で醸成することで、例えば業務委託先にアクセス権を付与する前に、セキュリティの安全性を確認するなど、システムを効果的に動かしていくことが出来るのです。
まとめ
情報漏えいは、企業にとって取り返しのつかない損害を引き起こす可能性がある重大事件です。
今回紹介したLINEヤフーの事例は、どの企業にとっても他人事ではなく、同様の危機に直面するリスクがあります。
セキュリティ対策の遅れは、信頼の失墜や巨額の損失を招きかねません。どんな企業においても、今一度自社のセキュリティ対策を見直し、必要な改善を迅速に行うことが求められます。
ぜひともこの事件を反面教師として、適切な対策を講じることで、顧客の信頼を守り、ビジネスの持続的な成長を実現させてください。
情報保護の重要性を再認識し、具体的な行動を起こすことが、企業の未来を守るための第一歩なのです。
The post LINEヤフー株式会社の個人情報漏えいと再発防止策は十分なのか? first appeared on DXportal.