日本でLINEは当たり前
今や、LINEは個人だけではなく、企業、官公庁といったところまで当たり前のように使用する状態。
スマホを持っていて、LINEを使っていない人はいないと言えるほど日本では普及している。
2023年11月27日、LINEヤフーのホームページで以下のような「お知らせ」が公表された。
LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。
■時系列対応(日本時間)
2023/09/14:当社サーバーの社内システムへ不正アクセス開始
2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断2023/10/28:従業者の社内システムへの接続について再ログインを強制実施2023/11/27:ユーザーおよび従業者等への通知を開始
具体的には何が起きたのか?
■発生した事象
当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。9月14日に当社サーバーの社内システムへの不正アクセス開始、その後NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
10月17日に当社システムへの不審なアクセスを検知し分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したものです。当社では被害状況の把握と拡大の抑止の対応を実施しています。
また、関係省庁には適宜状況の報告を行っております。
総務省は2024年3月5日、この件について、LINEヤフーを行政指導している。
総務省は、本日、LINEヤフー株式会社(代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区)に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。
【出典】総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
LINEヤフーは、これに対して、2024年4月1日に報告書を提出した。
しかし、十分な内容とは言い難いとのことで再度、総務省より2度目の指導を受けることになった。
4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けました。
同報告書によれば、一定の応急的な対策については実施済みとのことであるものの、現時点で、安全管理措置及び委託先管理が十分なものとなったとは言い難く、また、親会社等を含むグループ全体でのセキュリティガバナンス体制の構築についても十分な見直しが行われる展望が必ずしも明らかとはいえない状況にあると考えられ、対策・検討を加速化する必要があるものと判断いたしました。
以上を踏まえ、総務省は、本日付けで、LINEヤフー社に対し、以下の措置を講じるよう求めるとともに、措置の実施状況や実施計画について具体的かつ明確に報告するよう、文書(別紙)による行政指導を行いました。
(1)本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策強化の加速化
(2)親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直しの検討の加速化
(3)取組内容に係る進捗状況の定期的な公表等を通じた利用者対応の徹底【出典】総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及び サイバーセキュリティの確保の徹底に向けた措置(指導)
韓国企業が信用できない
総務省は、はっきりとは文章には記載していないが、情報漏えいの原因となった韓国のIT企業、ネイバーとのネットワークの完全分離を再来年12月までに行うという部分が明らかに時間がかかり過ぎているので、総務省は、「本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策強化の加速化」という指導を行ったのだろう。
そして、2024年4月26日、LINEヤフーは再度、報告書を提出した。
LINEヤフー株式会社(以下、当社)は、2024年3月28日付の個人情報保護委員会からの勧告および報告等の求めに対し、本日個人情報保護委員会へ再発防止策の実施状況等をまとめた報告書を提出しました。
当社は、技術的安全管理措置の不備と組織的安全管理措置の不備の是正に取り組んでまいります。加えて、現在推進中または計画中の再発防止策の実行を加速化してまいります。皆さまからの信頼回復に努めるとともに、今後もユーザーおよび関係者の皆さまに安心してサービスをご利用いただけるよう努めてまいります。
個人情報保護委員会に提出した報告書の要旨につきましては、以下にてご覧いただけます。
URL:https://www.lycorp.co.jp/ja/news/2024/20240426_appendix_ja.pdfなお、特設ページにて再発防止策等の進捗を公開しております。
URL:https://www.lycorp.co.jp/ja/privacy-security/recurrence-prevention/参考:
LINE ヤフー株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について
https://www.ppc.go.jp/news/press/2024/240328/前のお知らせ
当社に対する総務省からの行政指導について
韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染して情報漏洩が発生したということになる。
総務省が、漏えいの原因となった韓国のIT企業、NABERとの資本関係の見直しの検討を早急に行うよう求めると、NAVER側は「中長期的な事業戦略に基づいて私たちが決める問題だ」と指摘し、韓国政府とも協議を進めながら対応を検討するなどと全く反省の色が見えない。
更には、韓国外務省は「韓国企業に対する差別的措置はあってはならない」などとも言いだしている。
自分は、個人的に、今回も情報漏洩の原因となっている、韓国NAVERというか韓国という国がどうにも信用できない。
お金に困ると、既に解決済みのことを持ち出してきては、賠償金を請求してくるような国を信用しろという方が無理がある。
差別ではなく不信感
これは「差別」ではなく「信用」できないだけの話。
誰だって見ず知らずの殺人犯を信用できるか?と問われて信用できるとは言えないだろう。
そんなことからNAVERと関わりを持つ限りLINEは使用したくない。
このため、自分は今でも個人間の連絡でLINEは一切使用していない。
ところが日本では行政までがLINEをサービス提供に利用してしまっているので、インストールだけはしておかないと不都合が生じる場合がある。
また会社から支給されているスマホにはLINEをインストールするしかないのでインストールしているし社員間の連絡に使われているので、こちらでは仕方なく使用しているが積極的に利用はしておらず、LINEで何かが送られてきたら返信する程度だ。
今回の件で、NAVERとの関係がなくなれば、自分も個人利用でのLINEを使用することになるかもしれない。
