なぜLINE利用者の個人情報が漏洩したのか

コトの概要をあらためて整理してみる。

今回のLINEヤフーの個人情報漏洩事件は、2023年11月に発覚した。

LINEヤフーは、直前の10月1日に国内SNS最大手のLINEと国内IT最大手のヤフーが親会社のZホールディングス(ZHD)と合併したばかりだった。

発足早々、ネイバー子会社の委託先が受けたサイバー攻撃で、ネイバー子会社とシステムを共有するLINEの社内システムが不正アクセスを受け、利用者や従業員の情報など約52万件が流出。そのうち、メッセージ内容に関する識別子や通話日時など電気通信事業法が定める「通信の秘密」に該当する情報は、2万件以上に及んだ。(参考:本サイト2023年12月18日付「なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する『日本×韓国企業』のガバナンス危機」)

こうした事態を受けて、総務省は3月5日、ネイバー子会社のシステムと旧LINEの社内システムがつながっていたことが不正アクセスを許す要因になったと認定。個人情報漏洩事件が二度と起きないよう、資本関係の見直しも含めて、速やかに対策を取るよう行政指導を行った。

韓国IT大手に経営も、技術も依存している

LINEヤフーの筆頭株主(64%保有)は中間持ち株会社Aホールディングスで、ソフトバンクとネイバーが50%ずつ出資している。資本は折半ながら、会社法上の親会社はソフトバンクで、ネイバーは大株主という関係になる。

LINEヤフーは、主要なシステムの開発や運用をネイバーに業務委託しているので、本来、委託先のネイバー関連会社の業務を監督する立場にある。しかし、ネイバーに実質的に経営を支配されているうえに技術面でも大きく依存していたため、ネイバーに強く物を申すことができず、以前から安全管理がおろそかになっていた可能性が指摘されていた。「自分の人事権を握っている人を十分に監督できるのか」というわけだ。

個人情報の保護が徹底されなければ、LINEというサービスを安心して利用できるはずもない。今や「日の丸SNS」として広く認知されているだけに、なおさらだ。

「LINEヤフーは事態を甘く見過ぎている」

LINEヤフーは4月1日、再発防止策の取り組み状況を報告した。

ところが、ネイバーとのシステムの完全分離はずっと先の26年末という内容で、しかも、もっとも重視していた資本関係の見直しについては大株主のネイバーとソフトバンクに要請しただけにとどまり、事実上のゼロ回答だった。

松本総務相は「完全分離が2年以上先であり、セキュリティーガバナンスの見直しの具体策が示されていないなどの点が不十分だった」と怒りを露わにした。

【図表】LINEヤフー社による総務省への報告(4月1日付)の概要
出典=総基用第 59号(令和6年4月16日付)「通信の秘密の保護及びサイバーセキュリティの確保の徹底に向けた措置について(指導)