総務省は2024年4月16日、LINEヤフーに対して2度目の行政指導を実施した。2024年4月1日に同社が総務省に提出した報告書に対する行政指導だ。総務省は2024年7月1日までに措置の履行状況や実施計画について新たに報告を求めた。異例と言える2度目の行政指導の背景にはどのような理由があるのか。
LINEヤフー(当時LINE)がセキュリティー関連のメンテナンスを委託していた企業で従業員の端末がマルウエアに感染。これを契機として、2023年9月14日から10月27日の間に旧LINEのシステムが不正アクセスを受け、最大で個人データ約52万件が漏洩した。なお、この委託先は韓国NAVERの子会社NAVER Cloudからも業務委託を受けていた。NAVERはLINEヤフーの6割超の株式を保有するAホールディングスに50%出資し、NAVER Cloudは旧LINEのシステムを保守するために認証情報を保有していた。こうした状況が旧LINEへの侵入につながったとみられる。
総務省は同事象について、2024年3月5日に電気通信事業法で定める「通信の秘密」の漏洩があったとして、LINEヤフーを行政指導した。これが1度目の行政指導だ。この指導の際にLINEヤフーに対して、2024年4月1日までに再発防止に向けた取り組みに対する報告書の提出を求めた。これを受けて4月1日に提出された報告書の内容について「通信の秘密の保護」と「サイバーセキュリティーの確保」の観点から対策が不十分だとして、2度目の行政指導に至った。
曖昧なLINEヤフーの再発防止策
総務省は、LINEヤフーが提出した報告書に対して、大きく3つの問題を指摘している。(1)NAVERとの委託関係の縮小や終了に対して、具体策が示されていないこと(2)NAVERのネットワークとの完全な切り離し(認証基盤の分離も含む)の実現が2年以上先であること(3)資本関係を含めたNAVERとの関係の見直しについて「要請」にとどまっていること――だ。
総務省は前回の行政指導で「NAVER Cloud社とのネットワーク分離による安全管理措置の見直し」を求めた。これに対し、LINEヤフーは再発防止策の1つとして委託業務の終了・縮小に関する計画策定と通信の遮断を示した。委託業務の終了・縮小については、「2024年6月までに計画策定予定」として報告している。
総務省はこの回答を問題視し、担当者は「現状の報告では中身がまったく分からない」と表現した。このため、次回の報告までにNAVERへの委託に関する基本的な考え方や具体的な対象範囲、NAVERが提供するシステムやサービスの利用が対象に含まれるかについて明らかにすること、NAVERへのどの委託をいつまでに縮小・終了・残置するかについての策定・報告を求めている。
また、LINEヤフーとNAVERとの認証基盤の分離において、完全な分離が実現するのは2026年12月と2年以上先であることに対しても、時間がかかりすぎるとの見方で問題視する。
