LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか

2024年06月04日

(松澤 登) 保険会社経営

関連カテゴリ

■要旨

LINEヤフー株式会社(以下、LY社)は2023年9月14日~同年10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいする事案があった。本事案においては業務委託先であり、かつ共通の認証基盤を持つNAVER Cloud社(以下、NC社)を踏み台にLY社に攻撃が行われた。
 
この事案を受け、総務省および個人情報保護委員会はLY社に行政指導・勧告を行った。このうち総務省は、(1)NC社等からのLY社システムへのアクセスは必要最小限のものにすること、(2)共通の認証基盤などシステムをNC社等と分離すること、(3)システムへのアクセス権限の認証を多要素認証とすることなどに加え、(4)委託先(NAVER社グループ)から資本的な支配を相当程度受ける関係等の見直しを含め、経営体制の見直しを行うことなどを行政指導した。
 
総務省が上述(1)~(3)の個人情報漏洩に直接関係のある事柄について改善を求めることに加え、資本関係の在り方まで指導をしたのは、2021年に個人情報の漏洩はなかったもののNAVER社の中国の関連会社からLY社の前身である旧LINE社の利用者情報にアクセスした事例があったという事情も踏まえたものと考えられる。
 
すなわち、LY社の株式持分の半分を有するNAVER社グループのガバナンス体制あるいは企業体質にそもそもの問題があると総務省が判断したものと考えられるが、資本関係にまで踏み込んで指導したのは賛否分かれるところと思われる。

■目次

1――はじめに
2――発生した事案
  1|LY社の業務委託関係
  2|攻撃者によるNC社・LY社への侵入
  3|攻撃者によるLY社データの窃取
3――総務省からの指導事項(3月5日付)
  1|事案発生の要因
  2|総務省からの注意事項
  3|指摘事項
4――総務省からの指導事項・LY社対応方針・総務省再指摘事項
  1|安全管理措置・委託先管理の抜本的見直し
  2|グループ全体のセキュリティガバナンスの本質的見直し
5――個人情報保護委員会による勧告
  1|個人情報保護委員会が指摘する情報保護法上の問題
  2|委員会による勧告
6――検討
  1|検討の視点
  2|LY社の問題点
  3|小括
7――おわりに

【次ページ】はじめに

1 2 3 4

保険研究部   取締役 研究理事 兼 ヘルスケアリサーチセンター長

松澤 登(まつざわ のぼる)

研究領域:保険

研究・専門分野
保険業法・保険法|企業法務

レポートについてお問い合わせ
(取材・講演依頼)

経歴

【職歴】
 1985年 日本生命保険相互会社入社
 2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
 2015年4月 生活研究部部長兼システム部長
 2018年4月 取締役保険研究部研究理事
 2021年4月 常務取締役保険研究部研究理事
 2025年4月より現職

【加入団体等】
 東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
 東京大学経済学部非常勤講師(2022年度・2023年度)
 大阪経済大学非常勤講師(2018年度~2022年度)
 金融審議会専門委員(2004年7月~2008年7月)
 日本保険学会理事、生命保険経営学会常務理事 等

【著書】
 『はじめて学ぶ少額短期保険』
  出版社:保険毎日新聞社
  発行年月:2024年02月

 『Q&Aで読み解く保険業法』
  出版社:保険毎日新聞社
  発行年月:2022年07月

 『はじめて学ぶ生命保険』
  出版社:保険毎日新聞社
  発行年月:2021年05月

関連レポート

レポートについてお問い合わせ
(取材・講演依頼)

関連カテゴリ・レポート

基礎研レポート

法務

デジタルプラットフォーム