総務省は3月7日、LINEヤフーに対し、行政指導を発出した。不正アクセスによる通信の秘密の漏洩事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう命じた。
同事案は、2023年に、同社及び同社のITインフラの運用を行う業務委託先であるNAVER Cloudが、メンテナンス業務の委託先企業でマルウェア感染が発生し、NAVER Cloudの社内システムにも侵入。さらに同社とネットワーク接続のあったLINEヤフーの社内システムにも侵入し、これにより、同社の提供する「LINE」サービスに関する利用者の通信情報が外部に流出等したというもの。同社は2023年11月に総務省に報告書を提出し、さらに2024年1月30日と2月6日には報告徴収命令に対する報告書を提出していた。
今回の行政指導は、同報告書を受けたもの。同省は、LINEの前身企業(NHN Japan)がNAVER社の子会社だった当時から、ヤフーLINEに統合する前の旧LINEの環境においてはNAVER Cloudのプラットフォームが利用されてきた経緯も踏まえ、旧LINE環境とNAVER Cloud環境との間にはネットワーク接続があり、広範なネットワークアクセスが許容されていたことを課題視。その上で、LINEがサーバー、ネットワーク及び社内システムを保護するために十分な技術的安全管理措置ないしサイバーセキュリティ対策を行っていなかった点も突いた。
同時に、LINEが委託先のNAVER Cloudに対し、業務委託契約の中で定期的な評価や基準遵守に関するルールを規定しなかったことも管理監督の不備とした。さらに、LINEのシステム構成が複雑化し、NAVERに頼らざるを得ないという関係が存在しているにもかかわらず、NAVER Cloudの株式100%を保有するNAVERは、LINEヤフーの持株会社Aホールディングスの株式50%を保有しており、LINEからNAVERに対して安全管理のための的確な措置を求めることや、適切な委託先管理を実施することが困難であったという事情も影響しているものと考えられるとした。
総務省は今回、2021年4月26日にもLINEとNAVERに関する社内システム上の安全管理措置の一環としてアクセス管理の徹底等も含めて行政指導を行っていたことにも言及。さらに今回の事案でも、同省からの報告要求に対し、LINEヤフーが調査未了を理由として回答期限内に十分な回答をしなかったり、回答してもその内容に不明瞭な点が多々含まれたりするなどしていたことを受け、NAVERに強く依存していることから、委託先の監督や原因特定を速やかにできないこと自体が大きな問題と述べた。
今回の行政指導では、NAVER側のシステムや端末からLINEヤフーのネットワークや社内システムに関し、真に必要最小限度のアクセスのみを許容し、その他のアクセスを認めない仕組みを、ファイアーウォールの設置、不要ポートの閉鎖、プライベート通信の排除等を含めて構築するとともに、これに加えて、サーバー、ネットワークや社内システムの保護の万全を図るための方策を検討し、具体的な措置を講ずることを命令。NAVER Cloudの認証基盤等とLINEヤフーの認証基盤等とを速やかに技術面及び運用面で完全に分離することも求めた。業務委託先への安全管理措置等の基準を策定することも求めた。
さらに、LINEとNAVERのシステム関係の依存が強いことから、同省は、LINEヤフーの親会社である韓国法人のNAVERに対しても、セキュリティリスクを的確に把握し、リスクを踏まえた実効的な対策を実現できるガバナンス体制を構築することを求めた。LINEヤフーは、NAVERとの折衝を進める責務も負った形。
今回の事態を受け、LINEヤフーは3月6日、代表取締役3人の役員報酬一部返上を発表した。川邊健太郎代表取締役会長は基本報酬の30%を1ヶ月、出澤剛代表取締役社長CEOと慎ジュンホ代表取締役CPOは基本報酬の30%を3ヶ月返上する。
【参照ページ】LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
【参照ページ】役員報酬の一部自主返上に関するお知らせ
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
総務省は3月7日、LINEヤフーに対し、行政指導を発出した。不正アクセスによる通信の秘密の漏洩事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう命じた。
同事案は、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
総務省は3月7日、LINEヤフーに対し、行政指導を発出した。不正アクセスによる通信の秘密の漏洩事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう命じた。
同事案は、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
総務省は3月7日、LINEヤフーに対し、行政指導を発出した。不正アクセスによる通信の秘密の漏洩事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう命じた。
同事案は、2023年に、同社及び同社のITインフラの運用を行う業務委託先であるNAVER Cloudが、メンテナンス業務の委託先企業でマルウェア感染が発生し、NAVER Cloudの社内システムにも侵入。さらに同社とネットワーク接続のあったLINEヤフーの社内システムにも侵入し、これにより、同社の提供する「LINE」サービスに関する利用者の通信情報が外部に流出等したというもの。同社は2023年11月に総務省に報告書を提出し、さらに2024年1月30日と2月6日には報告徴収命令に対する報告書を提出していた。
今回の行政指導は、同報告書を受けたもの。同省は、LINEの前身企業(NHN Japan)がNAVER社の子会社だった当時から、ヤフーLINEに統合する前の旧LINEの環境においてはNAVER Cloudのプラットフォームが利用されてきた経緯も踏まえ、旧LINE環境とNAVER Cloud環境との間にはネットワーク接続があり、広範なネットワークアクセスが許容されていたことを課題視。その上で、LINEがサーバー、ネットワーク及び社内システムを保護するために十分な技術的安全管理措置ないしサイバーセキュリティ対策を行っていなかった点も突いた。
同時に、LINEが委託先のNAVER Cloudに対し、業務委託契約の中で定期的な評価や基準遵守に関するルールを規定しなかったことも管理監督の不備とした。さらに、LINEのシステム構成が複雑化し、NAVERに頼らざるを得ないという関係が存在しているにもかかわらず、NAVER Cloudの株式100%を保有するNAVERは、LINEヤフーの持株会社Aホールディングスの株式50%を保有しており、LINEからNAVERに対して安全管理のための的確な措置を求めることや、適切な委託先管理を実施することが困難であったという事情も影響しているものと考えられるとした。
総務省は今回、2021年4月26日にもLINEとNAVERに関する社内システム上の安全管理措置の一環としてアクセス管理の徹底等も含めて行政指導を行っていたことにも言及。さらに今回の事案でも、同省からの報告要求に対し、LINEヤフーが調査未了を理由として回答期限内に十分な回答をしなかったり、回答してもその内容に不明瞭な点が多々含まれたりするなどしていたことを受け、NAVERに強く依存していることから、委託先の監督や原因特定を速やかにできないこと自体が大きな問題と述べた。
今回の行政指導では、NAVER側のシステムや端末からLINEヤフーのネットワークや社内システムに関し、真に必要最小限度のアクセスのみを許容し、その他のアクセスを認めない仕組みを、ファイアーウォールの設置、不要ポートの閉鎖、プライベート通信の排除等を含めて構築するとともに、これに加えて、サーバー、ネットワークや社内システムの保護の万全を図るための方策を検討し、具体的な措置を講ずることを命令。NAVER Cloudの認証基盤等とLINEヤフーの認証基盤等とを速やかに技術面及び運用面で完全に分離することも求めた。業務委託先への安全管理措置等の基準を策定することも求めた。
さらに、LINEとNAVERのシステム関係の依存が強いことから、同省は、LINEヤフーの親会社である韓国法人のNAVERに対しても、セキュリティリスクを的確に把握し、リスクを踏まえた実効的な対策を実現できるガバナンス体制を構築することを求めた。LINEヤフーは、NAVERとの折衝を進める責務も負った形。
今回の事態を受け、LINEヤフーは3月6日、代表取締役3人の役員報酬一部返上を発表した。川邊健太郎代表取締役会長は基本報酬の30%を1ヶ月、出澤剛代表取締役社長CEOと慎ジュンホ代表取締役CPOは基本報酬の30%を3ヶ月返上する。
【参照ページ】LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
【参照ページ】役員報酬の一部自主返上に関するお知らせ
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。