★☆★JNSAメールマガジン 第289号 2024.6.14☆★☆
2024/06/14 (Fri) 15:30
★☆★JNSAメールマガジン 第289号 2024.6.14☆★☆
こんにちは
JNSAメールマガジン 第289号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
読売新聞東京本社 編集委員 若江 雅子様にご寄稿いただきました。
【連載リレーコラム】
LINEヤフーの個人情報漏洩と資本見直しを巡る騒動
読売新聞東京本社 編集委員 若江 雅子
先日、韓国に赴任中の古い友人から電話をもらった。
「LINEヤフー株の売却問題、どうよ?」。ひどく憤慨している様子である。
通信アプリLINEの個人情報漏洩を受け、総務省が運営元のLINEヤフーに対し
韓国IT大手ネイバーとの資本関係見直しを求めた問題。
これに対して韓国内で反発が広がっていることは日本でも報じられてはいるが、
現地の激しさは想像以上のようだ。
友人によれば、「韓国企業が開発したアプリを日本が奪おうとしている」
「韓国 企業への差別だ」といった声も上がり、ネイバーが株式を手放すことに
賛成か反対かで親日・反日の烙印を押しあうような状態だという。
韓国では今年4月の総選挙で与党が大敗し、親日派の尹錫悦大統領が厳しい政権
運営を迫られている中だけに、今後の大統領の対日方針にも影響を与えかねない。
冷静な議論が必要だろう。これまでの経緯を整理してみた。
◆認証基盤の共有が傷口広げる
発端となったのは昨年発覚した個人情報漏洩事件。LINEアプリ利用者や取引先
などの個人情報など、漏洩のおそれがある情報は50万件以上にのぼった。
引き金になったのは、LINEヤフーとネイバーが委託していた外部のセキュリティー
会社がマルウェア感染したことだが、LINEヤフーがネイバー側と認証基盤を
「共通化」していたことが被害を広げた。攻撃者はネイバー側の管理者権限を
乗っ取ると、簡単にLINEヤフー側のシステムにも侵入したとされる。
ネイバー側とLINEヤフー側のシステム環境の間には、ファイアウォールさえ
設けられていなかった。
調査にあたった総務省などの担当者が更に驚いたのは、人材・技術面での
強い「ネイバー依存」体質だったという。
特に旧LINEのシステムは、ネイバーやそのグループ会社が開発・提供し、
管理運営の主体もネイバー側が担っているものが少なくなかった。
ログさえLINEヤフーのコントロール下にはなく、ネイバー側に提供して
もらわなければインシデントの分析もできない状態だったという。
◆資本関係と委託関係のねじれ
そこに横たわっていたのは、業務委託管理と資本関係のねじれである。
LINEの前身はネイバーの子会社だったNHNジャパンで、いわばネイバーは生みの親だ。
その後、LINEはヤフーを運営していたZホールディングス(ZHD)の子会社となった
が、ネイバーは、ZHDの持ち株会社Aホールディングスにソフトバンクと折半出資
することで、影響力を維持。2023年10月には、ZHDとLINE、ヤフーなどが合併して
LINEヤフーが誕生したが、筆頭株主はAホールディングスで、やはりネイバーは
実質的な大株主の立場にある。
つまり、LINEヤフーは、大株主であるネイバーに、システム開発や管理運営の
相当の部分を業務委託していたことになる。業務委託におけるガバナンスでは、
委託元であるLINEヤフーが委託先であるネイバーをしっかり管理することが重要
になるが、企業統治としては株を保有するネイバーがLINEを支配する立場になる。
監督・支配のベクトルが逆向きになって衝突している状態では、十分な委託先
管理は難しい。
個人情報の安全管理体制にも不備が生じるのではないか――。
そう考えた総務省が行政指導の中に盛り込んだのが、資本関係の見直しだった。
まず今年3月5日付けの行政指導の中で、LINEヤフーに対し、「委託先への適切な
管理・監督を機能させるための貴社の経営体制の見直し(委託先から資本的な
支配を相当程度受ける関係の見直しを含む。)」を求め、さらにはソフトバンク
の宮川潤一社長まで呼び出して口頭で「ネイバーとの資本関係の見直しについて
適切に検討してほしい」と要請した。
4月16日付けの二度目の行政指導の中でも「委託先から資本的な支配を相当
程度受ける関係の見直しを含め、委託先への適切な管理・監督を機能させるための
経営体制の見直しについて、親会社等を含めたグループ全体での検討を早急に
実施し、その検討結果を具体的に報告すること」としたのである。
法的拘束力のない行政指導で、民間企業の資本関係にまで口を出すことに違和感を
抱く人は少なくないだろう。ただ、そこまで踏み切ったことについて、総務省は
「LINEは、それを使わなければ日々の生活に不都合が生じてしまうほど国民に
浸透したサービス」である点を強調している。
実際、LINEアプリの利用者は推定9500万人にのぼる。公的機関での利用も
広がり、2021年時点では中央省庁18機関、全国の地方自治体の65%が
業務に利用し、機密情報や住民の個人情報なども扱われていた。経済安全保障
推進法でも、LINEヤフーは規制対象となる特定社会基盤事業者に選定されている。
◆「韓国だから悪いのではない」
LINEを日本のスーパーアプリに育てたのは、ネイバーの高い技術力であることは
間違いないだろう。だが、ネイバーとの関係は過去にも再三、「問題」の種に
なってきた。
2023年8月には、当時のヤフーが検索サービス利用者に事前に十分周知する
ことなく検索で入力したキーワードや位置情報をネイバーに提供したうえ、
その安全管理措置も十分ではなかったとして総務省から行政指導を受けた。
2021年3月には、LINE利用者の情報に委託先の中国企業がアクセス可能に
なっていたことが問題になったが、この時、批判されたのが「韓国隠し」の疑い
だった。利用者の画像や動画などを韓国のデータセンターで保管していたのに、
公共政策担当の執行役員らが政府や自治体に「データは日本に閉じている」と
虚偽の説明を繰り返していたのだ。
再発防止策を検討するために発足した有識者会議「グローバルなデータガバナンス
に関する特別委員会」では、「『国産サービス』として普及させるために、意図的
に韓国色を薄めようとしたのではないか」と徹底解明を求める声が出たが、結局、
その執行役員個人の問題として処理された。
忘れられないのが、この時の特別委員会の委員の言葉だ。
「韓国だから問題というわけではない。問題は、ネイバーの技術力に依存して
いるのに、その事実を曖昧にすることでネイバーへの委託管理が緩くなること」。
実は、委託先(ネイバー)をしっかり管理すべき委託元(LINE)が、資本上は
ネイバーに支配されるという「ねじれ問題」は、この当時も問題視されていた。
特別委員会が実施したLINE従業員2600人へのアンケートには、ネイバー側と
の共同開発や業務委託で悩む姿がにじんでいた。
<(韓国側の)発言力が強く、LINE側で想定していた機能が議論されない>
<LINE社が関与し得ない状態で、業務委託先の特定の従業員が配下の従業員に
アクセス権限を付与している>――。
だが、これらの生々しい声は、報告書では脚注に追いやられ、その後のフォロー
アップ調査でも指摘されなかった。
問題の本質から目を背け、対応を先送りしてきたことが今回の個人情報漏洩事件
で被害を拡大させた背景にあるのではないか。
◆落としどころは?
一連の指導を受け、LINEヤフーの出沢剛社長は5月8日、ネイバーへのサービス
開発関連の業務委託を「ゼロにする」と表明。一方で資本関係については、
ソフトバンクの宮川社長が9日、ネイバーと交渉していることを明らかにしつつも
「相手の考え方もある。よく話し合うしかない」と言及。ネイバーも10日、
「株式売却を含めあらゆる可能性を開き、誠実に協議していく」と発表するに
とどまっている。
なかなか落としどころは見えてこない。ただ、LINEヤフーがこれまでネイバーの
技術力に強く頼ってきたことは事実で、それは強みでもあったはずだ。
契約上の業務委託を「ゼロ」にしたとしても、解決にはならないように思われる。
むしろ、表面上、委託を「ゼロ」にするために無理が生じて、また何かのひずみ
が生じないか不安になる。
問題は、国産サービスであることを強調し、韓国色を薄めようとする結果、
それが企業統治を不透明なものとしてきたことだ。LINEが日本のスーパーアプリ
であることは間違いないが、それが日本と韓国の双方にルーツをもち、双方の
技術に支えられているものであっても、なにも問題はないはずだ。
問題はあくまで、ガバナンスの透明性と説明責任の欠如にあるのではないか。
そもそも、私たちはグーグルやアマゾンやアップルやMetaなど外国のサービスに
支えられている。「なぜ米国では問題にならないのに……?」。それを語り出す
と、さらに長くなってしまうので、まずはまた韓国駐在の友人との長電話で議論
することとしたい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3m68f748
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★社会活動部会CISO支援ワーキンググループが
「CISO-PRACTSIEワークショップ用マテリアル Ver2」を公開しました。
https://www.jnsa.org/result/act_ciso/index.html
★組織で働く人間が引き起こす不正・事故対応WG インタビュー連載
「日本の人事と内部不正」「東京消防庁 人事関連部門へのインタビュー」
第2回目公開しました。
https://www.jnsa.org/result/soshiki/index.html
★情報セキュリティ教育事業者連絡会(ISEPA)JTAGキャリアデザインWGが
「学生のキャリア意識2023年調査速報 第2弾」を公開しました。
https://www.jnsa.org/isepa/outputs/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第289号
発信日:2024年6月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第289号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
読売新聞東京本社 編集委員 若江 雅子様にご寄稿いただきました。
【連載リレーコラム】
LINEヤフーの個人情報漏洩と資本見直しを巡る騒動
読売新聞東京本社 編集委員 若江 雅子
先日、韓国に赴任中の古い友人から電話をもらった。
「LINEヤフー株の売却問題、どうよ?」。ひどく憤慨している様子である。
通信アプリLINEの個人情報漏洩を受け、総務省が運営元のLINEヤフーに対し
韓国IT大手ネイバーとの資本関係見直しを求めた問題。
これに対して韓国内で反発が広がっていることは日本でも報じられてはいるが、
現地の激しさは想像以上のようだ。
友人によれば、「韓国企業が開発したアプリを日本が奪おうとしている」
「韓国 企業への差別だ」といった声も上がり、ネイバーが株式を手放すことに
賛成か反対かで親日・反日の烙印を押しあうような状態だという。
韓国では今年4月の総選挙で与党が大敗し、親日派の尹錫悦大統領が厳しい政権
運営を迫られている中だけに、今後の大統領の対日方針にも影響を与えかねない。
冷静な議論が必要だろう。これまでの経緯を整理してみた。
◆認証基盤の共有が傷口広げる
発端となったのは昨年発覚した個人情報漏洩事件。LINEアプリ利用者や取引先
などの個人情報など、漏洩のおそれがある情報は50万件以上にのぼった。
引き金になったのは、LINEヤフーとネイバーが委託していた外部のセキュリティー
会社がマルウェア感染したことだが、LINEヤフーがネイバー側と認証基盤を
「共通化」していたことが被害を広げた。攻撃者はネイバー側の管理者権限を
乗っ取ると、簡単にLINEヤフー側のシステムにも侵入したとされる。
ネイバー側とLINEヤフー側のシステム環境の間には、ファイアウォールさえ
設けられていなかった。
調査にあたった総務省などの担当者が更に驚いたのは、人材・技術面での
強い「ネイバー依存」体質だったという。
特に旧LINEのシステムは、ネイバーやそのグループ会社が開発・提供し、
管理運営の主体もネイバー側が担っているものが少なくなかった。
ログさえLINEヤフーのコントロール下にはなく、ネイバー側に提供して
もらわなければインシデントの分析もできない状態だったという。
◆資本関係と委託関係のねじれ
そこに横たわっていたのは、業務委託管理と資本関係のねじれである。
LINEの前身はネイバーの子会社だったNHNジャパンで、いわばネイバーは生みの親だ。
その後、LINEはヤフーを運営していたZホールディングス(ZHD)の子会社となった
が、ネイバーは、ZHDの持ち株会社Aホールディングスにソフトバンクと折半出資
することで、影響力を維持。2023年10月には、ZHDとLINE、ヤフーなどが合併して
LINEヤフーが誕生したが、筆頭株主はAホールディングスで、やはりネイバーは
実質的な大株主の立場にある。
つまり、LINEヤフーは、大株主であるネイバーに、システム開発や管理運営の
相当の部分を業務委託していたことになる。業務委託におけるガバナンスでは、
委託元であるLINEヤフーが委託先であるネイバーをしっかり管理することが重要
になるが、企業統治としては株を保有するネイバーがLINEを支配する立場になる。
監督・支配のベクトルが逆向きになって衝突している状態では、十分な委託先
管理は難しい。
個人情報の安全管理体制にも不備が生じるのではないか――。
そう考えた総務省が行政指導の中に盛り込んだのが、資本関係の見直しだった。
まず今年3月5日付けの行政指導の中で、LINEヤフーに対し、「委託先への適切な
管理・監督を機能させるための貴社の経営体制の見直し(委託先から資本的な
支配を相当程度受ける関係の見直しを含む。)」を求め、さらにはソフトバンク
の宮川潤一社長まで呼び出して口頭で「ネイバーとの資本関係の見直しについて
適切に検討してほしい」と要請した。
4月16日付けの二度目の行政指導の中でも「委託先から資本的な支配を相当
程度受ける関係の見直しを含め、委託先への適切な管理・監督を機能させるための
経営体制の見直しについて、親会社等を含めたグループ全体での検討を早急に
実施し、その検討結果を具体的に報告すること」としたのである。
法的拘束力のない行政指導で、民間企業の資本関係にまで口を出すことに違和感を
抱く人は少なくないだろう。ただ、そこまで踏み切ったことについて、総務省は
「LINEは、それを使わなければ日々の生活に不都合が生じてしまうほど国民に
浸透したサービス」である点を強調している。
実際、LINEアプリの利用者は推定9500万人にのぼる。公的機関での利用も
広がり、2021年時点では中央省庁18機関、全国の地方自治体の65%が
業務に利用し、機密情報や住民の個人情報なども扱われていた。経済安全保障
推進法でも、LINEヤフーは規制対象となる特定社会基盤事業者に選定されている。
◆「韓国だから悪いのではない」
LINEを日本のスーパーアプリに育てたのは、ネイバーの高い技術力であることは
間違いないだろう。だが、ネイバーとの関係は過去にも再三、「問題」の種に
なってきた。
2023年8月には、当時のヤフーが検索サービス利用者に事前に十分周知する
ことなく検索で入力したキーワードや位置情報をネイバーに提供したうえ、
その安全管理措置も十分ではなかったとして総務省から行政指導を受けた。
2021年3月には、LINE利用者の情報に委託先の中国企業がアクセス可能に
なっていたことが問題になったが、この時、批判されたのが「韓国隠し」の疑い
だった。利用者の画像や動画などを韓国のデータセンターで保管していたのに、
公共政策担当の執行役員らが政府や自治体に「データは日本に閉じている」と
虚偽の説明を繰り返していたのだ。
再発防止策を検討するために発足した有識者会議「グローバルなデータガバナンス
に関する特別委員会」では、「『国産サービス』として普及させるために、意図的
に韓国色を薄めようとしたのではないか」と徹底解明を求める声が出たが、結局、
その執行役員個人の問題として処理された。
忘れられないのが、この時の特別委員会の委員の言葉だ。
「韓国だから問題というわけではない。問題は、ネイバーの技術力に依存して
いるのに、その事実を曖昧にすることでネイバーへの委託管理が緩くなること」。
実は、委託先(ネイバー)をしっかり管理すべき委託元(LINE)が、資本上は
ネイバーに支配されるという「ねじれ問題」は、この当時も問題視されていた。
特別委員会が実施したLINE従業員2600人へのアンケートには、ネイバー側と
の共同開発や業務委託で悩む姿がにじんでいた。
<(韓国側の)発言力が強く、LINE側で想定していた機能が議論されない>
<LINE社が関与し得ない状態で、業務委託先の特定の従業員が配下の従業員に
アクセス権限を付与している>――。
だが、これらの生々しい声は、報告書では脚注に追いやられ、その後のフォロー
アップ調査でも指摘されなかった。
問題の本質から目を背け、対応を先送りしてきたことが今回の個人情報漏洩事件
で被害を拡大させた背景にあるのではないか。
◆落としどころは?
一連の指導を受け、LINEヤフーの出沢剛社長は5月8日、ネイバーへのサービス
開発関連の業務委託を「ゼロにする」と表明。一方で資本関係については、
ソフトバンクの宮川社長が9日、ネイバーと交渉していることを明らかにしつつも
「相手の考え方もある。よく話し合うしかない」と言及。ネイバーも10日、
「株式売却を含めあらゆる可能性を開き、誠実に協議していく」と発表するに
とどまっている。
なかなか落としどころは見えてこない。ただ、LINEヤフーがこれまでネイバーの
技術力に強く頼ってきたことは事実で、それは強みでもあったはずだ。
契約上の業務委託を「ゼロ」にしたとしても、解決にはならないように思われる。
むしろ、表面上、委託を「ゼロ」にするために無理が生じて、また何かのひずみ
が生じないか不安になる。
問題は、国産サービスであることを強調し、韓国色を薄めようとする結果、
それが企業統治を不透明なものとしてきたことだ。LINEが日本のスーパーアプリ
であることは間違いないが、それが日本と韓国の双方にルーツをもち、双方の
技術に支えられているものであっても、なにも問題はないはずだ。
問題はあくまで、ガバナンスの透明性と説明責任の欠如にあるのではないか。
そもそも、私たちはグーグルやアマゾンやアップルやMetaなど外国のサービスに
支えられている。「なぜ米国では問題にならないのに……?」。それを語り出す
と、さらに長くなってしまうので、まずはまた韓国駐在の友人との長電話で議論
することとしたい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3m68f748
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★社会活動部会CISO支援ワーキンググループが
「CISO-PRACTSIEワークショップ用マテリアル Ver2」を公開しました。
https://www.jnsa.org/result/act_ciso/index.html
★組織で働く人間が引き起こす不正・事故対応WG インタビュー連載
「日本の人事と内部不正」「東京消防庁 人事関連部門へのインタビュー」
第2回目公開しました。
https://www.jnsa.org/result/soshiki/index.html
★情報セキュリティ教育事業者連絡会(ISEPA)JTAGキャリアデザインWGが
「学生のキャリア意識2023年調査速報 第2弾」を公開しました。
https://www.jnsa.org/isepa/outputs/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第289号
発信日:2024年6月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************