LINEヤフーが第三者による不正アクセスを受け、ユーザーや取引先、従業員などを含めたおよそ40万件の個人情報が流出した可能性があることを明らかにした。
LINEヤフーはこれまでにも、個人情報保護に関する問題を何度か起こしている。総務大臣を務める鈴木淳司氏が「大変遺憾」と話すなど行政からも不信感を募らせているが、問題が相次ぐ背景は同社が経営統合で抱えた複雑な事情にありそうだ。
LINEヤフーが個人情報の漏洩を明らかにしたのは、11月27日のこと。同社の発表によると、その発端は10月9日、LINEヤフーと、韓国のIT大手であるNAVERの傘下にあるNAVER Cloudの委託先である企業の従業者が所持するPCがマルウェアに感染したことを機としているようだ。
そして、LINEヤフーの前身の1つである旧LINEは、元々NAVERの子会社だった。そのため、旧LINE側の社内システムはNAVER Cloudと共通の認証基盤で従業員情報を管理していたようだ。マルウェアに感染した従業者のPCでNAVER Cloudのシステムを経由することで、LINEにも不正アクセスが実施されたという。
その後、10月17日にLINEヤフーのセキュリティ部門が不審なアクセスを検知。10月27日に外部からの不正アクセスによる蓋然性が高いと判断され、今回その対象者と影響を告知するに至ったようだ。
同社の発表によると、一連の不正アクセスで情報が漏洩した可能性があることが確認できたのは30万2569件のユーザーに関する情報(うち日本のユーザーは12万9894件)と、8万6105件の取引先等に関する情報、5万1353件の従業者(LINEヤフー及びNAVERとそれらのグループ会社)に関する情報となっている。
いずれも個人情報が流出した可能性があるとされており、取引先はメールアドレスや従業者の氏名など、従業者に関しては氏名や社員番号、メールアドレスなども流出した可能性があるようだ。
これらはあくまで流出した可能性がある人の数で、必ずしも全員の情報が流出したとは限らない。流出による二次被害の影響も現在は判明しておらず、LINEヤフー側は影響があったユーザーや取引先などに個別に連絡して二次被害への対処を進めていくとしている。
また、既にアクセス遮断などの措置を実施しているほか、今後旧LINEの社内システムをNAVER Cloudの基盤と分離することなどで再発を防止する策も取るとしている。
とはいうものの、40万以上の顧客情報を流出させた可能性があるという規模の大きさに加え、LINEヤフーには“前科”もあるため、一連の問題は連日マスメディアでも非常に大きな問題として取り沙汰されている。
“前科”の1つは2023年、LINEヤフーの前身の1つである旧ヤフーが検索エンジンの技術開発・検証のため、NAVERに対して5月18日から7月26日までの検索関連データを提供していたこと。
この検索情報には慎重な取り扱いが求められる位置情報などが含まれており、それを利用者に十分周知しないまま提供したことが行政から問題視された。両社は8月30日、総務省から行政指導を受けている。
そしてもう1つは、旧LINEと旧Zホールディングスが統合した直後の2021年3月、LINE利用者の個人情報の一部が中国から閲覧できる状態にあったことが報道で指摘されたこと。これは当時、LINEのモニタリング業務の一部を中国にある子会社で実施していたことに起因している。
中国には、政府の要請に企業が従わなければならない「国家情報法」が存在する。一部とはいえ中国で個人のトークのやり取りを管理していたことが、中国政府の判断によって情報流出につながる可能性があるとされ、問題視された訳だ。
だが、旧LINEはそれだけでなく、当時「LINE Pay」「LINEドクター」などの一部情報を韓国で保管しており、そのことをサービス上に明記していなかったことも問題視されていた。日本のユーザーのセンシティブな情報を海外で管理することに対する旧LINEの認識の甘さが批判を集め、旧Zホールディングスは統合直後からガバナンスの見直しを求められるに至っている。
個人情報に関する大きな問題を繰り返しているだけに、今回のLINEヤフーによる情報流出には「またか」という声を挙げる人も多い。一連の問題を受けてLINEヤフー側も個人情報の管理体制の厳格化を進めているはずなのだが、それでも問題を繰り返してしまう背景はどこにあるのだろうか。
そこに影響しているのは、旧LINEと親会社のNAVERの存在だ。先にも触れたが旧LINEは韓国企業であるNAVERの子会社であり、旧Zホールディングスと旧ヤフーと合併した現在も、NAVERがLINEヤフーの親会社の1つとなっている。
LINEヤフーはソフトバンクの子会社と認識している人も多いかもしれないが、LINEヤフーの筆頭株主であるAホールディングスはソフトバンクとNAVERが50%ずつ出資しており、2社がLINEヤフーの親会社となっているのだ。
つまり、ソフトバンクとNAVERはLINEヤフーに対して同じ影響力を持っている訳だが、一連の個人情報に関する問題を見ていくと、その多くが親会社であるNAVER側のリソースの影響を受けていることが分かる。
今回の情報漏えいに関しては、旧LINEの社内システムがNAVER Cloudと基盤を共有していたことが影響しているし、旧ヤフーの検索エンジンに関する問題も、NAVERの検索エンジンの採用に向けた検証の一環で起きたものと見られている。また、2021年のLINEの個人情報取り扱いに関する問題も、一部はやはり旧LINEがNAVERの基盤を積極的に活用してLINEの基盤を構築していたことが大きく影響している。
LINEヤフーが事業を拡大する上で、親会社のNAVERが持つ技術や基盤を用いることは大きなメリットだが、NAVERは海外企業なのでそのリソースを活用するには国をまたぐ必要がある。LINEヤフーは経営統合後の事業が低迷しているだけに、事業の成長に重きを置いてNAVERの基盤を積極活用しているものと考えられるが、その一方で海外企業であることの認識が薄く、国をまたいでセンシティブな情報を管理することへの配慮が失われていることが問題を繰り返す要因となっているのではないだろうか。
今回の問題によって、LINEヤフーは社債の発行を中止したと報じられており、事業への直接的な影響を受けているようだ。しかしより深刻なのは、問題を繰り返すことで消費者だけでなく、行政からの信頼も大きく落としていることだ。
実際に総務大臣の鈴木淳司氏は、11月28日の記者会見でこの問題に対して「国民生活の重要なインフラとなっております通信サービスにおいて、再度、利用者情報の保護が十分に図られていない事案が発生したことは大変遺憾であります」と言及している。
LINEヤフーは経営統合を打ち出した当初、LINEの基盤を活用した行政サービスの開拓に力を注ぐ姿勢を見せていたが、現状のままではその前提となる行政からの信頼を得ることはできない。ただ、NAVERとしても海外事業の大きな拠点となっているLINEヤフーを手放す理由はなく、親会社の1つであり続ける方針は変わらないだろう。それだけにLINEヤフーの信頼回復に向けてはある意味、NAVERとどのような距離を取って事業展開していくかが大きく問われることとなりそうだ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?