KNNポール神田です。

2023年11月27日（月）、LINE ヤフー株式会社は、第三者による不正アクセスを受け、ユーザー情報・取引先情報・従業者等に関する情報の漏えいがあることが判明したと発表した。

■発生した事象からわかる４つの問題点

□１．韓国の委託先企業のPCがマルウェアに感染。

□２．旧 LINE 社の社内システムへネットワーク接続を許可　

NAVER Cloud 社とLINEヤフー株式会社の従業者情報を扱う共通の認証基盤で管理されている

□３．NAVER Cloud 社のシステムを介し、LINEヤフー株式会社のシステムへ第三者による不正アクセス

□４．2023年に10月27日に判明した不正アクセスの公式発表が1ヶ月後の11月27日

【１】韓国の委託先企業のPCがマルウェアに感染というのは、日本国内ではなく、海外企業の海外委託先のPCからの『サプライチェーン攻撃』であったことだ。いくら、本体のセキュリティが強靭であったとしても、委託先や委託先の従業員のPCの人為的なセキュリティまでは対応できないからだ。

LINEヤフーに関しては、セキュリティ面では前科がありすぎる…。

2021年3月、LINE使用者の画像と動画データとLINE Payの取引情報の全てが、LINE社の親会社ネイバー社のサーバーに保管されていた。

2023年8月、ヤフー株式会社は、NAVER Corporationへ検索関連データの提供を試験的におこない、位置情報をNAVER社へ提供し利用させていたことにより、総務省からの行政指導を受けたばかりだ。

そして今回も、鈴木総務相から『再度、利用者情報の保護が十分図られていない事案が発生したことは大変遺憾だ』とコメントされた。

個人情報管理に関する問題や情報漏えいのほとんどが、NAVER社を経由するものばかりだ。

【２】旧・LINE 社の社内システムへネットワーク接続を許可も『PMI（経営統合プロセス）』の観点からも、新たなしくみへと取り組むべきであっただろう。

NAVER Cloud 社とLINEヤフー株式会社の従業者情報を扱う『共通の認証基盤』が必要だったのだろうか？

2019年12月、ZHDとLINE株式会社は、それぞれの親会社である『ソフトバンク株式会社』と『NAVER Corporation』を含む４社間で経営統合を実現するための資本提携を結び、2023年2月に『ZHD』『LINE』『ヤフー』の３社合併、2023年10月ようやく『LINEヤフー』として合弁会社が発足。4年がかりの『大PMI』となった。

大経営統合で、重なりあう部分のサービスは整理されてきたが、肝心な情報システム部分はお世辞にも『NAVER Corporation』に依存しすぎているのではないだろうか？

　LINEヤフー株式会社は、エンジニア比率の高い企業でもあるに関わらず、肝心なシステム部分で関わっていない要素が大きい。それはヤフーのサービスの多さが起因しているからだろう。

ヤフーのサービス一覧を見てみると、数十年もおなじ顔ぶれの変化の乏しいサービスが並んでいる。100ものサービスを維持するほうが大変だ。

https://services.yahoo.co.jp/

PMIによりLINEヤフーの『金融事業』は早急に整理されつつある。

https://www.lycorp.co.jp/ja/ir/library/presentations/main/012/teaserItems2/00/linkList/02/link/jp2023q2_presentation.pdf

それでも株主構成は飯櫃な状態をひきずっている。『PayPay銀行』は『三井住友銀行』が、46.57％の議決権を保持している。

【３】NAVER Cloud 社のシステムを介し、LINEヤフー株式会社のシステムへ第三者による不正アクセスは、NAVER Cloud 社側とのシステムを遮断する方法で考えるしかないだろう。

同様に、親会社の通信のソフトバンクKKやそのまた親会社のソフトバンクGのシステムを介して、自由に『LINEヤフー株式会社』へ不正アクセスできるとなると、どう考えるだろうか？

【４】2023年に10月27日に判明した不正アクセスの公式発表が1ヶ月後の11月27日であった。ここが、最大の問題である。

個人情報の取り扱いの前科がありすぎて、行政指導を２ヶ月前に受けたばかりだ。

これはあまりにもPRやIRがずさんと言わざるを得ない。内容を精査してから発表するのではなく、情報漏えいに関しては迅速に事実を認め、その後詳細を発表するべきであった。

　2023年11月7日の第2四半期決算発表のタイミングでも、アクシデントの前の『インシデント』として発表するタイミングはあったはずだ。NAVER社側が事実を確認していたが、LINEヤフー側が知らなかったとは考えにくい。もし、それで発表が遅れていたらさらにそれは問題となるだろう。

■この情報漏えいは誰の責任になるのか？

今までの個人情報の扱いは、説明不足のLINEからの『同意』を求めるようなものではなく、情報漏えいなので、責任の所在は明確になることだろう。

出澤CEOは何らかの声明をしていく責任は当然あり、再発防止策としては、親会社NAVER社に依存してきた部分の見直しをせざるをえないことだろう。

しかし、個人情報の度重なる前科で考えると…、独立社外取締役の存在も機能不全といわざるを得ない。

野村総研出身の臼見好生氏、フジテレビ出身の蓮見　麻衣子氏、弁護士の國廣　正氏らだ。

それぞれが、株主の立場を代表して、執行役員たちを社外から、取り締まる役目の『社外取締役』なので、社内情勢に左右されず、客観的な視点から企業の経営向上を行うことがもとめられている。コーポレートガバナンスの最後の砦でさえもある。

この株価のPBR（株価÷純資産）が1.07倍というのが社会のLINEヤフーに対しての期待値の評価でもある。

https://finance.yahoo.co.jp/quote/4689.T/chart?styl=cndl&frm=wkly&scl=stndrd&trm=2y&evnts=&ovrIndctr=&addIndctr=

■ 本事案の影響の詳細　

〈ユーザーに関する情報〉

１ ユーザーに関する個人情報 252,818 件*1（うち日本ユーザー114,440 件）

※推計値含まず。推計値については

「■その他推計値」に後述

⑴ メッセージに関する情報

・ リアクション関連情報*2

57 件（うち日本ユーザー0 件）

・ トークルーム種別、トーク送受信者の国/性別/年代/OS、トークルーム作成経路等

12,945 件（うち日本ユーザー8,196 件）

⑵ 無料通話に関する情報

・ 通話ページの表示回数、通話ページの表示ユーザー数、通話終了の類型等

7,981 件（うち日本ユーザー697 件）

⑶ LINE VOOM に関する情報

・ コンテンツの投稿日時、投稿したユーザーのフォロワー数/友だち数、OS のバージョン情報、投稿された動画コンテンツの開始・終了時間等32,972 件（うち日本ユーザー15,459 件）

⑷ LINE 公式アカウントに関する情報

・ 公式アカウント作成経路、LINE ユーザー内部識別子、ユーザー側の公式アカウントの設定情報（ブロック・非表示・通知 OFF 等）、公式アカウント名、料金プラン等

11,728 件（うち日本ユーザー10,388 件）

⑸ LINE で予約に関する情報

・ LINE で予約のアカウント開設者名、提携パートナータイプ、公式アカウント件数、予約数、ユーザー数等386 件（うち日本ユーザー386 件）

⑹ LINE App/Platform に関する情報

・ LINE ユーザー内部識別子/国/OS/性別/年代、タイムスタンプ、スタンプ作成者の内部識別子/国、スタンプの識別子、スタンプ購入ユーザーの内部識別子/購入日等103,527 件（うち日本ユーザー3,009 件）

⑺ LINE ミニアプリに関する情報

・ 規約同意ユーザーの内部識別子、利用日時、サービス利用ユーザーの内部識別子、ユーザー数等31 件（うち日本ユーザー31 件）

⑻ LINE ギフトに関する情報

・ 出店した事業者が設定した店舗名/当該店舗の内部識別子、当該店舗の売上額等304 件（うち日本ユーザー304 件）

⑼ LINE NEWS に関する情報

・ ニュースメディアの公式アカウント開設者情報、ニュース記事への流入元情報、ニュース記事を読んだユーザーの閲覧履歴等35,844 件（うち日本ユーザー35,844 件）

⑽ LINE アンケートに関する情報

・ アンケート内の動画を再生したユーザーの内部識別子9,999 件（うち日本ユーザー9,997 件）

⑾ LINE MUSIC に関する情報

・ LINE MUSIC で配信しているアーティスト名、楽曲名、デイリーランキング20 件（うち日本ユーザー20 件）

⑿ LINE Commerce Platform に関する情報（台湾のみ）

・ ユーザーが利用した決済手段における決済代行業者発行の承認番号

1 件（うち日本ユーザー0 件）

⒀ LINE TODAY に関する情報（台湾のみ）

・ LINE ユーザー内部識別子、ニュース記事の閲覧月、ニュース記事のカテゴリ名/管理識別子、ニュースカテゴリの閲覧数等20 件（うち日本ユーザー0 件）

⒁ LINE Ads Platform に関する情報（台湾のみ）

・ LINE ユーザー内部識別子、配信された広告の内部識別子、広告に埋め込まれたタグの名称/識別子/生成

日等2,020 件（うち日本ユーザー0 件）

⒂ その他のサービス・機能に関する情報

・ LINE ユーザー内部識別子/国/OS、hash 化された電話番号*3/メールアドレス*3

/LINE ID*3、LINE アプリのバージョン情報等

30,835 件（うち日本ユーザー30,105 件）

⒃ LINE Developers に関する情報

・ LINE Developers を利用する開発者が設定したプロバイダー名、当該プロバイダーの内部識別子、当該プロバイダーが提供するサービスの提供国等4,148 件（うち日本ユーザー4 件）

２ 通信の秘密に該当する情報 18,666 件（うち日本ユーザー8,950 件）

※推計値含まず。推計値については「■その他推計値」に後述

⑴ メッセージに関する情報

・ リアクション関連情報

40 件（うち日本ユーザー0 件）

・ トーク送受信者の内部識別子、メッセージの類型（テキスト、画像、動画等）、トークルームの内部識別

子等

1,687 件（うち日本ユーザー648 件）

⑵ 無料通話に関する情報

・ 通話ユーザーの内部識別子/国/OS、音声通話タイプ（音声通話、ビデオ通話）、通話日時等

7,054 件（うち日本ユーザー697 件）

⑶ LINE VOOM に関する情報

・ 投稿コンテンツの ID/URL、LINE ユーザー内部識別子、投稿コンテンツの再生時間、投稿したコンテンツ

に適用したエフェクト/音楽の内部識別子等

9,794 件（うち日本ユーザー7,525 件）

⑷ LINE 公式アカウントに関する情報

・ 公式アカウントの内部識別子/国、メッセージの送信試行/送信成功回数、メッセージの送信日時等

33 件（うち日本ユーザー22 件）

⑸ LINE で予約に関する情報

・ 予約作成日、提携パートナー名、LINE で予約を利用している事業者名等

58 件（うち日本ユーザー58 件）

*1 本件数には「通信の秘密に該当する情報」の件数も含みます。

*2 ユーザー同士がやり取りするメッセージや画像に対して感情表現を表したアイコンでリアクションする絵文字。そ

れ以外のメッセージ内容についての漏えいは確認されておりません。

*3 特定の文字列や数字の羅列を一定のルールに基づき、不可逆的に暗号化した電話番号 79 件（うち日本ユーザー3

件）、メールアドレス 16 件（うち日本ユーザー4 件）、LINE ID17 件（うち日本ユーザー1 件）

〈取引先等に関する情報〉

取引先等に関する個人情報 86,105 件

・ 取引先等のメールアドレス*1 86,071 件

・ 取引先等の従業者の氏名、所属（会社、部署）、メールアドレス等 34 件

*1 当社メーリングリストに含まれていた当社（当社グループ会社を含む）ドメイン以外のメールアドレス

〈従業者等に関する情報〉

従業者等に関する個人情報 51,353 件

１ ドキュメント管理システム内の従業者等に関する個人情報 6 件

・ 氏名、緊急連絡先 ６件

２ 認証基盤システム内の従業者等に関する個人情報 51,347 件

・ 氏名、社員番号、メールアドレス、所属会社名、所属部署等

当社および当社グループ会社：30,409 件、NAVER 社およびグループ会社：20,938 件

■その他推計値

不正アクセス時における対象情報と具体的な件数を確認することが困難であったため、当社調査時に確認できた情報

と件数を元に推計したもの

１ ユーザーに関する個人情報 49,751 件*1（うち日本ユーザー15,454 件）

⑴ 無料通話に関する情報

・ 通話ユーザーの国/OS、音声通話タイプ（音声通話、ビデオ通話）、通話終了の類型等

3,559 件（うち日本ユーザー25 件）

⑵ LINE VOOM に関する情報

・ 投稿コンテンツの内部識別子、LINE ユーザー内部識別子、コンテンツの投稿日、コンテンツの再生時間

等

58 件（うち日本ユーザー0 件）

⑶ LINE 公式アカウントに関する情報

・ 公式アカウントの内部識別子、公式アカウントの名称/カテゴリ情報、公式アカウントの料金プラン、公

式アカウントの友だち数等

10,111 件（うち日本ユーザー73 件）

⑷ LINE で予約に関する情報

・ 予約店舗の公式アカウント情報、LINE で予約利用開始日、予約数、予約人数、予約キャンセル数等

51 件（うち日本ユーザー51 件）

⑸ LINE App/Platform に関する情報

・ LINE ユーザー内部識別子、ユーザーのデバイスの識別子/ブランド、OS の種類・バージョン等

172 件（うち日本ユーザー62 件）

⑹ LINE ミニアプリに関する情報

・ プロバイダー企業の名称/サイト URL/郵便番号/住所等

120 件（うち日本ユーザー120 件）

⑺ LINE Ads Platform に関する情報

・ LINE ユーザー内部識別子、広告閲覧履歴、公式アカウントのフォロー情報、タグ作成日付等

2 件（うち日本ユーザー2 件）

⑻ LINE ウォレットに関する情報

・ LINE ユーザー内部識別子、LINE チラシに掲載する店舗の所在（緯度経度）、ウォレットタブ内のクリッ

ク/閲覧数等

1,583 件（うち日本ユーザー1,200 件）

⑼ LINE クーポンに関する情報

・ クーポン発行ショップの内部識別子、ショップの名称、クーポン利用ユーザーの年代、性別ごとのクーポ

ン利用ユーザー数等

191 件（うち日本ユーザー191 件）

⑽ LINE NEWS に関する情報

・ 公式アカウントの内部識別子/友だち数/記事配信日、記事のカテゴリの内部識別子等

712 件（うち日本ユーザー712 件）

⑾ LINE MUSIC に関する情報

・ LINE MUSIC ユーザーの属性情報、LINE MUSIC アプリの起動回数等

252 件（うち日本ユーザー252 件）

⑿ LINE マンガに関する情報

・ LINE ユーザー内部識別子、LINE マンガの登録日、ユーザーの属性情報、出版社の内部識別子とそれに紐

づく出版社名/作品名等

12,718 件（うち日本ユーザー12,718 件）

⒀ LINE SHOPPING に関する情報（タイのみ）

・ LINE ユーザー内部識別子、ページ閲覧数/ショップ訪問数の統計情報等

10,000 件（うち日本ユーザー0 件）

⒁ LINE Ads Platform に関する情報（台湾のみ）

・ 広告に埋め込まれたタグの名称、LINE ユーザー内部識別子、ニュース記事カテゴリの内部識別子、クリ

ック数

10,025 件（うち日本ユーザー0 件）

⒂ LINE SPOT に関する情報（台湾のみ）

・ スポット情報の内部識別子、スポット情報の位置情報（緯度経度）等

40 件（うち日本ユーザー0 件）

⒃ LINE ビジネスマネージャーに関する情報

・ ビジネスマネージャーのアカウント情報、アカウントの認証ステータス等

157 件（うち日本ユーザー48 件）

*1 本件数には「通信の秘密に該当する情報」の件数も含みます

２ 通信の秘密に該当する情報 3,573 件（うち日本ユーザー31 件）

⑴ 無料通話に関する情報

・ 通話ユーザーの国/OS、音声通話タイプ（音声通話、ビデオ通話）、通話日時等

3,559 件（うち日本ユーザー25 件）

⑵ LINE 公式アカウントに関する情報

・ 配信対象グループの内部識別子/名称/作成日時、配信対象グループの配信対象ユーザー数、公式アカウン

トの国、公式アカウント名称等

14 件（うち日本ユーザー6 件）

https://ly.swcms.net/ja/ir/news/auto_20231127594672/main/0/link/Notice%20and%20apology%20regarding%20information%20leakage%20due%20to%20unauthorized%20access_JP.pdf