不正アクセスによる個人情報流出問題で再発防止策を発表 ーLINEヤフー
2024/02/20 情報セキュリティ, 不正競争防止法, 個人情報保護法, IT
はじめに
利用者9600万人に上る通信アプリ「LINE」。その「LINE」を運営するLINEヤフー株式会社は、2023年11月、不正アクセスにより利用者情報など約44万件が流出した可能性があると発表していましたが、先日、新たな情報漏洩が確認され、被害件数が約51万9000件に拡大したことがわかりました。
一連の不正アクセスを受けて、LINEヤフーは2月14日、再発防止策をまとめ発表しました。
被害は51万件超に拡大
昨年11月時点で「流出した恐れがある」とされた個人情報約44万件。そのうち約30万件は利用者に関するものだったとされています。流出した情報の中には、利用者の性別、LINEスタンプの購入履歴などの他、解析により、アプリのプロフィール情報にある氏名などを第三者が閲覧できる可能性がある情報も含まれているといいます。
その一方で、口座情報、クレジットカード情報、LINE アプリにおけるトーク内容は流出していないとされています。
LINEヤフーは情報漏洩を受け、追加で綿密な調査を行なってきましたが、さらに別ルートでの不正アクセスが発覚。新たに7万9110件の情報漏えいの疑いがあることが判明しました。
具体的には、LINEヤフーに合併する前の、旧LINE社の従業員の氏名、メールアドレス、電話番号、顔写真などで、昨年10月から11月にかけて不正アクセスの可能性が分かったということです。
委託先従業員のPCウイルス感染
LINEヤフーは情報漏洩が発生した経緯について、LINEヤフーの関係会社である韓国のNAVER Cloud 社の委託先であり、LINEヤフーの委託先でもある企業の従業者が所持するパソコンがマルウェアに感染したことが契機だと発表しています。
NAVER Cloud 社とLINEヤフーの従業者情報を扱う共通の認証基盤で管理されている旧LINE 社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud 社のシステムを通じて、10月9日、LINEヤフーのシステムへ第三者による不正アクセスが行われたということです。
同月17日にLINEヤフーがシステムへの不審アクセスを検知し分析をしていたところ、27日に外部から不正アクセスを受けた可能性が高いと判明しました。
再発防止策について
LINEヤフーは、今回の不正アクセスが起きた原因として、以下の点での問題があったとして、再発防止策を順次実施していくとしています。
・委託先企業への安全管理措置
・NAVER と旧 LINE 間のシステム・ネットワークのあり方
・旧 LINE 社における従業員システムのセキュリティ
具体的には、以下のような再発防止策をまとめています。
■委託先管理の強化
・委託先のセキュリティリスク評価方法を見直すこと。
・より実効性の高いモニタリングや管理、監督方法を策定。
・LINEヤフーの外部委託先が社内ネットワークにアクセスする場合に、会社が管理するパソコンの利用や会社ネットワークに接続する時の二要素認証の徹底推進。
・NAVER Cloud 社含む本件の原因となった委託先に対し、改善策について実施状況を確認し、必要に応じた管理の強化などを要請へ。
■システム・ネットワークのリスク解消・強化(NAVER Cloud 社との認証基盤の分離含む)
・NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化
・旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離し、LINE ヤフー専用の認証基盤への移行を実施。
・NAVER 社と NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムやネットワーク分離も行う。
■従業員システムのセキュリティ強化
・従業員向けシステムへのアクセス制御と制限強化のため、二要素認証の適用を標準とする。
・データ分析システムなどの重要なシステムに対し、追加的なセキュリティ診断を実施。
コメント
東京商工リサーチが行った独自調査によると、2023年に上場企業(その子会社含む)が公表した個人情報の漏えい・紛失事故は175件と、前年比6.0%増。漏えいした個人情報は、大型事故が相次いだ影響もあり、4,090万8,718人分で前年比590.2%増と大幅な増加がみられたといいます。
そして、そのうち、半数以上は、「ウイルス感染・不正アクセス」を原因としています。特に、「ランサムウェア」が猛威をふるっているそうで、一層慎重な対策が必要です。
事業柄、個人情報を多く抱える企業ほど、ハッカーに狙われやすい傾向があるといいます。日々のウイルス対策のほか、他社に社内アクセスを許可する際の手順・対策を見直すことも重要になります。
関連コンテンツ
熊谷 直弥 弁護士(弁護士法人GVA法律事務所 パートナー/第一東京弁護士会所属)
田中 浩之
室谷 光一郎
堀ノ内 佳奈
新着情報
- 解説動画
岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分
- セミナー
登島和弘 氏(新企業法務倶楽部 代表取締役…企業法務歴33年)
- 企業法務ワークショップ講座
- 2024/05/07
- 19:00~21:00
- 弁護士
- 並木 亜沙子弁護士
- オリンピア法律事務所
- 〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号 キリックス丸の内ビル5階
- 業務効率化
- Lecheck公式資料ダウンロード
- 業務効率化
- Araxis Merge 資料請求ページ
- 弁護士
- 松本 健大弁護士
- オリンピア法律事務所
- 〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号 キリックス丸の内ビル5階
- まとめ
- 中国「データ越境移転促進・規範化規定」解説2024.4.23
- NEW
- 中国の現行法令上, 香港・マカオ・台湾を除く中国本土内(「境内」)から境外への個人情報等の移転...
- 解説動画
大東 泰雄弁護士
- 【無料】優越的地位の濫用・下請法の最新トピック一挙解説 ~コスト上昇下での価格交渉・インボイス制度対応の留意点~
- 終了
- 視聴時間1時間
- ニュース
- 全国初、東京都がカスハラ防止条例制定を検討2024.4.23
- NEW
- 「カスタマーハラスメント」いわゆるカスハラを防ぐため、東京都は全国初の防止条例の制定を検討して...
