- シンクタンクならニッセイ基礎研究所 >
- 経営・ビジネス >
- 法務 >
- LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか
2024年06月04日
■要旨
LINEヤフー株式会社(以下、LY社)は2023年9月14日~同年10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいする事案があった。本事案においては業務委託先であり、かつ共通の認証基盤を持つNAVER Cloud社(以下、NC社)を踏み台にLY社に攻撃が行われた。
この事案を受け、総務省および個人情報保護委員会はLY社に行政指導・勧告を行った。このうち総務省は、(1)NC社等からのLY社システムへのアクセスは必要最小限のものにすること、(2)共通の認証基盤などシステムをNC社等と分離すること、(3)システムへのアクセス権限の認証を多要素認証とすることなどに加え、(4)委託先(NAVER社グループ)から資本的な支配を相当程度受ける関係等の見直しを含め、経営体制の見直しを行うことなどを行政指導した。
総務省が上述(1)~(3)の個人情報漏洩に直接関係のある事柄について改善を求めることに加え、資本関係の在り方まで指導をしたのは、2021年に個人情報の漏洩はなかったもののNAVER社の中国の関連会社からLY社の前身である旧LINE社の利用者情報にアクセスした事例があったという事情も踏まえたものと考えられる。
すなわち、LY社の株式持分の半分を有するNAVER社グループのガバナンス体制あるいは企業体質にそもそもの問題があると総務省が判断したものと考えられるが、資本関係にまで踏み込んで指導したのは賛否分かれるところと思われる。
■目次
1――はじめに
2――発生した事案
1|LY社の業務委託関係
2|攻撃者によるNC社・LY社への侵入
3|攻撃者によるLY社データの窃取
3――総務省からの指導事項(3月5日付)
1|事案発生の要因
2|総務省からの注意事項
3|指摘事項
4――総務省からの指導事項・LY社対応方針・総務省再指摘事項
1|安全管理措置・委託先管理の抜本的見直し
2|グループ全体のセキュリティガバナンスの本質的見直し
5――個人情報保護委員会による勧告
1|個人情報保護委員会が指摘する情報保護法上の問題
2|委員会による勧告
6――検討
1|検討の視点
2|LY社の問題点
3|小括
7――おわりに
LINEヤフー株式会社(以下、LY社)は2023年9月14日~同年10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいする事案があった。本事案においては業務委託先であり、かつ共通の認証基盤を持つNAVER Cloud社(以下、NC社)を踏み台にLY社に攻撃が行われた。
この事案を受け、総務省および個人情報保護委員会はLY社に行政指導・勧告を行った。このうち総務省は、(1)NC社等からのLY社システムへのアクセスは必要最小限のものにすること、(2)共通の認証基盤などシステムをNC社等と分離すること、(3)システムへのアクセス権限の認証を多要素認証とすることなどに加え、(4)委託先(NAVER社グループ)から資本的な支配を相当程度受ける関係等の見直しを含め、経営体制の見直しを行うことなどを行政指導した。
総務省が上述(1)~(3)の個人情報漏洩に直接関係のある事柄について改善を求めることに加え、資本関係の在り方まで指導をしたのは、2021年に個人情報の漏洩はなかったもののNAVER社の中国の関連会社からLY社の前身である旧LINE社の利用者情報にアクセスした事例があったという事情も踏まえたものと考えられる。
すなわち、LY社の株式持分の半分を有するNAVER社グループのガバナンス体制あるいは企業体質にそもそもの問題があると総務省が判断したものと考えられるが、資本関係にまで踏み込んで指導したのは賛否分かれるところと思われる。
■目次
1――はじめに
2――発生した事案
1|LY社の業務委託関係
2|攻撃者によるNC社・LY社への侵入
3|攻撃者によるLY社データの窃取
3――総務省からの指導事項(3月5日付)
1|事案発生の要因
2|総務省からの注意事項
3|指摘事項
4――総務省からの指導事項・LY社対応方針・総務省再指摘事項
1|安全管理措置・委託先管理の抜本的見直し
2|グループ全体のセキュリティガバナンスの本質的見直し
5――個人情報保護委員会による勧告
1|個人情報保護委員会が指摘する情報保護法上の問題
2|委員会による勧告
6――検討
1|検討の視点
2|LY社の問題点
3|小括
7――おわりに
(2024年06月04日「基礎研レポート」)
このレポートの関連カテゴリ
03-3512-1866
経歴
- 【職歴】
1985年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
2015年4月 生活研究部部長兼システム部長
2018年4月 取締役保険研究部研究理事
2021年4月 常務取締役保険研究部研究理事
2024年4月より現職
【加入団体等】
東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
東京大学経済学部非常勤講師(2022年度・2023年度)
大阪経済大学非常勤講師(2018年度~2022年度)
金融審議会専門委員(2004年7月~2008年7月)
日本保険学会理事、生命保険経営学会常務理事 等
【著書】
『はじめて学ぶ少額短期保険』
出版社:保険毎日新聞社
発行年月:2024年02月
『Q&Aで読み解く保険業法』
出版社:保険毎日新聞社
発行年月:2022年07月
『はじめて学ぶ生命保険』
出版社:保険毎日新聞社
発行年月:2021年05月
松澤 登のレポート
日付 | タイトル | 執筆者 | 媒体 |
---|---|---|---|
2024/10/23 | EUのAI規則(2/4)-高リスクAIシステム | 松澤 登 | 基礎研レポート |
2024/10/17 | 野村證券相場操縦事件-見せ玉による相場操縦 | 松澤 登 | 研究員の眼 |
2024/10/16 | EUのAI規則(1/4)-総論、定義、禁止されるAIの行為 | 松澤 登 | 基礎研レポート |
2024/10/07 | プロダクトガバナンスで何が変わるか-金融庁、顧客本位原則へ補充原則を追加 | 松澤 登 | 研究員の眼 |
公式SNSアカウント
新着レポートを随時お届け!日々の情報収集にぜひご活用ください。
新着記事
-
2024年10月25日
金融システム、特に保険と年金基金のリスクと脆弱性に対する助言等の公表(欧州 2024秋)-EIOPA等の合同報告書の紹介 -
2024年10月25日
米労働市場の緩やかな減速が継続-景気が堅調を維持する中、失業率の大幅上昇は回避へ -
2024年10月25日
副業・兼業で広がるキャリア戦略~会社視点の働き方改革から生き方改革へ~ -
2024年10月24日
24年9月末時点の経過措置適用企業の進捗状況~経過措置の適用は2025年3月から順次終了~ -
2024年10月23日
円安再燃、1ドル160円に逆戻りするリスクは?~マーケット・カルテ11月号
レポート紹介
-
研究領域
-
経済
-
金融・為替
-
資産運用・資産形成
-
年金
-
社会保障制度
-
保険
-
不動産
-
経営・ビジネス
-
暮らし
-
ジェロントロジー(高齢社会総合研究)
-
医療・介護・健康・ヘルスケア
-
政策提言
-
-
注目テーマ・キーワード
-
統計・指標・重要イベント
-
媒体
- アクセスランキング
お知らせ
-
2024年07月01日
News Release
-
2024年04月02日
News Release
-
2024年02月19日
News Release
【LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったか】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。
LINEヤフーの個人情報流出事案-不正アクセスに対する体制整備はどうだったかのレポート Topへ