LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか

2024年06月04日

(松澤 登) 保険会社経営

関連カテゴリ

2|LY社の問題点
ガイドラインに照らしたLY社の個別の問題点は以下の通りである。

(1) ガイドライン10-3(1)(組織体制の整備)によれば、「個人データの取扱いに関する責任者と責任の明確化」や「個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化」が求められている。

この点、LY社はシステムのセキュリティ管理を業務委託先であるNC社とセキュリティメンテナンス業務を委託した保守会社に委託していると総務省が指摘している10。そして個情委によればLY社にデータ責任所管があったとされるが、個情委からはア)技術的安全措置が講じられていなかったこと、イ)安全管理措置の評価、見直し、改善に問題が認められること、漏洩等の事案に適切に対応できなかったことから「組織体制が必ずしも十分に機能していたとはいいがたい」11と認定されている。

これはLY社が通信業者でありながら、通信の秘密を守るための責任を果たす体制を自社内に構築できていなかったということになる。
 
10 前掲注1 p1参照。
11 前掲注4 p10参照。
(2) ガイドライン10―3(1)(組織体制の整備)の別の解説では「個人データの漏洩等事案の発生又は兆候を把握した場合の責任者への報告連絡体制」を整備すべきとし、さらにガイドライン10-3(4)では「漏洩事案等に対応する体制の整備」が求められるとしている。

この点、本事案では漏洩が始まって発覚まで1カ月以上要した(9月14日~10月27日)うえ、事実関係の調査及び原因の究明については、LY社は、NC社やNAVERグループに頼らざるを得ない状況であり、LY社が本件事案の全容を把握するために約3か月半という時間を要した12と個情委に指摘されている。また、SOCのTier1(上述、ログを調査して疑わしい動きを探知する機能(または職員))がLY社でなくNC社にあったことも加え、漏洩事案等に対する体制の整備がなされていなかったと言えよう。
 
12 前掲注4 p10参照。
(3) ガイドライン10-5(1)は個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下、管理区域という)及び(中略)について適切な管理を行わなければならないとある。

総務省によれば「N社側の日本向けサービス提供用のネットワーク機器が貴社(LY社)のデータセンター内に設置されており、同機器についてNC社から貴社のネットワークを介してアクセスがなされ、その保守管理が実施されていた」13との指摘がなされている。物理的には区分されていたとしても、技術的にアクセス可能となっていることは問題であろう。
 
13 前掲注1 p2の注記参照。
(4) ガイドライン10―6(技術的安全管理措置)(1)の解説の一つ目と二つ目では「個人情報データベースを取り扱うことのできる情報システムを限定する」および「情報システムによってアクセスできることのできる個人情報データベースを限定する」と記載されている。

この点に関しては、まずN社側及び LY 社が共同で共通認証基盤システムを利用していたということが個情委および総務省から指摘されている14。このことは攻撃者にLY社の重要システムに不正アクセスを許してしまった原因になっている

共通の認識基盤に加えて、LY社はLINEのシステムの運用管理をNC社に委託していた。この委託に際し、総務省の指摘では必要最小限のアクセス権限だけではなく、より幅広いアクセス権限を認めていた15とのことである。これはアクセスできる個人情報データベースを制限するというガイドラインに抵触すると考えられる。
 
14 前掲注1 p2および前掲注4 p3参照。
15 前掲注1 p2参照
(5) ガイドライン10-6(1)の解説の三つ目は「ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定する」とあり、さらにガイドライン6(2)ではアクセス権の識別と認証として「ユーザーID、パスワード、磁気・ICカード等」と例を挙げている。

この点に関しては、LINEのアカウント情報やメッセージを管理するサーバについては、ID、パスワードのほか、登録されたスマートフォンがアクセスのために必要であったが、これと別のユーザー情報を含むデータ分析システムにはIDとパスワードだけアクセスすることができていたとのことである。LY社はデータ分析システムには機微情報が含まれていないとの判断16だったが、実際に不正アクセスによって個人データが流出しており、総務省は多要素による認証をデータ分析システムについても求め、既にLY社も対応したとしている。
 
16 前掲注4 p9参照。
3|小括
以上の通り、個別事象として、ガイドライン10-3,10-5,10-6に抵触しており、従ってガイドライン10-1(基本方針の策定)、10-2(個人データの取扱いに係る規律の整備)が形骸化していたものとみるのが妥当だろう。ガイドラインのあらゆる点で十分な水準に達していなかったことが想定される。

7――おわりに

7――おわりに

LINEは日本においてインフラ化している。個人間のコミュニケーションのみならず、飲食店の割引クーポンの配布、果ては行政手続のお知らせなどにも利用されている。通信事業者であるということだけではなく、あらゆる個人情報が集まるプラットフォームということができる。

そのようなLY社が親会社や兄弟会社にシステム運用を委託し、物理的にも、権限としてもシステムへのアクセスを過大に認めていたということである。LY社がこのような状況を認識しつつ、かつこれらの問題点について改善をN社側に言えなかったということであれば、企業体質という構造的な問題となる。

総務省が親会社等との物理的関係だけでなく、資本関係についても分離を強く求めているのはこの点に問題意識があるのだろう。またこのように資本関係についてまで指導しているのは、これが上述p5に記載した事案を含め二度目だということもあろう。直接的な原因とまでは言えない資本関係まで変更を要求するのは行き過ぎとの考えもあろうが、総務省の考えも理解できるところである。

引き続き日本のインフラであり続けるためには、LY社の毅然たる対応が求められるところである。

1 2 3 4

保険研究部   研究理事 兼 ヘルスケアリサーチセンター長

松澤 登(まつざわ のぼる)

研究領域:保険

研究・専門分野
保険業法・保険法|企業法務

レポートについてお問い合わせ
(取材・講演依頼)

経歴

【職歴】
 1985年 日本生命保険相互会社入社
 2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
 2015年4月 生活研究部部長兼システム部長
 2018年4月 取締役保険研究部研究理事
 2021年4月 常務取締役保険研究部研究理事
 2024年4月 専務取締役保険研究部研究理事
 2025年4月 取締役保険研究部研究理事
 2025年7月より現職

【加入団体等】
 東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
 東京大学経済学部非常勤講師(2022年度・2023年度)
 大阪経済大学非常勤講師(2018年度~2022年度)
 金融審議会専門委員(2004年7月~2008年7月)
 日本保険学会理事、生命保険経営学会常務理事 等

【著書】
 『はじめて学ぶ少額短期保険』
  出版社:保険毎日新聞社
  発行年月:2024年02月

 『Q&Aで読み解く保険業法』
  出版社:保険毎日新聞社
  発行年月:2022年07月

 『はじめて学ぶ生命保険』
  出版社:保険毎日新聞社
  発行年月:2021年05月

関連レポート

レポートについてお問い合わせ
(取材・講演依頼)

関連カテゴリ・レポート

基礎研レポート

法務

デジタルプラットフォーム