LINEヤフーが情報管理｢不祥事｣を繰り返す真因 専門家が警鐘｢セキュリティ対策は経営問題だ｣

前回は情報が盗まれたわけではないが、今回は外部から不正アクセスがあり、情報を盗まれた。よりユーザーにとっては深刻な問題だ。

――3年前には、総務省から社内システムへのアクセス管理の徹底などを求められ、川口さんが委員を務めた特別委員会からもデータガバナンス体制を構築するよう提言を受けています。再び問題を起こした理由は、危機感が欠如していたからでしょうか。

当時、危機感はあったと思う。相当な回数の会議を開いて議論をしたし、調整役だったZHDの事務局も、調査を行う旧LINE側も大変だったはず。

ただ、1つ上げるならば、全従業員に対して実施した、組織風土などに関するアンケートの回収率が32％と低かった。委員からは「会社を揺るがす事件が起きているのに、3割はありえない」という声も出ていた。

LINEは新しいビジネスをどんどんつくって盛り上げていく、企画推進力の強い会社だと思う。ヤフーも以前、ID流出事件を起こしていて、その頃のコーポレートメッセージは“爆速”だった。グローバルで競争していく上でスピード感は大事だが、バランスのとり方は難しい問題だ。

なぜ仕組みを「導入しない」判断をしたのか

――今回の情報流出はどんな手立てなら防げたのでしょうか。

総務省が指摘しているのは「不十分な技術的安全管理措置」。会社の重要なシステムのログインに当たり、多要素認証などが求められていなかった、不正を検知するための適切な仕組みも導入されていなかったとある。

なぜ入れていないのか。こうした仕組みの必要性は5年、10年も前から言われていることだ。「このシステムには仕組みは適用しなくていい」という何らかの意思決定があったはず。金銭的、もしくは技術的な制約があったのか。

擁護しても仕方がないが、セキュリティ対策は直接的な売り上げを生むものではない。LINEヤフーは2021年に経営統合している。投資家からシナジー創出を求められる中、「システム基盤の更新に3年かけて何百億円使います」などと話して、理解を得る難しさがあったのかもしれない。

――収益に直結しなくても、セキュリティ対策を放置していたら会社の信頼や売り上げに大打撃を与える事態を引き起こしかねません。

セキュリティの担当者や、危険な事案のにおいを嗅ぎ分けられる人がいても、「この対策が必要だ」と社内で押し通せる政治力はまた別だ。経営陣が全体を理解しているか、剛腕で仕切れるCTO（最高技術責任者）のような人がいなければ、優先順位は上がりづらい。