不正アクセスによる個人情報流出問題で再発防止策を発表 ーLINEヤフー
2024/02/20 情報セキュリティ, 不正競争防止法, 個人情報保護法, IT
はじめに
利用者9600万人に上る通信アプリ「LINE」。その「LINE」を運営するLINEヤフー株式会社は、2023年11月、不正アクセスにより利用者情報など約44万件が流出した可能性があると発表していましたが、先日、新たな情報漏洩が確認され、被害件数が約51万9000件に拡大したことがわかりました。
一連の不正アクセスを受けて、LINEヤフーは2月14日、再発防止策をまとめ発表しました。
被害は51万件超に拡大
昨年11月時点で「流出した恐れがある」とされた個人情報約44万件。そのうち約30万件は利用者に関するものだったとされています。流出した情報の中には、利用者の性別、LINEスタンプの購入履歴などの他、解析により、アプリのプロフィール情報にある氏名などを第三者が閲覧できる可能性がある情報も含まれているといいます。
その一方で、口座情報、クレジットカード情報、LINE アプリにおけるトーク内容は流出していないとされています。
LINEヤフーは情報漏洩を受け、追加で綿密な調査を行なってきましたが、さらに別ルートでの不正アクセスが発覚。新たに7万9110件の情報漏えいの疑いがあることが判明しました。
具体的には、LINEヤフーに合併する前の、旧LINE社の従業員の氏名、メールアドレス、電話番号、顔写真などで、昨年10月から11月にかけて不正アクセスの可能性が分かったということです。
委託先従業員のPCウイルス感染
LINEヤフーは情報漏洩が発生した経緯について、LINEヤフーの関係会社である韓国のNAVER Cloud 社の委託先であり、LINEヤフーの委託先でもある企業の従業者が所持するパソコンがマルウェアに感染したことが契機だと発表しています。
NAVER Cloud 社とLINEヤフーの従業者情報を扱う共通の認証基盤で管理されている旧LINE 社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud 社のシステムを通じて、10月9日、LINEヤフーのシステムへ第三者による不正アクセスが行われたということです。
同月17日にLINEヤフーがシステムへの不審アクセスを検知し分析をしていたところ、27日に外部から不正アクセスを受けた可能性が高いと判明しました。
再発防止策について
LINEヤフーは、今回の不正アクセスが起きた原因として、以下の点での問題があったとして、再発防止策を順次実施していくとしています。
・委託先企業への安全管理措置
・NAVER と旧 LINE 間のシステム・ネットワークのあり方
・旧 LINE 社における従業員システムのセキュリティ
具体的には、以下のような再発防止策をまとめています。
■委託先管理の強化
・委託先のセキュリティリスク評価方法を見直すこと。
・より実効性の高いモニタリングや管理、監督方法を策定。
・LINEヤフーの外部委託先が社内ネットワークにアクセスする場合に、会社が管理するパソコンの利用や会社ネットワークに接続する時の二要素認証の徹底推進。
・NAVER Cloud 社含む本件の原因となった委託先に対し、改善策について実施状況を確認し、必要に応じた管理の強化などを要請へ。
■システム・ネットワークのリスク解消・強化(NAVER Cloud 社との認証基盤の分離含む)
・NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化
・旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離し、LINE ヤフー専用の認証基盤への移行を実施。
・NAVER 社と NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムやネットワーク分離も行う。
■従業員システムのセキュリティ強化
・従業員向けシステムへのアクセス制御と制限強化のため、二要素認証の適用を標準とする。
・データ分析システムなどの重要なシステムに対し、追加的なセキュリティ診断を実施。
コメント
東京商工リサーチが行った独自調査によると、2023年に上場企業(その子会社含む)が公表した個人情報の漏えい・紛失事故は175件と、前年比6.0%増。漏えいした個人情報は、大型事故が相次いだ影響もあり、4,090万8,718人分で前年比590.2%増と大幅な増加がみられたといいます。
そして、そのうち、半数以上は、「ウイルス感染・不正アクセス」を原因としています。特に、「ランサムウェア」が猛威をふるっているそうで、一層慎重な対策が必要です。
事業柄、個人情報を多く抱える企業ほど、ハッカーに狙われやすい傾向があるといいます。日々のウイルス対策のほか、他社に社内アクセスを許可する際の手順・対策を見直すことも重要になります。
阿久津 透 弁護士(弁護士法人GVA法律事務所/東京弁護士会所属)
岡 伸夫
新着情報
- 弁護士
- 福丸 智温弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- セミナー
石黒 浩 氏(大阪大学 基礎工学研究科 システム創成専攻 教授 (栄誉教授))
安野 たかひろ 氏(AIエンジニア・起業家・SF作家)
稲葉 譲 氏(稲葉総合法律事務所 代表パートナー)
藤原 総一郎 氏(長島・大野・常松法律事務所 マネージング・パートナー)
上野 元 氏(西村あさひ法律事務所・外国法共同事業 パートナー)
三浦 亮太 氏(三浦法律事務所 法人パートナー)
板谷 隆平 弁護士(MNTSQ株式会社 代表取締役/ 長島・大野・常松法律事務所 弁護士)
山口 憲和 氏(三菱電機株式会社 上席執行役員 法務・リスクマネジメント統括部長)
塚本 洋樹 氏(株式会社クボタ 法務部長)
- 【12/6まで配信中】MNTSQ Meeting 2024 新時代の法務力 ~社会変化とこれからの事業貢献とは~
- 終了
- 2024/12/06
- 23:59~23:59
- 業務効率化
- ContractS CLM公式資料ダウンロード
- 解説動画
江嵜 宗利弁護士
- 【無料】新たなステージに入ったNFTビジネス ~Web3.0の最新動向と法的論点の解説~
- 終了
- 視聴時間1時間15分
- まとめ
- 中国「データ越境移転促進・規範化規定」解説2024.4.23
- 中国の現行法令上, 香港・マカオ・台湾を除く中国本土内(「境内」)から境外への個人情報等の移転...
- 業務効率化
- LAWGUE公式資料ダウンロード
- ニュース
- 青森市内の2社を書類送検、労災隠しとは2025.1.9
- NEW
- 青森労働基準監督署は7日、従業員が労災で休業したにもかかわらず報告していなかったとして、青森...
- 解説動画
奥村友宏 氏(LegalOn Technologies 執行役員、法務開発責任者、弁護士)
登島和弘 氏(新企業法務倶楽部 代表取締役…企業法務歴33年)
潮崎明憲 氏(株式会社パソナ 法務専門キャリアアドバイザー)
- [アーカイブ]”法務キャリア”の明暗を分ける!5年後に向けて必要なスキル・マインド・経験
- 終了
- 視聴時間1時間27分
- 弁護士
- 平田 堅大弁護士
- 弁護士法人かなめ 福岡事務所
- 〒812-0027
福岡県福岡市博多区下川端町10−5 博多麹屋番ビル 401号
