LINEヤフー、2度目の行政指導に対する報告書を総務省へ提出 委託関係の方針、計画を明確に
LINEヤフー株式会社は2024年7月1日、不正アクセスによる情報漏えい(以下:本事案)に関する報告書を総務省へ提出したことを公表した。
2度目の行政指導に対する報告書
本事案は、2023年11月27日にLINEヤフーが発表した、第三者による不正アクセス事案に端を発する。LINEヤフーと関係会社である韓国NAVER Cloud社、それぞれの委託先企業の従業者が所持するPCがマルウェアに感染したことが契機としている(※1)。
総務省は2024年3月5日付で1度目の行政指導を実施。4月1日に同社より総務省へ再発防止等に向けた取組に関する報告書が提出されている。しかしながら、安全管理措置及び委託先管理が十分とは言い難いことに加え、親会社等を含むグループ全体でのセキュリティガバナンス体制の構築についても十分な見直しが行われる展望が必ずしも明らかとはいえない状況から、4月16日に2度目の行政指導(文書)が行われた(※2)。
そして2024年7月1日、2度目の行政指導に対する報告書を提出。委託先管理やセキュリティガバナンスの本質的な見直しに関する方針を明確にした。
※1 参考元:不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)
※2 関連記事:総務省、LINEヤフーに2度目の行政指導 具体的かつ明確な報告指示
セキュリティガバナンスの向上に向けた意識を共有
4月16日の行政指導において、総務省から指摘された内容は3点。今回の報告書にて明記された追加策をあわせて、以下に抜粋して記載する(※3)。
◆本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策強化の加速化
NAVER Cloud社と当社のプライベートネットワーク分離、認証基盤の分離、SOC国内化・ログ取得、安全管理措置の見直し、委託先管理見直し等。また、LINEヤフーがキッティングしたPCでのみ業務の実施を認める方針としており、国内外ともに2024年9月末までのPC貸与を完了を目指して進められる。
◆親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直しの検討の加速化
継続的な役務やシステム等の提供関係にあると考えられるもの全てについてその終了・縮小・残置の方針を決定。委託関係ごとの最短終了(目標)時期は以下のとおりとなる。
▷NAVER社・NAVER Cloud社への委託:2025年12月末まで目標
▷その他NAVERグループへの委託:2025年3月末まで目標
※画像元:NAVER社側との委託関係等の 今後の方針と計画等について(LINEヤフー株式会社)
◆取組内容に係る進捗状況の定期的な公表等を通じた利用者対応の徹底
2024年6月開催の株主総会での承認を経て、本株主総会後の体制として当社は取締役6名体制、うち独立社外取締役・監査等委員が4名を占める体制に。これによって、ガバナンスの強化が図れるものと認識している。また、2024年4月に設置した「セキュリティガバナンス委員会」において各種の社内議論・検討を実施。議論の状況等は、当社執行役員に定期的に共有すること等を通じて、全社で再発防止やセキュリティガバナンスの向上に向けた意識を共有するように努める。
※3 参考元:3月5日付及び4月16日付総務省からの行政指導に対する7月1日提出報告書(概要)
特設ページを通じた公表を実施
LINEヤフーは今回の報告書提出にあたり、以下のようにコメントしている。
「当社は、安全管理措置及び委託先管理の抜本的な見直し及び対策の強化、親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直し及び強化を進めるとともに、適切な情報提供など利用者対応の徹底などの取り組みを引き続き加速してまいります。皆さまからの信頼回復に努めるとともに、今後もユーザーおよび関係者の皆さまに安心してサービスをご利用いただけるよう努めてまいります」
今後は本事案に関して、ユーザー保護の観点から公開すべき情報が新たに明らかになった場合、特設ページ(※4)を通じて速やかに公表される。
LINEは現在、企業個人を問わず多くのユーザーに利用されるサービスとなっている。LINE公式アカウントを通じたマーケティングも行われる中、個人データの漏えいといった問題に対しては一層厳しい対策が求められるはずだ。今後も最新動向に注視し、各方面への影響を含め動向を追っていく。
※4 参考元:不正アクセスによる情報漏えいへの再発防止策および進捗状況