総務省、LINEヤフーに2度目の行政指導 具体的かつ明確な報告指示
総務省は、LINEヤフー株式会社(代表取締役社長CEO:出澤剛)に対し2024年3月5日付で行政指導を実施し、同年4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けた。同報告書を踏まえ、総務省は、同行政指導において求めた措置の早期実施等を求めるとともに、その実施状況や実施計画を報告するよう、文書による行政指導を行ったとした。
総務省、LINEヤフーに対し2度目の行政指導実施
2024年4月16日、総務省はLINEヤフー株式会社(以下、同社)の不正アクセスによる情報漏えい事案に対し文書による行政指導を行った。なお今回の指導は2度目となる。
事の発端は2023年11月27日に同社が発表した、第三者による不正アクセス事案(以下、本事案)。同社の関係会社である韓国NAVER Cloud社の委託先かつ同社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機としている(※1)。
総務省は2024年3月5日付で1度目の行政指導を実施。4月1日に同社より総務省へ再発防止等に向けた取組に関する報告書が提出された。しかし現時点で、安全管理措置及び委託先管理が十分とは言い難いこと。また、親会社等を含むグループ全体でのセキュリティガバナンス体制の構築についても十分な見直しが行われる展望が必ずしも明らかとはいえない状況から、2度目の行政指導(文書)に至ったようだ(※2)。
※1 参考元:不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)
※2 参考元:LINEヤフー株式会社に対する通信の秘密の保護及び サイバーセキュリティの確保の徹底に向けた措置(指導)
2024年3月、1度目の行政指導(書面)
総務省は、同社の報告を受けて電気通信事業法(昭和59年法律第86号)第166条第1項の規定に基づく報告徴収を実施。その結果、同社の安全管理措置・サイバーセキュリティ対策や業務委託先管理等に不備があったことが判明した。
本事案は2024年3月5日付で、通信の秘密の保護及びサイバーセキュリティの確保を図るため下記内容の実施と報告を指示(※3)。法第4条第1項に規定する通信の秘密の漏えいがあったものと認められることからだとされている。
■措置内容(2024年3月5日)
(1)本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策の強化
(2)親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直し及び強化
(3)利用者対応の徹底
※3 通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)
2回目の指導内容「具体的かつ明確に報告を」
2024年4月1日に同社が総務省へ報告した「3月5日付総務省からの行政指導に対する報告書(概要)」では「安全管理措置の見直し等に関する報告」「委託先管理の見直し等に関する報告」「グループ全体でのセキュリティガバナンスの見直し等に関する報告」「利用者対応の徹底に関する報告」の4項目について、指導内容と報告事項がまとめられていた。
これに対し総務省は「どの委託関係について、いつまでに、縮小・終了・残置するのか、見直しの具体策が示されていない」などとコメント(※4)。下記の措置と合わせて、実施状況や実施計画について具体的かつ明確に報告するよう再度、文書による行政指導を行った。
■措置内容(2024年4月16日)
(1)本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策強化の加速化
(2)親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直しの検討の加速化
(3)取組内容に係る進捗状況の定期的な公表等を通じた利用者対応の徹底
なお、措置の履行状況や実施計画についての報告は2024年7月1日まで。総務省は、具体的かつ明確に報告されたいと書面にて指示した。
※4 通信の秘密の保護及びサイバーセキュリティの確保の徹底に向けた措置について(指導)
取引先等に関する個人データ漏えいは約17万件に(2024年2月14日最終更新)
同社が2024年2月14日に最終調査を行ったデータによれば、ユーザーに関する個人データ302980件(うち日本ユーザー130,192件)としており、推計値49751件を含む(うち日本ユーザー15,454件)LINEユーザー内部識別子(※5)に紐づくサービス利用履歴などが漏えい(可能性も含む)したとしている。なお口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は含まれない。
また取引先等に関する個人データの漏えい(可能性も含む)は86,211件。メーリングリストに含まれていた同社ドメイン以外のメールアドレスも含めると約17万件(※6)の漏えいがあったとされている。
今回2度目の行政指導に関する同社の受け止めについて「ユーザーおよび関係者の皆さまには、ご心配・ご迷惑をおかけしておりますことを改めて深くお詫び申し上げます。
本日の総務省からの指導内容を真摯に受け止め、2024年4月1日に総務省へ報告した取り組みをさらに加速させていきます」とコメント。
EC事業者にとってLINE公式アカウントを使う事業者は特に気になる事案ではないだろうか。現段階では事業者への影響について発表されていない。ECのミカタでは事業者への影響を含め今後も動向を追っていく。
※5 LINEのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なる。
※6 不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)より取引先等に関する個人データと取引先等のメールアドレスを足したもの