総務省が楽天モバイルに「行政指導」 eSIMの不正契約につながった情報漏えい事案について
総務省が、楽天モバイルに対して「通信の秘密の漏えい」と「報告の遅延」に関する行政指導を行った。本事案は、2023年11月〜2025年2月にかけて発生した不正契約事案とも関わりがある。
総務省は8月19日、楽天モバイルに対して行政指導を行った。同社で発生した情報漏えい事案について報告が遅れたことなどに伴う指導で、同社に対して法令順守/リスク管理体制の構築を徹底することや再発防止策を講じると共に、講じた対策に関する報告を行うように求めている。
指導の概要
今回の行政指導は、2023年11月〜2025年2月にかけて発生した不正契約事案と関連している。
- →楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
- →楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
- →楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
本事案について、楽天モバイルは7月15日付で総務省に報告書を提出している。報告書によると、不正契約事案のあった期間中に、犯行グループが少なくとも7002回線(4609人)分のIDとパスワードを不正入手していたという。
このIDとパスワードを使うと契約者向けWebサイト「my楽天モバイル」にログインできる。my楽天モバイルでは、契約者の通信の秘密にまつわる情報(通話先電話番号/SMS送受信先/通信時間など)を閲覧できる。つまり、今回の事案は電気通信事業法第4条で定義されている「通信の秘密の漏えい」にも該当する。
電気通信事業法第28条では、電気通信事業者に対して通信の秘密の漏えいが確認された場合に“遅滞なく”総務大臣に報告する義務を課している。しかし、楽天モバイルは2月27日時点で事態を把握していたにも関わらず、総務省への第1報が6月17日だった。4カ月弱経過してからの報告は、明らかに“遅滞なく”とはいえない。
総務省は今回、「通信の秘密の漏えい」と「報告の遅滞」について電気通信事業法違反と認定し、楽天モバイルに対して以下の対応を求めている。
- 漏えい報告書記載(遅延)の再発防止策の策定
- 「通信の秘密の漏えい」の確認ステップを用意するように強く要求
- コンプライアンス・リスク管理体制の全般的(抜本的な)な見直し
- 社内規定とマニュアルの整備
- インシデントの分類手法と対応フローの全体的な見直し
- インシデントの性質に合わせた経営層への報告体制の体制構築
- 今後の施策や取組状況などの報告
- 取り組む施策について、10月31日までに書面報告
- 決めた施策について、取り組み/実施状況を2026年1月30日まで書面で報告
- 以後、少なくとも1年間は四半期ごとに報告
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
楽天モバイルで、第三者がeSIMを再発行するというトラブルが起きた。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。同社はユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内しているが、これで本当に十分な対応といえるのだろうか。
楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
楽天モバイルは2024年4月23日から、eSIMを不正に利用される事案があったとして、利用者に注意喚起を行っている。eSIM(Embedded SIM)はネットワーク経由で契約者情報(プロファイル)を書き換えたり、プランを変更したりできるのが利点。eSIMの再発行もオンラインで行える場合が多い。
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
楽天モバイルが、eSIMにまつわる「不正乗っ取り」に関して注意喚起をしている。eSIMは総務省が乗り換え促進策として推進してきたが、簡単に“乗っ取り”できるようでは敬遠する人も出てきてしまう可能性がある。