総務省、LINEヤフーに2度目の行政指導　資本関係見直しの具体化を要求

総務省は16日、LINEヤフーにおける不正アクセスと情報漏洩について、2度目の行政指導を行なった。

LINEヤフーは2023年11月27日、第三者による不正アクセスによりユーザーの個人情報を含む情報漏洩があったと公表、2024年2月には追加の情報漏洩と再発防止策を発表した。総務省は3月5日に行政指導を行ない、LINEヤフーは4月1日付で再発防止に向けた取組についての報告書を提出していた。

しかし、総務省はこの報告書が不十分であるとし、改めての行政指導となった。

LINEヤフーによる総務省への報告(4月1日付け)の概要

LINEヤフーによる報告書では、一定の応急的な対策については実施済みとしていた。しかし、総務省は「現時点で、安全管理措置及び委託先管理が十分なものとなったとは言い難い」とし、また「親会社等を含むグループ全体でのセキュリティガバナンス体制の構築についても十分な見直しが行われる展望が必ずしも明らかとはいえない状況。対策・検討を加速化する必要がある」と判断した。

総務省では、安全管理措置や委託先管理の抜本的な見直しとともに、親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直しの検討の加速化を指示。措置の履行状況や実施計画について、7月1日までに具体的かつ明確に報告するように求めている。

具体的には、4月1日に示した報告書では、NAVER社側とのネットワークの完全分離の実現が2年以上先であること、セキュリティガバナンスの見直しの具体的なところが示されていないことなどが不十分と指摘。NAVER社側との間で共通化されていたネットワークの分離を早めることと、資本関係の見直しの見通しを示すよう求めている。

前回の行政指導では、親会社のNAVERが業務委託先になっていることが管理・監督上の問題であるとし、資本構成を含む「経営体制の見直し」について指摘していたが、LINEヤフーの4月報告書では、NAVERからの資本的な支配関係について「関係各社へ見直しを要請している」と言及するのみであった。

今回の指導では、「NAVER社側への委託」について、基本的な考え方と具体的な対象範囲を報告し、特に、NAVER社側が提供するシステムやサービスの利用が対象に含まれるのか明らかにするよう要求している。また、NAVERへの委託を縮小するにあたり、どの委託についていつまでに縮小、終了、残置するか具体的な計画を示すよう求めている。

加えて、資本関係と経営体制の見直しについても、親会社等を含めたグループ全体での検討を早急に実施し、検討結果を具体的に報告するよう要求した。LINEヤフー親会社のソフトバンクへも対応を進めるよう求めた形だ。

ソフトバンクでは、LINEヤフーの行政指導を受け、「LINEヤフーの親会社として実効的なセキュリティガバナンス確保の方策を検討していく」との声明を発表している。

松本総務大臣は、16日の閣議後記者会見において「前回の行政指導に対する対応が不十分であったという事態を重く捉え、徹底した対応を期待したい」と述べている。