総務省が楽天モバイルに行政指導 「Rakuten Link」にまつわる個人情報と通信の秘密の漏えいで：総計16人の情報が漏えい

[井上翔，ITmedia]

　総務省は3月10日、楽天モバイルに対して文章による指導を行った。同社が提供する「Rakuten Link」アプリにおいて、個人情報や通信の秘密の漏えい事案が発覚したことに伴う措置となる。

Rakuten Link

指導につながった事案の概要

　総務省によると、Rakuten Linkにおいて2020年10月と同年11月に別の事案が発生したという。それを受けて楽天モバイルは原因究明と再発防止策を検討し、2021年2月16日付で同省に最終報告書を提出した。各事案の概要は以下の通りだ。

2020年10月の事案

　2020年10月の事案では、楽天モバイル回線を解約したユーザーがRakuten Linkにおいて登録していた情報を、同じ電話番号を割り当てられた別の契約者が閲覧できる状態にあったという。閲覧できた情報は解約したユーザーの登録名（ハンドルネーム）、プロファイル画像と連絡先情報の3つで、個人情報の漏えいに相当する。

　解約された電話番号は、キャリアの判断によって再利用される。「間違い電話」などを防止する観点から、通常は数カ月から数年ほど置いてから再利用するケースが多い。

2020年11月の事案

　2020年11月の事案では、Rakuten Linkの機能拡充に伴うシステム（サーバ）の再起動を行った際に、その最中にRakuten Linkアプリの利用を開始したユーザーが別のユーザーの情報を閲覧できる状態にあったという。閲覧できた情報は、発着信履歴、登録名（ハンドルネーム）、プロファイル画像、電話帳、チャット履歴の5つで、個人情報に加えて通信の秘密も漏えいしている。

指導の内容

　先述の通り、これら2つの事案では個人情報と通信の秘密の漏えいが発生している。個人情報の漏えいは、個人情報保護法第20条と電気通信事業における個人情報保護に関するガイドライン第11条に定める「安全管理措置」に違反する行為だ。一方、通信の秘密の漏えいは、電気通信事業法第4条第1項に定める「秘密の保護」に違反する行為となる。

　総務省は、楽天モバイルが安全管理措置と秘密の保護を怠った事実を認定して、以下の事項を抜本的に見直した上で再発防止に努めるように文章で指導した。

• 体制、業務管理、安全管理対策の在り方
• 業務委託先の監督の在り方
• 業務委託先を含む従業員などに対する研修の在り方

総務省の発表

総務省の公表後に楽天モバイルが発表

　総務省が行政指導を行った旨を発表した後、楽天モバイルが今回の事象についてニュースリリースを掲載した。

　2020年10月の事案は同年10月5日に発生を認識し、個人情報の漏えいが確認されたのは1人。システム不具合により、解約に伴う個人情報の削除が完全には行われず、一部のデータが残ってしまったことが原因だという。

　2020年11月の事案は同年11月13日に発生を認識し、個人情報の漏えいが確認されたのは15人。システムメンテナンス中に、その不具合によって別のユーザーのIDが割り当てられたのが原因だったという。

楽天モバイルのニュースリリース