SNS「LINE」のユーザー情報流出(2023年9〜10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩)をめぐり、3月に総務省から行政指導を受けたLINEヤフー。一部システムを共通化し、運用などを委託していた韓国のIT大手、NAVERの子会社が不正アクセスを受けたことが発端だった。

実質的な親会社であるNAVERとの資本関係見直しにまで踏み込んだ総務省の指導を受け、LINEヤフーは4月1日に再発防止策を提出した。2026年末までにグループ全体でシステムの認証基盤をNAVERと分離するほか、同社への業務委託も終了・縮小を進める。資本関係については「関係各社に見直しを要請」しているという。

旧LINEは、ヤフーを傘下に持つZホールディングス(HD、現・LINEヤフー)と経営統合した直後の2021年にも、情報管理の不備に関連して総務省から行政指導を受けている。国内最大級のITプラットフォーマーが、国から再び厳しい叱責を受けるに至った背景に、どんな問題があったのか。

セキュリティの専門家であり、旧LINEでの不祥事を受けてZHDが設置した特別委員会の技術検証部会で座長を務めた川口洋氏に話を聞いた。

インフラ企業なのに、そのレベルでいいのか

――NAVERとの資本関係の見直しにまで言及した総務省の要請が注目を集めました。指導内容をどう見ましたか。

一般的に、サイバー攻撃の被害はあちこちで起きている。ただ、LINEヤフーは日本国内でヤフーとLINEそれぞれで1億近いアカウントを持つ。もはや日本のインフラと言える企業なのに「そのレベルでいいのか」「その程度のセキュリティ対策で、電気通信事業者として大丈夫か」という総務省の思いが現れている。

今回の委託先は資本関係があるNAVERの子会社だったため、甘くなったところがなかったか。(外部委託が増える中で)委託先を管理する重要性が叫ばれている今、パワーバランスが適切だったか検証が必要だ。管理できていない要因が資本関係によるものなら、見直すべきというメッセージだろう。

――旧LINEは3年前にも、システム管理のあり方に関連して総務省から行政指導を受けています。

前回の問題とはちょっと色合いが違う。