総務省は4月16日にLINEヤフーに対して2度目の行政指導をした。3月に出たばかりで同じ事案に対して2回も指導が出るのは異常事態だ。
前回の記事はこちら
今回は2回目の指導ですでに半月経っている。ニュースにも出ていたので知っている人は多いだろう。
LINEヤフー 総務省2回目の行政指導 出典:総務省
一定の応急的な対策については実施済みとのことであるものの、現時点で、安全管理措置及び委託先管理が十分なものとなったとは言い難く、また、親会社等を含むグループ全体でのセキュリティガバナンス体制の構築についても十分な見直しが行われる展望が必ずしも明らかとはいえない状況にあると考えられ、対策・検討を加速化する必要があるものと判断いたしました。
簡単に言えば、すぐやれるようなことは対策する報告をしているが、根本原因の対策ではない。
これでは再発の連鎖は止められないとして、総務省はLINEヤフーに対して再度の指導をしたのだろう。
LINEヤフーの資本についての事情は前回も書いているのでふれない。
通常は例えば2年ほど前のauの携帯電話の大障害に対しても総務省は指導を出しているが、出されたKDDIは期日までに総務省を納得させられる対策を講じてきている。ほかの障害事例も同じだ。
しかし今回の事案では総務省はよほどLINEヤフーの回答を問題視したのだろう。なんて答えたんだろ?
LINEヤフーに1回目の報告が掲載されている。
総務省からの指導を踏まえた再発防止策 というボタンをクリックすると進捗がわかる。
このページを見てびっくり。
2024年中の完了は当たり前と思うが、年末までかかるというものは仕方ないかもしれない、まあいいだろう。
一部の対策は2026年12月になるという。1年半も先だ。
それは「NAVER Cloud社がシステム管理を担う認証基盤の利用停止と当社認証基盤への移行」というもので、要するにログイン情報の分離は1年半も先になるということだ。
これでは総務省は納得しないだろう。認証基盤が共通にあるだけで、ID/パスワードを知っていればアクセスできて、自由に閲覧できるということだ。
これが仮にネットワークが分離されていれば、社外の人はそもそもログインページにたどり着けないので安全といえる。
しかしネットワークの分離は、LINEヤフー自身が2025年3月、海外子会社を含めるとこちらも2026年12月だ。
今回の問題がどのくらいのものであるか理解していない、と総務省に判断された結果、2回目の指導が出たようだ。
自分はLINEは何となく嫌なので使わなかったが、最近のセキュリティ事案を見ると、どっぷりつかっている人、あるいは役所は大丈夫なのだろうかと思ってしまう。
前回もこう書いて締めた。同じ言葉で締める。
利便性と安全。どっちを取るか。個人情報にかかわらない程度にLINEを使うほうが良いのだろう。
