流出した恐れのある約44万件のうち、約39万件は実際に流出が確認された。個人情報は約30万件で、日本分は約13万件。台湾やタイなど海外の利用者情報も相当数ある。いずれも旧LINE関連の情報で、旧ZHDと旧ヤフーの個人情報に影響は及んでいないという。
流出した情報は、利用者の国、性別、年代、通話の利用頻度、スタンプの購入履歴など20項目を超える。音声やビデオによる無料通話の日時など「通信の秘密」にあたる情報も2万2000件余りあり、高度な技術を使って解析すれば利用者個人を特定できる可能性があると説明している。ただ、メッセージ本文、銀行口座やクレジットカードなどの情報流出は確認されていないという。
ほかに、LINEヤフーの取引先のメールアドレスなど約9万件、同社従業員の氏名、社員番号、所属部署、メールアドレスなど約5万件が漏れた。
システムへのアクセス管理があまりにずさんだったと言わねばならない。
発覚から1カ月以上経ってようやく公表
そもそも情報流出はあってはならない由々しき事態だが、もう一つ指摘しておきたいのは情報開示の遅れだ。
同社の説明では、不正アクセスは10月9日に始まり、17日に検知し、27日になってようやく外部からのアクセスを遮断したが、公表したのは発覚してから1カ月以上も経った後の11月27日。その間、11月7日に出沢剛社長が23年9月中間決算の発表で記者会見に出席していたにもかかわらず、沈黙したままだった。説明通りなら、この時点で、すでに内部調査にめどをつけ、緊急対策も済ませていたことになる。
「情報漏洩の規模や範囲を確認するのに時間がかかった」というが、「事件」を周知したタイミングはあまりに遅い。
LINEヤフーの従業員の氏名やアドレスが漏出したというからには、実在の従業員を騙って利用者に接触し、銀行口座やクレジットカード情報をだまし取るような犯罪が起きても不思議ではなかった。同社は情報流出による二次被害の報告は受けていないとしているが、はたしてそう言い切れるだろうか。個人情報を悪用しようとする輩は、どこにでもいる。そもそも不正アクセス自体が、悪意のある所業なのだから。
「事件」発生から1カ月半もカヤの外だった利用者は、突然の凶報に一様にゾッとしたに違いない。LINEヤフーは、総務省や個人情報保護委員会には適宜報告していたと弁明するが、利用者にこそ途中経過を含めて一刻も早く情報提供すべきだった。
情報管理の甘さもさることながら、情報開示に対する鈍感さは、利用者をないがしろにしていると言わねばならない。