2024年06月04日

LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか

保険研究部 取締役 研究理事 兼 ヘルスケアリサーチセンター長 松澤 登

このレポートの関連カテゴリ

Xでシェアする Facebookでシェアする

文字サイズ

全文ダウンロード(PDF)
2|総務省からの注意事項
LY社の前身企業であり、本事案により不正アクセスを受けた各種サーバやシステム等を有する旧LINE社に対しては、総務省から2021年4月26日付けで社内システムに関する安全管理措置の一環としてアクセス管理の徹底等も含めて行政指導を行っていた(事案は下記枠内に記載)にもかかわらず、なおもアクセス管理の不備を一因とする本事案を招いたとの注意事項を総務省は指摘している。
 

上記指導は、2021年3月17日にLINE社が公表した事案で、LINEの再委託先企業であるLINE China(Shanghai LINE Digital Technology Limited. Dalian Branch)の従業員による、社内システムの1つであるモニタリング支援システムに対するアクセスのうち、特に通信の秘密又は個人情報に該当する可能性のある情報を含みうるLINEメッセンジャーに係るもの及び捜査機関対応業務従事者用システムに対するアクセスに関して行われたものである。この事案においては、LINE Chinaのエンジニア4名がLINE利用者の個人情報に計35回のアクセスを行っていた事実関係が認められた、
ただし、本事案においては、LINE社からの報告に基づく限りにおいては、通信の秘密の侵害又は個人情報の漏えい等があった旨は確認できなかった。

3|指摘事項
本事案を受けて(1)安全管理措置・委託先管理の抜本的見直し、(2)グループ全体のセキュリティガバナンスの本質的見直し、(3)利用者対応の徹底、が総務省から指摘された。

以下では項を改めて、1)総務省指摘事項、2)LY社対応方針8、3)総務省再指摘事項の順に記載する。なお、項目が多いため、ポイントとなる事項のみに絞って解説し、(3)については省略する。
 
8 対応方針については概要のみしか公表されていない。

4――総務省からの指導事項・LY社対応方針・総務省再指摘事項

4――総務省からの指導事項・LY社対応方針・総務省再指摘事項

1|安全管理措置・委託先管理の抜本的見直し
1) 総務省指摘事項
ここでの総務省の指摘事項はN社側からのシステム分離を進めることやアクセス制限を適正化(上記図表3のAおよびB)すること、LY社自身の安全管理措置の適正化(同じくC)についての改善指導である。内容は以下の通りである。

ア)NC社を含むN社側からLY社システムへのアクセスは必要最小限のものとし、その他のアクセスを認めない措置を講じること

イ)共通化している認証基盤や情報の同期を認めるシステム構成を再評価し、特にNC社の認証基盤等とLY社の認証基盤等を技術面・運用面で完全に分離すること

ウ)SOC(セキュリティオペレーションセンター)のTire1(ログを調査して疑わしい動きを探知する機能(または職員))は現在NC社にあるが、これをLY社自身で運用すること

エ)IDとパスワードだけの認証方式ではなく、多要素認証の導入をすること

オ)リスクに応じた委託先管理手法を検討し、基準策定、実施を行うこと

カ)LY社からNC社に対して再発防止策が策定されるよう適切な管理監督を行うこと
2) LY社対応方針
ア)不必要な通信の遮断を2024年3月実施完了(ただし、下記イ)参照)

イ)N社側およびNC社との認証基盤分離とシステム分離については、従業員向けシステムについては2025年3月末、国内子会社は2026年3月末、海外子会社2026年12月末完了予定。

ウ)SOCのTire1については2024年10月にLY社へ移行予定

エ)重要システムに対して二要素認証の適用を2024年3月完了

オ)委託先管理手法の検討及び導入は完了。ただし、管理の実施はこれからであり、また自社における侵害の有無や範囲を把握するのは2024年9月予定

カ)NC社への監督検討を定めた覚書の締結、本件関係委託先企業との契約解除を2024年3月完了
3) 総務省再指摘事項
評価できる点としてはエ)二要素認証の導入などである一方、委託先管理計画は策定されたものの、その実施についてはこれからである点などについて課題としている。特にイ)N社側とのシステムが完全に分離されるのが2年先という点を問題点として指摘している。また明確性を欠く安全管理措置や委託先管理の計画については具体的な計画の早期提出を求めている。
2|グループ全体のセキュリティガバナンスの本質的見直し
1) 総務省指摘事項
ここでの総務省の指摘事項はグループガバナンスの適正化についてであり、上記図表3のDに関するものである。内容は以下の通りである。

LY社内におけるセキュリティガバナンス体制の抜本的な見直しや是正策の検討を行うことに加え、親会社等も含めたグループ内において、委託先への適切な管理・監督を機能させるためのLY社の経営体制の見直しや、適正な意思決定プロセスの構築等に向けた、適切な検討がなされるよう、親会社等に対しても必要な働き掛けを行うこと。

2) LY社対応方針
資本的な関係の見直しについて関係各社への見直しの要請を行い LY社経営体制の見直しについて、同社指名報酬委員会での議論を開始した。また、N社側への業務委託の縮小・終了の方針を決定した。
 
3) 総務省再指摘事項
総務省はN社側への委託関係の縮小・終了に焦点を当てている。まず、「N社側への委託」についての基本的な考え方と委託範囲について報告すること、縮小・終了の具体的な計画を策定し報告することを要請している。そのうえで、「委託先から資本的な支配を相当程度受ける関係の見直し等を含め」経営体制の見直しを行うことを要求している。

ここで総務省は資本関係について特に問題視をしていることは特筆に値する。今回の事案は資本関係と直接の関係がないが、LY社が委託先に十分な管理を行えなかった背景として、資本関係が重大な影響を及ぼしていると総務省は認識していることがわかる。

5――個人情報保護委員会による勧告

5――個人情報保護委員会による勧告

1|個人情報保護委員会が指摘する情報保護法上の問題
個人情報保護委員会(以下、個情委)は技術的安全管理措置の不備、組織的安全措置の不備を指摘している9が、特に以下の点を問題視している。問題意識は総務省と大きくは異ならない。

・LY 社は、個人データの取扱いに関し、自らの判断で個人情報保護法およびガイドラインに則した安全管理措置を講じなければならないところ、旧 LINE 社の沿革に起因するNC 社との共通認証基盤システムやNC社との広範なネットワーク接続を許容するネットワーク構成の利用を継続してきた。また、LY社は、NC社に対して本件個人データの取扱いの委託は行っていないと整理していたため、実際にNC社に対して自らの安全管理措置と同等の措置が講じられるよう監督を行うことはなく、結果として、NC 社に業務委託し構築させたシステムが侵入経路及び漏えい原因となり、本件個人データが漏えいした。

・上述(p5)の2021年度の事案に対しては、個人情報保護委員会からの指導もなされたものの、、LY 社は、再発防止策の一つとして、重要度の高い個人データにアクセス可能な権限のログインには多要素認証を導入するとした。しかし、本件事案で不正アクセスを受けたデータ分析システム等において保管されているユーザーの情報の機微性が、他のシステムと比較して相対的に低いと判断し、多要素認証の導入を見送ってきた。 しかしながら、本件個人データのうち、データ分析システムに保管されている個人データは、ユーザーのLINE各種サービス(メッセージへのリアクションやスタンプ購入等)の利用履歴に関する個人データであるところ、これらのサービス利用履歴は、個人の行動範囲、経済状況、趣味・嗜好等のプライバシーに関するデータであり、本人の権利利益の保護の観点からは、機微性の低い情報と分類することはできない。

・LY社においては、旧LINE社に対する2021年行政指導後も、他社との広範なネットワーク接続を継続しているにもかかわらず、前記のとおり、アクセス制御等の技術的安全管理措置が講じられていなかったこと、個人データの取扱状況の把握及び安全管理措置の評価、見直し及び改善に問題が認められること、漏えい等事案への対応を速やかに行うことができなかったことから、その組織体制が必ずしも十分に機能していたとは言い難い。
 
9 前掲注4参照。
2|委員会による勧告
個人情報保護法第148条第1項の規定により、同法第23条の規定違反(=組織的安全管理措置の不備)を是正するために必要な措置を勧告した。勧告内容として安全管理措置が徹底される組織体制を整備し、また、漏えい等事案に対応する体制の整備並びに安全管理措置の評価、見直し及び改善を行うことを求めている。この勧告はNC 社との共通認証基盤システムの利用、NC 社との広範なネットワーク接続を許容するネットワーク構成及び重要度の高い個人データを保管する情報システムに対するアクセス者の識別と認証の方式に関するリスクや課題を適切に把握するためのものである。

6――検討

6――検討

1|検討の視点
これまで総務省・個情委とLY社とのやり取りを見てきたが、どこがどの程度の問題なのかがにわかにはわからない。そこで個人情報保護委員会が公表している個人情報保護ガイドライン(通則編)の10(別添)講ずべき安全管理措置の内容を物差しとし、ガイドラインにそって事案を見ていきたい。

ガイドラインの項目は以下の通りである。
ガイドラインの項目

【次ページ】LY社の問題点

« 1 2 3 4 »

(2024年06月04日「基礎研レポート」)

このレポートの関連カテゴリ

Xでシェアする Facebookでシェアする
全文ダウンロード(PDF)

保険研究部   取締役 研究理事 兼 ヘルスケアリサーチセンター長

松澤 登 (まつざわ のぼる)

研究・専門分野
保険業法・保険法|企業法務

レポートについてお問い合わせ
(取材・講演依頼)

03-3512-1866

経歴
  • 【職歴】
     1985年 日本生命保険相互会社入社
     2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
     2015年4月 生活研究部部長兼システム部長
     2018年4月 取締役保険研究部研究理事
     2021年4月 常務取締役保険研究部研究理事
     2025年4月より現職

    【加入団体等】
     東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
     東京大学経済学部非常勤講師(2022年度・2023年度)
     大阪経済大学非常勤講師(2018年度~2022年度)
     金融審議会専門委員(2004年7月~2008年7月)
     日本保険学会理事、生命保険経営学会常務理事 等

    【著書】
     『はじめて学ぶ少額短期保険』
      出版社:保険毎日新聞社
      発行年月:2024年02月

     『Q&Aで読み解く保険業法』
      出版社:保険毎日新聞社
      発行年月:2022年07月

     『はじめて学ぶ生命保険』
      出版社:保険毎日新聞社
      発行年月:2021年05月

週間アクセスランキング

経営 総合 領域別

    更新もっと見る

    更新もっと見る

    ピックアップ

    レポート紹介

    【LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

    LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったかのレポート Topへ