不正アクセスによる個人情報流出問題で再発防止策を発表 ーLINEヤフー
2024/02/20 情報セキュリティ, 不正競争防止法, 個人情報保護法, IT
はじめに
利用者9600万人に上る通信アプリ「LINE」。その「LINE」を運営するLINEヤフー株式会社は、2023年11月、不正アクセスにより利用者情報など約44万件が流出した可能性があると発表していましたが、先日、新たな情報漏洩が確認され、被害件数が約51万9000件に拡大したことがわかりました。
一連の不正アクセスを受けて、LINEヤフーは2月14日、再発防止策をまとめ発表しました。
被害は51万件超に拡大
昨年11月時点で「流出した恐れがある」とされた個人情報約44万件。そのうち約30万件は利用者に関するものだったとされています。流出した情報の中には、利用者の性別、LINEスタンプの購入履歴などの他、解析により、アプリのプロフィール情報にある氏名などを第三者が閲覧できる可能性がある情報も含まれているといいます。
その一方で、口座情報、クレジットカード情報、LINE アプリにおけるトーク内容は流出していないとされています。
LINEヤフーは情報漏洩を受け、追加で綿密な調査を行なってきましたが、さらに別ルートでの不正アクセスが発覚。新たに7万9110件の情報漏えいの疑いがあることが判明しました。
具体的には、LINEヤフーに合併する前の、旧LINE社の従業員の氏名、メールアドレス、電話番号、顔写真などで、昨年10月から11月にかけて不正アクセスの可能性が分かったということです。
委託先従業員のPCウイルス感染
LINEヤフーは情報漏洩が発生した経緯について、LINEヤフーの関係会社である韓国のNAVER Cloud 社の委託先であり、LINEヤフーの委託先でもある企業の従業者が所持するパソコンがマルウェアに感染したことが契機だと発表しています。
NAVER Cloud 社とLINEヤフーの従業者情報を扱う共通の認証基盤で管理されている旧LINE 社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud 社のシステムを通じて、10月9日、LINEヤフーのシステムへ第三者による不正アクセスが行われたということです。
同月17日にLINEヤフーがシステムへの不審アクセスを検知し分析をしていたところ、27日に外部から不正アクセスを受けた可能性が高いと判明しました。
再発防止策について
LINEヤフーは、今回の不正アクセスが起きた原因として、以下の点での問題があったとして、再発防止策を順次実施していくとしています。
・委託先企業への安全管理措置
・NAVER と旧 LINE 間のシステム・ネットワークのあり方
・旧 LINE 社における従業員システムのセキュリティ
具体的には、以下のような再発防止策をまとめています。
■委託先管理の強化
・委託先のセキュリティリスク評価方法を見直すこと。
・より実効性の高いモニタリングや管理、監督方法を策定。
・LINEヤフーの外部委託先が社内ネットワークにアクセスする場合に、会社が管理するパソコンの利用や会社ネットワークに接続する時の二要素認証の徹底推進。
・NAVER Cloud 社含む本件の原因となった委託先に対し、改善策について実施状況を確認し、必要に応じた管理の強化などを要請へ。
■システム・ネットワークのリスク解消・強化(NAVER Cloud 社との認証基盤の分離含む)
・NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化
・旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離し、LINE ヤフー専用の認証基盤への移行を実施。
・NAVER 社と NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムやネットワーク分離も行う。
■従業員システムのセキュリティ強化
・従業員向けシステムへのアクセス制御と制限強化のため、二要素認証の適用を標準とする。
・データ分析システムなどの重要なシステムに対し、追加的なセキュリティ診断を実施。
コメント
東京商工リサーチが行った独自調査によると、2023年に上場企業(その子会社含む)が公表した個人情報の漏えい・紛失事故は175件と、前年比6.0%増。漏えいした個人情報は、大型事故が相次いだ影響もあり、4,090万8,718人分で前年比590.2%増と大幅な増加がみられたといいます。
そして、そのうち、半数以上は、「ウイルス感染・不正アクセス」を原因としています。特に、「ランサムウェア」が猛威をふるっているそうで、一層慎重な対策が必要です。
事業柄、個人情報を多く抱える企業ほど、ハッカーに狙われやすい傾向があるといいます。日々のウイルス対策のほか、他社に社内アクセスを許可する際の手順・対策を見直すことも重要になります。
田中 浩之
岡 伸夫
新着情報
- セミナー
茂木 翔 弁護士(弁護士法人GVA法律事務所/第一東京弁護士会所属)
- 【オンライン】2024年Web3重要法令改正等の確認
- 終了
- 2024/12/06
- 12:00~13:00
- ニュース
- 外国人雇用の理由「労働力不足の解消や緩和」が60%超 -厚労省2025.1.7
- NEW
- 厚生労働省が日本で働く外国人についての調査を初めて実施し、その結果を公表しました。 その中で...
- 弁護士
- 平田 堅大弁護士
- 弁護士法人かなめ 福岡事務所
- 〒812-0027
福岡県福岡市博多区下川端町10−5 博多麹屋番ビル 401号
- 解説動画
大東 泰雄弁護士
- 【無料】優越的地位の濫用・下請法の最新トピック一挙解説 ~コスト上昇下での価格交渉・インボイス制度対応の留意点~
- 終了
- 視聴時間1時間
- 解説動画
斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 終了
- 視聴時間1時間8分
- 業務効率化
- Mercator® by Citco公式資料ダウンロード
- 業務効率化
- Legaledge公式資料ダウンロード
- まとめ
- 株主総会の手続き まとめ2024.4.18
- どの企業でも毎年事業年度終了後の一定期間内に定時株主総会を招集することが求められております。...
- 弁護士
- 水守 真由弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
