なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する｢日本×韓国企業｣のガバナンス危機

記者会見するLINEヤフーの出沢剛社長＝2023年11月7日午後、東京都千代田区 - 写真＝時事通信フォト

■三たび情報管理の甘さを露呈した「LINEヤフー」

情報管理の不備で“前科二犯”の「LINEヤフー」が、今度は、「LINE」アプリの利用者情報など大量のデータを流出させてしまう大失態を演じた。その数は、最大で44万件超にも上るという。

しかも、「事件」の公式発表は、不正アクセスを察知してから1カ月以上も経った後。その間、国内約9600万人、海外約1億人のLINEの利用者は、個人情報が不正使用されるリスクに直面していたことを知らずに使っていたのだ。

旧LINEが2021年3月、旧ヤフーがこの8月に、それぞれ個人情報管理の甘さを露呈し、世間を騒がせたのは記憶に新しい。情報が漏れた今回の経緯をみると、情報管理に対する意識もシステムも、教訓になっていなかったと言わざるを得ない。

鈴木淳司総務相（当時）は「大変遺憾だ」と憤り原因の徹底究明と報告を求めたが、3度の不祥事とも韓国のIT大手ネイバーなど海外の企業が絡んでいるだけに経済安全保障の観点からも問題視されよう。

わが国を代表するIT企業が、まともな情報管理をできず迅速な情報開示もしない実態に、利用者の不安と不信は募るばかりで、ネット社会の安心と安全が脅かされている。

社会インフラを担うプラットフォーマーとしての強烈な自覚と万全のシステム再構築が求められる。

■不正アクセスは韓国から始まった

LINEヤフーは、SNS最大手のLINEとIT最大手のヤフーが親会社のZホールディングス（ZHD）と合併して10月1日に発足したばかり。ソフトバンクと韓国のIT大手ネイバーが大株主で、傘下にはスマホ決済最大手のPayPay、電子商取引（EC）サービス大手でファッションのZOZO、オフィス用品のアスクル、旅行の一休などを抱える。

「事件」が起きたのは、その直後だった。

同社によると、ネイバーの傘下企業の委託先の従業員のパソコンがサイバー攻撃を受けてマルウエア（悪意のあるソフトウエア）に感染、旧LINEとネイバー傘下企業の社内システムの一部を共通化していたため、LINEヤフーのサーバーも不正アクセスを受けたという。

流出した恐れのある約44万件のうち、約39万件は実際に流出が確認された。個人情報は約30万件で、日本分は約13万件。台湾やタイなど海外の利用者情報も相当数ある。いずれも旧LINE関連の情報で、旧ZHDと旧ヤフーの個人情報に影響は及んでいないという。

流出した情報は、利用者の国、性別、年代、通話の利用頻度、スタンプの購入履歴など20項目を超える。音声やビデオによる無料通話の日時など「通信の秘密」にあたる情報も2万2000件余りあり、高度な技術を使って解析すれば利用者個人を特定できる可能性があると説明している。ただ、メッセージ本文、銀行口座やクレジットカードなどの情報流出は確認されていないという。

ほかに、LINEヤフーの取引先のメールアドレスなど約9万件、同社従業員の氏名、社員番号、所属部署、メールアドレスなど約5万件が漏れた。

システムへのアクセス管理があまりにずさんだったと言わねばならない。

写真＝iStock.com／miniseries

※写真はイメージです - 写真＝iStock.com／miniseries

■発覚から1カ月以上経ってようやく公表

そもそも情報流出はあってはならない由々しき事態だが、もう一つ指摘しておきたいのは情報開示の遅れだ。

同社の説明では、不正アクセスは10月9日に始まり、17日に検知し、27日になってようやく外部からのアクセスを遮断したが、公表したのは発覚してから1カ月以上も経った後の11月27日。その間、11月7日に出沢剛社長が23年9月中間決算の発表で記者会見に出席していたにもかかわらず、沈黙したままだった。説明通りなら、この時点で、すでに内部調査にめどをつけ、緊急対策も済ませていたことになる。

「情報漏洩の規模や範囲を確認するのに時間がかかった」というが、「事件」を周知したタイミングはあまりに遅い。

LINEヤフーの従業員の氏名やアドレスが漏出したというからには、実在の従業員を騙って利用者に接触し、銀行口座やクレジットカード情報をだまし取るような犯罪が起きても不思議ではなかった。同社は情報流出による二次被害の報告は受けていないとしているが、はたしてそう言い切れるだろうか。個人情報を悪用しようとする輩は、どこにでもいる。そもそも不正アクセス自体が、悪意のある所業なのだから。

「事件」発生から1カ月半もカヤの外だった利用者は、突然の凶報に一様にゾッとしたに違いない。LINEヤフーは、総務省や個人情報保護委員会には適宜報告していたと弁明するが、利用者にこそ途中経過を含めて一刻も早く情報提供すべきだった。

情報管理の甘さもさることながら、情報開示に対する鈍感さは、利用者をないがしろにしていると言わねばならない。

■二度あることは三度ある…たび重なる情報管理の不祥事

LINEヤフーの個人情報管理をめぐる不祥事は、今に始まったことではない。

旧LINEがZHDの傘下に入ったばかりの21年3月、中国の業務委託先の従業員が旧LINEサーバー内の利用者の個人情報（氏名、電話番号など）を閲覧できる状態にあった問題が発覚した。ZHDによれば、中国の委託先からアクセス可能になっていた期間は18年8月から21年2月までで、少なくとも4人の中国人技術者が32回アクセスしていたという。中国には、政府の要請に企業が従わなければならない「国家情報法」があり、中国政府に日本人ユーザーの個人情報が筒抜けになりかねない状況にあった。

さらに、LINEの利用者間でやりとりした画像や動画データが韓国のサーバーに保管されていた実態も明らかになった。（参考：本サイト2021年5月11日付「LINEも楽天も…頻発する「中国リスク」に日本のIT企業が備えるべきこと」）

その時はサーバーを国内に移すなどの対策をとったというが、今回、再び、海外からアクセスできる環境が続いていたことになる。

旧ヤフーも問題を起こしている。ことし5月中旬から7月末にかけて、ネイバーの技術を活用した独自の検索エンジンを開発・検証するため、ネイバーに約410万件の利用者の位置情報を提供していたことが露見。提供した情報はネイバーがコピーできる状態だったことも判明した。

総務省は8月、利用者への周知が不十分なまま個人情報を外部に出したとして行政指導に踏み切った。ヤフーはプライバシーポリシーで周知している範囲内での情報提供と認識していたというから、お粗末としか言いようがない。

写真＝iStock.com／matejmo

※写真はイメージです - 写真＝iStock.com／matejmo

■国際的プライバシー認証ルールに不合格の烙印が押されていた

これだけでも、LINEヤフーの個人情報の管理体制をめぐる不信は容易にぬぐえないが、実は、まだあった。

日本経済新聞（23年7月4日付）によると、旧LINEが国際的なプライバシーの認証制度の審査で不合格の烙印(らくいん)を押されていたというのだ。

アジア太平洋経済協力会議（APEC）は、国境を越えて流通する個人情報の保護について「越境プライバシールール（CBPR）」を定めており、認証を得た企業は参加国のデータ保護に関するルールを守っていると認められ、国際的なビジネスを展開するお墨付きが与えられる。

そこで、経営統合の出鼻をくじかれた旧LINEは22年春、CBPRの認証を取得しようと動いた。

ところが、国内の審査機関「日本情報経済社会推進協会（JIPDEC）」は「企業統治そのものが適切に機能していない」「セキュリティー対策・安全管理措置にかかわる自己宣言が適正かつ正当なものではない」と、ハネつけてしまった。審査が始まった後に、報告していなかった個人情報の漏洩事故が10件近くも判明したというのだから、是非もない。

個人情報の保護対策に万全を期していると自負しても、第三者の目から見ればまるで不十分に映ったというわけだ。

信頼回復への取り組みが、かえって不信感を生んでしまったのである。

■背景にある韓国IT大手ネイバーとの微妙な関係

今や、コミュニケーションや行政サービスの基盤として国内約9600万人に広く使われているLINE、ニュースの提供をはじめネットサービスの総合センターとして5400万人余りの利用者を誇るヤフー。その両者が合併したLINEヤフーは、名実ともに日本を代表するIT企業であることは間違いない。

それだけに、「事件」の影響は深刻で、罪深い。

総務省は、たび重なる個人情報の管理体制の不祥事を受けて「ガバナンスのあり方を見直す必要がある」と警告しており、システムの再構築はもちろん組織としてのあり方も問われることになった。

ここで、不祥事が続く原因として、ネイバーとの微妙な関係に触れざるを得ない。

旧LINEは、もともとネイバーの子会社だった。LINEヤフーの筆頭株主Aホールディングスはネイバーとソフトバンクが50％ずつ出資しているから、現在も親子の関係といえる。つまり純粋な「日の丸プラットフォーム」ではなく、半分は海外企業なのだ。

ところが、あまりに近い関係のため、ネイバーが海外企業であることの認識が薄くなりがちで、個人情報の管理が甘くなっていたのではないかという指摘がされている。もし、そうなら、経済安全保障の面からも経営陣の意識改革が急務になってくる。

■「日の丸プラットフォーム」を守るためにやるべきこと

当然のことながら、LINEヤフーの事業展開にも暗雲が漂う。

最大の合併効果と位置づけるLINEとヤフーの利用者IDの連携は、「楽天経済圏」に対抗する「LINEヤフー経済圏」の確立に向け、傘下のさまざまな電子商取引（EC）サービスの間で相互送客を活性化するための必須アイテムだ。低迷しているEC事業の起爆剤としての期待は大きく、さまざまな誘客キャンペーンを講じて、合併から1カ月余りでID連携を済ませた利用者は約2000万人に達した。

だが、今後、「事件」を知って逡巡する利用者が続出しそうで、LINEヤフーの野望は挫折しかねない。

また、12月に詳細を決める予定だった500億円規模の社債の発行も中止に追い込まれた。

21年3月の経営統合直後に起きたデータ管理不備問題は、その後の2年半の停滞を招いた。ようやく体制を立て直して合併したものの、またもや同様の情報管理問題でつまづいてしまった。

米国の巨大IT企業が闊歩(かっぽ)する中、最大手の「日の丸プラットフォーム」が自壊しては笑い話にもならない。

今や生活インフラとなったLINEヤフーにすぐにとって代わるような国内のネットサービスは見当たらない。それだけに、LINEヤフーが真剣なガバナンス改革と徹底した情報管理体制の再構築を早急に進めてほしいと願うのは、筆者ばかりではないだろう。

----------

水野 泰志（みずの・やすし）
メディア激動研究所 代表
1955年生まれ。名古屋市出身。早稲田大学政治経済学部政治学科卒。中日新聞社に入社し、東京新聞（中日新聞社東京本社）で、政治部、経済部、編集委員を通じ、主に政治、メディア、情報通信を担当。2005年愛知万博で博覧会協会情報通信部門総編集長を務める。日本大学大学院新聞学研究科でウェブジャーナリズム論の講師。新聞、放送、ネットなどのメディアや、情報通信政策を幅広く研究している。著書に『「ニュース」は生き残るか』（早稲田大学メディア文化研究所編、共著）など。 ■メディア激動研究所：https://www.mgins.jp/

----------

（メディア激動研究所 代表 水野 泰志）