LINEヤフーの個人情報流出事案－不正アクセスに対する体制整備はどうだったか

保険研究部専務取締役研究理事兼ヘルスケアリサーチセンター長松澤登

■要旨

LINEヤフー株式会社（以下、LY社）は2023年9月14日～同年10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいする事案があった。本事案においては業務委託先であり、かつ共通の認証基盤を持つNAVER　Cloud社（以下、NC社）を踏み台にLY社に攻撃が行われた。

この事案を受け、総務省および個人情報保護委員会はLY社に行政指導・勧告を行った。このうち総務省は、(1)NC社等からのLY社システムへのアクセスは必要最小限のものにすること、(2)共通の認証基盤などシステムをNC社等と分離すること、(3)システムへのアクセス権限の認証を多要素認証とすることなどに加え、(4)委託先（NAVER社グループ）から資本的な支配を相当程度受ける関係等の見直しを含め、経営体制の見直しを行うことなどを行政指導した。

総務省が上述(1)～(3)の個人情報漏洩に直接関係のある事柄について改善を求めることに加え、資本関係の在り方まで指導をしたのは、2021年に個人情報の漏洩はなかったもののNAVER社の中国の関連会社からLY社の前身である旧LINE社の利用者情報にアクセスした事例があったという事情も踏まえたものと考えられる。

すなわち、LY社の株式持分の半分を有するNAVER社グループのガバナンス体制あるいは企業体質にそもそもの問題があると総務省が判断したものと考えられるが、資本関係にまで踏み込んで指導したのは賛否分かれるところと思われる。

■目次

1――はじめに
2――発生した事案
　　1｜LY社の業務委託関係
　　2｜攻撃者によるNC社・LY社への侵入
　　3｜攻撃者によるLY社データの窃取
3――総務省からの指導事項(3月5日付)
　　1｜事案発生の要因
　　2｜総務省からの注意事項
　　3｜指摘事項
4――総務省からの指導事項・LY社対応方針・総務省再指摘事項
　　1｜安全管理措置・委託先管理の抜本的見直し
　　2｜グループ全体のセキュリティガバナンスの本質的見直し
5――個人情報保護委員会による勧告
　　1｜個人情報保護委員会が指摘する情報保護法上の問題
　　2｜委員会による勧告
6――検討
　　1｜検討の視点
　　2｜LY社の問題点
　　3｜小括
7――おわりに

日付	タイトル	執筆者	媒体
2024/10/23	EUのAI規則(２/４)－高リスクAIシステム	松澤登	基礎研レポート
2024/10/17	野村證券相場操縦事件－見せ玉による相場操縦	松澤登	研究員の眼
2024/10/16	EUのAI規則(１/４)－総論、定義、禁止されるAIの行為	松澤登	基礎研レポート
2024/10/07	プロダクトガバナンスで何が変わるか－金融庁、顧客本位原則へ補充原則を追加	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2024/10/23

EUのAI規則(２/４)－高リスクAIシステム

松澤登

基礎研レポート

2024/10/17

野村證券相場操縦事件－見せ玉による相場操縦

松澤登

研究員の眼