総務省が2024年3月5日に、今回のアクセス管理の不備による漏えい事故を極めて遺憾としてLINEヤフーに対し、通信の秘密を保護しセキュリティの確保を図るよう行政指導を行った。
報道等をもとに指摘された点を整理すると、総務省が「委託先管理のいい加減さ」を厳しく指摘指導をしていることが浮かび上がる。
企業の多くで委託という名の依存関係が存在するが、丸投げはダメだ、という警鐘と受け取るべきだろう。

以下、独自に論点整理した。

■【指摘１】電気通信事業全体の信頼を損なった

・2021年4月に旧LINEに対して行政指導を行っているが、再びアクセス管理の不備などによる問題が再発した
・安全管理措置やセキュリティ対策、業務委託先管理に不備があったことを確認した
・ADサーバのマルウェア感染を阻止できず、管理者権限を奪取され、侵入により取得された社内システムの認証情報が悪用され顧客や取引先、従業員に関する個人データが流出した可能性が生じた。
・ユーザーの個人データ30万2980件が外部に流出した可能性がある
・流出懸念がある情報に通信の秘密にあたる情報2万2239件が含まれる。

■【指摘２】総務省で電気通信事業法に基づくLINEヤフーより報告徴収を実施したが報告が不十分である

・同省への報告について期限内に十分な回答がない
・同省への回答内容に不明瞭な点が多々ある
・システムやネットワーク構成を委託先のNAVER Cloudに強く依存しているが、監督が不十分で原因特定情報すら入手できない
・そもそも速やかに原因特定をできないことが大きな問題である

■【行政指導】・委託先管理の困難性が十分解消されておらず、同様のインシデントが生じるリスクが解消されていないこと

・依然としてNAVER Cloudに一部のシステムの開発や運用、保守業務の委託を予定しているが、委託依存を解消し日本国内で、独立した形で認証情報を管理、運用にすること
・委託先のNAVER Cloudとのネットワークを分離すること
・安全管理措置の抜本的な見直しをすること
・委託先管理の抜本的な見直しをすること
・セキュリティの強化を講じること
・ログ情報を自ら取得し監視すること
・独立したセキュリティオペレーションセンター（SOC）業務を行う体制に切り替えること
・親会社などを含むグループ全体におけるセキュリティガバナンスの本質的な見直しや強化をすること
・「LINE」が広く活用されていることを踏まえ利用者対応の徹底を図ること
・以上の点について速やかに実施状況について報告すること。