総務省がLINEヤフーに「行政指導」 「通信の秘密」保護と「サイバーセキュリティ」確保を求める：NAVERとの資本関係の見直し検討も盛り込む

[井上翔，ITmedia]

　総務省は3月5日、LINEヤフー（※1）に対して行政指導を行った。同社のコミュニケーションアプリ「LINE」利用者の通信情報が不正アクセスにより外部に漏えいした事案を受けた措置で、「通信の秘密」の保護と「サイバーセキュリティ」の確保を徹底するように求めている。

（※1）旧Zホールディングス（旧ヤフー）。現社名は、同社がヤフー（旧ヤフーからYahoo! JAPAN関連事業を分割して発足した新社）を始めとする3つの子会社を吸収合併した上で、LINE（※2）からLINE関連事業を継承した際に変更したもの
（※2）Aホールディングス（旧LINE）からLINE関連事業を分割して発足した新社。なお、新社は海外子会社を除くLINE関連事業をLINEヤフーに継承した後、社名を「Z中間グローバル」に変更している。なお、旧LINEは韓国NAVERの子会社「NHN Japan」として発足している

総務省がLINEヤフーの出澤剛社長に宛てた行政指導文章

行政指導の概要

　今回の行政指導は、LINEヤフーが2023年11月27日に公表した情報漏えい事案について行われた。この事案は、同社と同社の関連会社である韓国NAVER Cloudが共通して業務委託している企業の従業員が使っているPCに、マルウェアが感染したことを契機に発生している。

• →LINEヤフーで約30万件の個人情報が流出、PCのマルウェア感染→不正アクセスが原因

　総務省では、これが電気通信事業法第4条第1項に定める「通信の秘密の漏えい」に当たると判断。その原因として大きく以下の4点を指摘した。

• システムやネットワーク構成等に係るNAVER社側への強い依存
• 不十分な技術的安全管理措置
• 業務委託先の不適切な管理監督
• セキュリティガバナンスの不備

　LINE（旧社：現Aホールディングス）は元々、韓国NAVERの日本法人「NHN Japan」として発足した。そのこともあり、サービスとしてのLINEの運営は、NAVERやそのグループ企業（NAVER Cloudなど）に依存する部分が多い。そのことが、上記4つの問題の“根元”にあることも指摘している。

　また、LINE（新社：現Z中間グローバル）は2021年3月、個人情報の取り扱いに関する問題を起こしており、翌4月に個人情報保護委員会と総務省から行政指導を受けている。

• →LINEの個人情報が海外から閲覧可能？　LINE「説明が十分ではなかった」と謝罪
• →個人情報保護委員会と総務省がLINEに行政指導　委託企業のデータ取り扱いについて

　同省では、以前と今回の行政指導を踏まえ、国民が日常利用しているサービスであるLINEにおいて、このような問題が発生することが「極めて遺憾」とした上で、通信の秘密の保護とサイバーセキュリティの確保を徹底するように厳重注意している。対応措置を講じる際は、LINEヤフーの親会社など（※3）を含むグループ全体でセキュリティガバナンスの在り方を根本的に見直し／強化するようにも求めている。

（※3）Aホールディングス（直接の親会社）、、ソフトバンク（Aホールディングスの親会社）、ソフトバンクグループジャパン（ソフトバンクの親会社）、ソフトバンクグループ（ソフトバンクの親会社）と、NAVER（Aホールディングスの関連会社）

LINEヤフーの直接の親会社はAホールディングス（旧LINE）である。このAホールディングスの株式の半分は、ソフトバンクが保有している。ソフトバンクの株式はソフトバンクグループジャパンが保有しており、ソフトバンクグループジャパンはソフトバンクグループの子会社となる。少々ややこしいが、連結会計の認識上、ソフトバンクグループ、ソフトバンクグループジャパン、ソフトバンクの3社もLINEヤフーの親会社として扱われる。なお、Aホールディングスの残り半分の株式はNAVERとNAVER J.Hub（NAVER子会社）が保有しているが、NAVER側はAホールディングス（とLINEヤフー）を「関連会社」として扱っている

　注意を受けた上で、同省はLINEヤフーに対して以下の3点を指導している。

安全管理措置及び委託先管理の抜本的な見直しと対策強化

　総務省は、今回の問題はサービス提供に当たってのNAVERグループへの依存が強すぎたことが原因と認識している。そこで、以下の措置を講じるように求めている。

• NAVER Cloudからのネットワーク分離
  • ネットワークや社内システムについて、NAVERやNAVER Cloudからのアクセスを必要最小限に抑える
  • 認証基盤について再度評価した上で、技術と運用の両面からNAVER Cloudの認証基盤と完全分離すること
  • 自社の従業員のアカウント情報のNAVER側との同期を中止すること
  • NAVER Cloudから独立してセキュリティオペレーションを行える体制を構築すること
• 安全管理措置の見直し
  • 実効的なサイバーセキュリティ対策の導入計画を策定すること
• 委託先管理の見直し
  • 通信の秘密に関わる業務を外部委託する場合、その監督方法と基準を定めて実行すること
  • 重要な設備等に関する業務委託については、（再）委託先の特定を行った上で、3月末までに安全管理措置などの各種基準の策定と、実効性を高めたモニタリング／監督方法の検討や策定を行うこと
  • 委託先からログや分析結果を取得しないと問題の有無や範囲を十分に把握できない状況を見直すこと
  • NAVER Cloudにける安全管理措置の強化について、NAVERに適宜確認し、必要に応じて対策強化を養成するなど、実効的な再発防止策を講じること

グループ全体でのセキュリティガバナンスの本質的見直し／強化

　総務省は、今回の問題はネットワーク構成に重大なリスクがあったにも関わらず、それが是正されずに発生したと見ている。

　本来、LINEヤフー（新旧LINEを含む）は、業務委託先であるNAVERやNAVER Cloudに対して監督／管理をする立場にある。しかし、資本関係で見るとNAVERはLINEヤフーを“支配”する立場であるため、LINEヤフーがNAVERやNAVER Cloudに管理の目を光らせることが困難だったのではないかとも考察している。

　そのことから、同省は親会社などを含めて、グループ全体でセキュリティガバナンスの本質的に見直して強化することを求めている。この見直しでは「（業務）委託先（≒NAVERグループ）から資本的な支配を相当程度受ける関係の見直し」 を含めたLINEヤフーの経営体制の見直しも検討するように指導している。

利用者対応の徹底

　今回の問題では、2万件以上の情報が漏えいしている（一部推計を含む）。そのことを受けて、ユーザーへの適切な情報提供と、二次被害が発生した場合の適切な支援／対応も求めている

親会社の反応

　今回の行政指導を受けて、LINEヤフーの親会社の1社であるソフトバンクは「LINEヤフーへの行政指導について」という声明を発表した。

　同社は「LINEヤフーのサービスを皆さまがより安心してご利用いただけるよう、LINEヤフーの親会社として実効的なセキュリティガバナンス確保の方策を検討していきます」としている。

ソフトバンクの声明