総務省が楽天モバイルに「行政指導」 eSIMの不正契約につながった情報漏えい事案について

[井上翔，ITmedia]

　総務省は8月19日、楽天モバイルに対して行政指導を行った。同社で発生した情報漏えい事案について報告が遅れたことなどに伴う指導で、同社に対して法令順守／リスク管理体制の構築を徹底することや再発防止策を講じると共に、講じた対策に関する報告を行うように求めている。

行政指導の文章は、総務省の湯本博信総合通通信基盤局長が矢澤俊介社長に対して行うという形態となっている

指導の概要

　今回の行政指導は、2023年11月〜2025年2月にかけて発生した不正契約事案と関連している。

• →楽天モバイルのスマホが乗っ取られる事案　同社が回線停止や楽天ID／パスワード変更などを呼びかけ
• →楽天モバイルで「身に覚えのないeSIM再発行」の危険性　緩すぎる2つのプロセスは改善すべき
• →楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき

　本事案について、楽天モバイルは7月15日付で総務省に報告書を提出している。報告書によると、不正契約事案のあった期間中に、犯行グループが少なくとも7002回線（4609人）分のIDとパスワードを不正入手していたという。

　このIDとパスワードを使うと契約者向けWebサイト「my楽天モバイル」にログインできる。my楽天モバイルでは、契約者の通信の秘密にまつわる情報（通話先電話番号／SMS送受信先／通信時間など）を閲覧できる。つまり、今回の事案は電気通信事業法第4条で定義されている「通信の秘密の漏えい」にも該当する。

　電気通信事業法第28条では、電気通信事業者に対して通信の秘密の漏えいが確認された場合に“遅滞なく”総務大臣に報告する義務を課している。しかし、楽天モバイルは2月27日時点で事態を把握していたにも関わらず、総務省への第1報が6月17日だった。4カ月弱経過してからの報告は、明らかに“遅滞なく”とはいえない。

　総務省は今回、「通信の秘密の漏えい」と「報告の遅滞」について電気通信事業法違反と認定し、楽天モバイルに対して以下の対応を求めている。

• 漏えい報告書記載（遅延）の再発防止策の策定
  • 「通信の秘密の漏えい」の確認ステップを用意するように強く要求
• コンプライアンス・リスク管理体制の全般的（抜本的な）な見直し
  • 社内規定とマニュアルの整備
  • インシデントの分類手法と対応フローの全体的な見直し
  • インシデントの性質に合わせた経営層への報告体制の体制構築
• 今後の施策や取組状況などの報告
  • 取り組む施策について、10月31日までに書面報告
  • 決めた施策について、取り組み／実施状況を2026年1月30日まで書面で報告
    • 以後、少なくとも1年間は四半期ごとに報告