LINEヤフーの個人情報流出事案－不正アクセスに対する体制整備はどうだったか

保険研究部研究理事兼ヘルスケアリサーチセンター長松澤登

2｜LY社の問題点
ガイドラインに照らしたLY社の個別の問題点は以下の通りである。

(1) ガイドライン10－3(1)（組織体制の整備）によれば、「個人データの取扱いに関する責任者と責任の明確化」や「個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化」が求められている。

この点、LY社はシステムのセキュリティ管理を業務委託先であるNC社とセキュリティメンテナンス業務を委託した保守会社に委託していると総務省が指摘している¹⁰。そして個情委によればLY社にデータ責任所管があったとされるが、個情委からはア）技術的安全措置が講じられていなかったこと、イ）安全管理措置の評価、見直し、改善に問題が認められること、漏洩等の事案に適切に対応できなかったことから「組織体制が必ずしも十分に機能していたとはいいがたい」¹¹と認定されている。

これはLY社が通信業者でありながら、通信の秘密を守るための責任を果たす体制を自社内に構築できていなかったということになる。

¹⁰ 前掲注1　ｐ1参照。
¹¹ 前掲注4　ｐ10参照。

(2) ガイドライン10―3（1）(組織体制の整備)の別の解説では「個人データの漏洩等事案の発生又は兆候を把握した場合の責任者への報告連絡体制」を整備すべきとし、さらにガイドライン10－3（4）では「漏洩事案等に対応する体制の整備」が求められるとしている。

この点、本事案では漏洩が始まって発覚まで1カ月以上要した(9月14日～10月27日)うえ、事実関係の調査及び原因の究明については、LY社は、NC社やNAVERグループに頼らざるを得ない状況であり、LY社が本件事案の全容を把握するために約3か月半という時間を要した¹²と個情委に指摘されている。また、SOCのTier1（上述、ログを調査して疑わしい動きを探知する機能（または職員））がLY社でなくNC社にあったことも加え、漏洩事案等に対する体制の整備がなされていなかったと言えよう。

¹² 前掲注4　ｐ10参照。

(3) ガイドライン10－5(1)は個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域（以下、管理区域という）及び（中略）について適切な管理を行わなければならないとある。

総務省によれば「N社側の日本向けサービス提供用のネットワーク機器が貴社（LY社）のデータセンター内に設置されており、同機器についてNC社から貴社のネットワークを介してアクセスがなされ、その保守管理が実施されていた」¹³との指摘がなされている。物理的には区分されていたとしても、技術的にアクセス可能となっていることは問題であろう。

¹³ 前掲注1　ｐ2の注記参照。

(4) ガイドライン10―6（技術的安全管理措置）(1)の解説の一つ目と二つ目では「個人情報データベースを取り扱うことのできる情報システムを限定する」および「情報システムによってアクセスできることのできる個人情報データベースを限定する」と記載されている。

この点に関しては、まずN社側及び LY 社が共同で共通認証基盤システムを利用していたということが個情委および総務省から指摘されている¹⁴。このことは攻撃者にLY社の重要システムに不正アクセスを許してしまった原因になっている

共通の認識基盤に加えて、LY社はLINEのシステムの運用管理をNC社に委託していた。この委託に際し、総務省の指摘では必要最小限のアクセス権限だけではなく、より幅広いアクセス権限を認めていた¹⁵とのことである。これはアクセスできる個人情報データベースを制限するというガイドラインに抵触すると考えられる。

¹⁴ 前掲注1　ｐ2および前掲注4　ｐ3参照。
¹⁵ 前掲注1　ｐ2参照

(5) ガイドライン10－6(1)の解説の三つ目は「ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定する」とあり、さらにガイドライン6(2)ではアクセス権の識別と認証として「ユーザーID、パスワード、磁気・ICカード等」と例を挙げている。

この点に関しては、LINEのアカウント情報やメッセージを管理するサーバについては、ID、パスワードのほか、登録されたスマートフォンがアクセスのために必要であったが、これと別のユーザー情報を含むデータ分析システムにはIDとパスワードだけアクセスすることができていたとのことである。LY社はデータ分析システムには機微情報が含まれていないとの判断¹⁶だったが、実際に不正アクセスによって個人データが流出しており、総務省は多要素による認証をデータ分析システムについても求め、既にLY社も対応したとしている。

¹⁶ 前掲注4　ｐ9参照。

3｜小括
以上の通り、個別事象として、ガイドライン10－3，10－5，10－6に抵触しており、従ってガイドライン10－1（基本方針の策定）、10－2（個人データの取扱いに係る規律の整備）が形骸化していたものとみるのが妥当だろう。ガイドラインのあらゆる点で十分な水準に達していなかったことが想定される。

7――おわりに

LINEは日本においてインフラ化している。個人間のコミュニケーションのみならず、飲食店の割引クーポンの配布、果ては行政手続のお知らせなどにも利用されている。通信事業者であるということだけではなく、あらゆる個人情報が集まるプラットフォームということができる。

そのようなLY社が親会社や兄弟会社にシステム運用を委託し、物理的にも、権限としてもシステムへのアクセスを過大に認めていたということである。LY社がこのような状況を認識しつつ、かつこれらの問題点について改善をN社側に言えなかったということであれば、企業体質という構造的な問題となる。

総務省が親会社等との物理的関係だけでなく、資本関係についても分離を強く求めているのはこの点に問題意識があるのだろう。またこのように資本関係についてまで指導しているのは、これが上述ｐ５に記載した事案を含め二度目だということもあろう。直接的な原因とまでは言えない資本関係まで変更を要求するのは行き過ぎとの考えもあろうが、総務省の考えも理解できるところである。

引き続き日本のインフラであり続けるためには、LY社の毅然たる対応が求められるところである。

日付	タイトル	執筆者	媒体
2025/06/24	サイバー対処能力強化法の成立－能動的サイバー防御	松澤登	基礎研レポート
2025/06/16	株式併合による非公開化－JAL等によるAGPのスクイーズアウト	松澤登	研究員の眼
2025/06/13	株主提案による役員選任議案－フジメディア・ホールディングス	松澤登	研究員の眼
2025/06/10	江戸時代の堂島米市場－先物取引所の先駆け	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2025/06/24

サイバー対処能力強化法の成立－能動的サイバー防御

松澤登

基礎研レポート

2025/06/16

株式併合による非公開化－JAL等によるAGPのスクイーズアウト

松澤登

研究員の眼