LINEヤフー、個人情報保護委員会から勧告　不正アクセス問題

個人情報保護委員会は28日、LINEヤフーに対し、個人データの安全管理の問題を指摘し、体制の整備とともに4月26日までに改善状況を報告するよう勧告した。

この問題は、約9,600万人の日本のユーザーを抱えるLINEにおいて、約52万人分の個人データが不正アクセスにより漏洩したことを受けてのもの。2023年11月にLINEヤフーが、第三者による不正アクセスによりユーザーの個人情報を含む情報漏洩があったと公表。2024年2月14日には追加の情報漏洩と再発防止策を発表していた。

情報漏洩は、LINEヤフーと委託先のNAVER Cloudとの間の複雑なネットワーク構成や運用、アクセス管理などを要因とするが、個人情報保護委員会はLINEヤフーの前身であるLINEに2021年に指導を行なっている。その際、アクセス権限付与の見直しや委託先企業に対する、年に1回の監査の実施、重要度の高い個人データにアクセス可能な権限のログインに多要素認証を導入する、などを求めていた。今回の漏洩では委託先企業として管理されておらず、多要素認証も見送られていた。

個人情報保護委員会では、LINEがサーバーやソフトウェア等のインフラの構築や運営業務をNAVER Cloudにまかせ、認証基盤をNAVERグループと共同で利用しているにも関わらず、安全管理のために必要な措置を講ずる責任の所在と手段の検討や把握が曖昧なまま、ユーザーの個人データを取り扱っていたと指摘。「個人データの取扱状況の把握、安全管理措置の評価、見直し及び改善に問題があると言わざるを得ない」としている。また、以前の行政指導に対しても、その改善が十分ではなかったとする。

LINEヤフーでは、NAVER Cloudとのシステムやネットワークの分離を目指しているが、根本的な対策については時間を要するとしている。ただし、以前の行政指導後に再び漏洩等事案が発生していることから、個人情報保護委員会では、安全管理措置が徹底される組織体制の整備と、漏洩等に対応する体制の整備、安全管理措置の評価、見直しなどを行なうよう勧告した。改善状況について、4月26日までに初回報告を求め、以降2025年3月31日まで定期的な報告を求める。

LINEヤフーでは勧告を受け、「セキュリティガバナンス体制の強化に向けた検討を進めるとともに、委託先管理の強化、システム・ネットワークのリスク解消・強化、従業員システムのセキュリティ強化等の再発防止策を推進する」とコメントしている。