山田祥平のRe:config.sys

LINEが読んだ総務省指導の行間

 総務省から、通信の秘密の保護及びサイバーセキュリティの確保の徹底に向けた措置として、2度目の行政指導を受けたLINEヤフー。先頃開催された同社決算説明会でも代表取締役社長CEOの出澤剛氏によって、今回のインシデントについて、その経緯と対処について説明され、そのあとの質疑応答でも多くの問いにコメントした。

LINEへの行政指導を読む

 LINEヤフーが総務省からの行政指導を受けたのは、不正アクセスによって情報漏洩事案が発生したことによるものだ。外部からのハッキングによってユーザー、取引先等、従業員等に関する情報が漏洩したという。同社が不審なアクセスを検知して調査を開始したのは2023年10月7日、そのことが公表されたのは11月27日だった。漏洩件数は50万件超で、2024年3月5日に1度目の行政指導があり、それを受けて同社は4月に報告書を提出した。

 2度目となる総務省の指導内容は、LINEヤフーの提出した報告書に述べられている内容に対して、その概要を添付した上で、「二要素認証の適用など一定の応急的な対策については実施済みだが、一方で、実施計画はあるものの未実施の対策も多く、通信の秘密の保護及びサイバーセキュリティの確保の観点で、現時点で、安全管理措置及び委託先管理が十分なものとなったとは言い難い状況にあり、対策を加速化する必要がある」としている(特に、NAVER側とのネットワークの完全分離が実現するのは2年以上先とのことである)。

 また、「親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直し及び強化については、『NAVER社側との間の、社内向けシステム・ネットワークの運用等の委託にとどまらない、サービス開発業務委託及びサービスインフラを含むシステム利用』について、『NAVER社側への委託関係を順次縮小・終了していく方針』とした旨報告されたが、現時点においては『実現に向けた基礎的な検証を実施中』とされ、どの委託関係について、いつまでに、縮小・終了・残置するのか、見直しの具体策が示されていない」ことを指摘している。

 さらに「対策を実効性あるものとし、同様のインシデントの再発を確実に防止するためには、委託先から資本的な支配を相当程度受けている関係の見直しを含め、委託先への適切な管理・監督を機能させるための親会社等を含むグループ全体でのセキュリティガバナンス体制を構築することが求められているにもかかわらず、上記の通り4月1日提出の報告書においてはそのための十分な見直しが行なわれる展望が明らかではない」という指摘がある。

 同社が提供するLINEサービスが「我が国の国民の大多数が日常的に利用しているサービスであること及び地方自治体を含め公共機関も利用しているサービスであることを、貴社として改めて認識するとともに、親会社等を含むグループ会社全体に対してもその認識を共有し、上記の『資本関係に関する見直し要請』についての進捗も含め、セキュリティガバナンスの構築に向けて必要な措置をとるべく検討を加速化する必要がある」という内容だ。

 つまり、国民生活に欠かせないサービスだと認めて行政も使っていたのに、内容が伴っていないと総務省が怒っている。LINEが外資出自のサービスだということは、行政が国民へのサービス提供のために利用をスタートする時点で分かっていたはずだ。LINEヤフーはソフトバンクと韓国NAVERが50%ずつ出資する中間持ち株会社Aホールディングスの子会社だ。

 指導を受けたLINEヤフーは主な再発防止策として、従業員向けシステム等における安全管理措置、委託先管理の抜本的な見直しやセキュリティ対策強化に取り組んでいる。NAVERとの従業員向けシステム、認証基盤の分離などは2024年度中に完了予定で、サービス・事業領域における委託についても関係を終了、Yahoo! JAPANのWeb検索開発検証における委託協業も終了が決定しているという。NAVERとの委託関係終了は、目下、最優先で進められているということだ。

 2度目の指導の重大なポイントは「資本的な支配を相当程度受ける関係の見直しを含め、委託先への適切な管理・監督を機能させるための経営体制の見直しについて、親会社等を含めたグループ全体での検討を早急に実施し、その検討結果を具体的に報告すること」としている点だ。

 一度目の指導でも「組織的・資本的な相当の支配関係が存在する」ことが指摘され、それを受けたLINEヤフーは親会社のAホールディングスに対して資本関係に関する見直しを要請した。

 要するにNAVER社の介入を受ける可能性がある資本関係をスピード感をもって見直せということであり、そのためには出資比率が影響することから、何らかの方法でNAVAER社の持つ株を買い取るなどの方策が必要になることが行間に浮かぶ。これについて同社がどのように対処するかは7月1日までにLINEヤフーからの進捗報告を待って明らかになる。こうした措置はあってはならないと韓国政府が表明するなど、騒ぎは大きくなるばかりだ。

総務省がLINEに資本関係に関する見直し要請

 LINEヤフーが提供するLINEは「電気通信事業」に該当する。その事業者、すなわちLINEヤフーは監督官庁である総務省に対し電気通信事業者として届出をしている。その結果、電気通信事業者は電気通信事業法を遵守しなければならず、通信の保護が求められる。これらについては同社サイトに「適用法令と当社の考え方」として記載されている。

 だが、資本関係について行政からの介入を受けるのに相当すると言ってもいい指導というのはどうなのか。NAVERが経営権を渡すことになれば、同社の築いたアジア市場が失われる可能性もあり、その対応はかなり難しそうだという声も聞こえてくる。それに資本関係に関する見直しを親会社に要請したのはLINEヤフーであり、それは総務省の指導によるものではないような建て付けだったりもするから話はやっかいだ。

 LINEは多くの地方自治体を含め、行政がそのサービスのために利用している。民間企業のビジネス利用もたくさんある。そのきっかけはLINEが営業してのものなのか、自発的に各機関がLINEを指名したのか定かではないが、公共機関による住民サービスのために利用する前に、LINEがどのような資本関係で成り立つサービスであり、その細かい仕様はどのようになっているのかをきちんと調べての利用だったのだろうか。さまざまな背景を知った上でLINEを採用したのではないのだろうか。知らなかったでは行政のあり方としてすまされない。そちらのほうも大きな問題で、それこそ指導案件だ。

 行政でのLINE活用についてはこれもLINEヤフーのサイトで詳しく説明されている。

 今回のインシデントでは、行政はユーザーであり、同時にサービスを監督する立場でもある。そこが話をややこしくしている。民間の事業者のビジネスに対して行政が、その資本関係の調整などを求める指導をしていいのかどうかという疑問もでてくる。

 たとえば仮に、災害時の利用を考慮し、LINEをマルチデバイスで使えるようにしろと行政が指導したら、明日からでも対応するのかなどとも考えてしまう。そうなれば、災害でスマホを焼失させてしまっても友だちとのトーク履歴など何も情報は失われないという素晴らしい世界が手に入る。もちろんうれしい。だが、それは指導によって対応するべき事案かと言えば、それは違うとしか言えない。

 出澤CEOに聞いてみた。そもそもそのうるさいことを言ってビジネスに介入してくる行政に対して、LINEを利用することを断る選択肢というのはなかったのかと。

 「行政サービスによるLINEの利用を断るといったいった選択肢は我々としては検討しておりません」と同氏は断言した。そして、

 「今回の行政指導自体、そうなる環境を作ってしまっていたということに関しては反省をしておりますし、しっかりとやっていきたいということです。マルチデバイスといったことはプラスアルファのことであって、今回の件はハッキングがあったことが重大セキュリティ事案となり、ユーザーの方々にご迷惑をおかけする結果となってしまったことを、しっかり改善しなさいということなので、それに対して真摯に対応するということであり、言われたことは何でも従うということではありません」(出澤氏)とも。

 実は水面下ではLINEのマルチデバイス対応も要請されていたかをうかがわせるようなコメントだったが、指導に従うかどうかは案件によるということだった。同社の立場としては、今は、そう言わざるを得ないだろう。ちょっと同情してしまう。

 この一連の話、行政のあり方としてどうなのか。ユーザーとしての各自治体はどう考えるのか。少なくとも行政に逆らうようなことをして同社がトクするはずもない。国民的サービスに成長してしまったLINEではあるが、逆に言えば、今回はそのお墨付きをもらったようにも考えられる。そのサービスの今後の展開が気になるところだ。