LINEヤフー、情報管理で繰り返される不祥事、専門家が指摘する問題点は何か

SNS「LINE」のユーザー情報流出(2023年9～10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩)をめぐり、3月に総務省から行政指導を受けたLINEヤフー。一部システムを共通化し、運用などを委託していた韓国のIT大手、NAVERの子会社が不正アクセスを受けたことが発端だった。
実質的な親会社であるNAVERとの資本関係見直しにまで踏み込んだ総務省の指導を受け、LINEヤフーは4月1日に再発防止策を提出した。2026年末までにグループ全体でシステムの認証基盤をNAVERと分離するほか、同社への業務委託も終了・縮小を進める。資本関係については「関係各社に見直しを要請」しているという。

旧LINEは、ヤフーを傘下に持つZホールディングス(HD、現・LINEヤフー)と経営統合した直後の2021年にも、情報管理の不備に関連して総務省から行政指導を受けている。国内最大級のITプラットフォーマーが、国から再び厳しい叱責を受けるに至った背景に、どんな問題があったのか。
セキュリティの専門家であり、旧LINEでの不祥事を受けてZHDが設置した特別委員会の技術検証部会で座長を務めた川口洋氏に話を聞いた。

■インフラ企業なのに、そのレベルでいいのか

　――NAVERとの資本関係の見直しにまで言及した総務省の要請が注目を集めました。指導内容をどう見ましたか。

　一般的に、サイバー攻撃の被害はあちこちで起きている。ただ、LINEヤフーは日本国内でヤフーとLINEそれぞれで1億近いアカウントを持つ。もはや日本のインフラと言える企業なのに「そのレベルでいいのか」「その程度のセキュリティ対策で、電気通信事業者として大丈夫か」という総務省の思いが現れている。

　今回の委託先は資本関係があるNAVERの子会社だったため、甘くなったところがなかったか。(外部委託が増える中で)委託先を管理する重要性が叫ばれている今、パワーバランスが適切だったか検証が必要だ。管理できていない要因が資本関係によるものなら、見直すべきというメッセージだろう。

　――旧LINEは3年前にも、システム管理のあり方に関連して総務省から行政指導を受けています。

　前回の問題とはちょっと色合いが違う。

　3年前はデータがどこにあるかが争点だった。「日本国内にあると言いながら韓国にも置いていたじゃないか」などと、対外的な説明の矛盾とデータの管理体制のあり方が問われた。前回も、資本関係がある会社にインフラを依存していた点では共通している(編集注・旧LINEは当時、韓国にある子会社に海外子会社の管理などを任せていた)。

　前回は情報が盗まれたわけではないが、今回は外部から不正アクセスがあり、情報を盗まれた。よりユーザーにとっては深刻な問題だ。

　――3年前には、総務省から社内システムへのアクセス管理の徹底などを求められ、川口さんが委員を務めた特別委員会からもデータガバナンス体制を構築するよう提言を受けています。再び問題を起こした理由は、危機感が欠如していたからでしょうか。

　当時、危機感はあったと思う。相当な回数の会議を開いて議論をしたし、調整役だったZHDの事務局も、調査を行う旧LINE側も大変だったはず。

　ただ、1つ上げるならば、全従業員に対して実施した、組織風土などに関するアンケートの回収率が32％と低かった。委員からは「会社を揺るがす事件が起きているのに、3割はありえない」という声も出ていた。

　LINEは新しいビジネスをどんどんつくって盛り上げていく、企画推進力の強い会社だと思う。ヤフーも以前、ID流出事件を起こしていて、その頃のコーポレートメッセージは“爆速”だった。グローバルで競争していく上でスピード感は大事だが、バランスのとり方は難しい問題だ。

■なぜ仕組みを「導入しない」判断をしたのか

　――今回の情報流出はどんな手立てなら防げたのでしょうか。

　総務省が指摘しているのは「不十分な技術的安全管理措置」。会社の重要なシステムのログインに当たり、多要素認証などが求められていなかった、不正を検知するための適切な仕組みも導入されていなかったとある。

　なぜ入れていないのか。こうした仕組みの必要性は5年、10年も前から言われていることだ。「このシステムには仕組みは適用しなくていい」という何らかの意思決定があったはず。金銭的、もしくは技術的な制約があったのか。

　擁護しても仕方がないが、セキュリティ対策は直接的な売り上げを生むものではない。LINEヤフーは2021年に経営統合している。投資家からシナジー創出を求められる中、「システム基盤の更新に3年かけて何百億円使います」などと話して、理解を得る難しさがあったのかもしれない。

　――収益に直結しなくても、セキュリティ対策を放置していたら会社の信頼や売り上げに大打撃を与える事態を引き起こしかねません。

　セキュリティの担当者や、危険な事案のにおいを嗅ぎ分けられる人がいても、「この対策が必要だ」と社内で押し通せる政治力はまた別だ。経営陣が全体を理解しているか、剛腕で仕切れるCTO(最高技術責任者)のような人がいなければ、優先順位は上がりづらい。

　同じIT大手でも、楽天グループは(セキュリティ対策と成長の両立が)できている。おそらく経営レベルで、セキュリティ対策のあり方にそうとう議論の時間を割いているのではないか。楽天は有価証券報告書で、情報セキュリティの確保を経営上の最重要課題の1つに位置づけ、情報セキュリティ＆プライバシー委員会を毎月開催していると記載している。

　仮に楽天がサービスを1週間止めたら、従来のポジションを取り戻すのにかなりの営業コストがかかるわけで、そうした危機意識が会社全体で共有されているのだろう。

■理想は平時から「外の目」があること

　――クラウドなどの利用も広まる中、情報システム、セキュリティへの対応の強化はITプラットフォーマーに限らず、官民共通の課題です。

　今の多くの会社は、自社でエンジニアを抱えず、IT会社にシステムの構築から運用まで任せている。発注側はほぼ中身をわかっていないと思う。

　正論を言えば「ITベンダーに丸投げし、自分の事業なのに何も把握してないのはどうなのか」と強く訴えたい。情報システムがほぼ組織の根幹を成している今、自分たちのコントロールできないところで、心臓を握られているということですから。

　でも多くの事業者は「事故が起きるまでそれでいい」と思っている。委託先が事件を起こしたら委託先のせいにするかもしれないが、自分たちの事業の問題である以上、経営陣が責任をとるべきだ。

　そして、外の目は非常に重要。「社長、経営のリソース配分を間違えていますよ」なんて社員は言えない。中の目だけでは問題を列挙できないし、社外取締役も情報システムの知見がある人がどこまでいるかわからない。

　LINEヤフーでも、AI倫理などに関する有識者会議がある。理想は平時から同様の有識者組織を持つこと。それが難しくても、事故が起きた際には、第三者の目で経営から技術的な問題まで継続した検証を行うべきだ。