1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. LINE ヤフーの個人情報漏えい問題に対する改善状況と今後の対応方針 -個人情報保護委員会が最新の取りまとめを公表

LINE ヤフーの個人情報漏えい問題に対する改善状況と今後の対応方針 -個人情報保護委員会が最新の取りまとめを公表

セキュリティニュース

投稿日時: 更新日時:

LINEヤフーの個人情報漏えい問題に対する改善状況と今後の対応方針 -個人情報保護委員会が最新の取りまとめを公表

2025年4月30日、個人情報保護委員会は、LINEヤフー株式会社(以下、LY社)に対するこれまでの勧告への対応状況について、改善の進捗と今後の方針を公表しました。これは、2024年に発覚した個人情報漏えい事案を受けた一連の再発防止策の進捗確認となります。

背景:何が起きたのか

LINEヤフー株式会社は2023年10月にヤフー株式会社とLINE株式会社などが再編されて誕生しました。位置づけとしては、ソフトバンクと韓国・ネイバーの合弁企業であるAホールディングスの子会社です。合併後の同年11月にLINEヤフーのサーバーがサイバー攻撃を受け約44万件の個人情報が流出した可能性がある旨の公表がありました。

合計約52万件の情報が漏洩

その後の同年12月には、11月に公表していたサイバー攻撃の時期が約1カ月前だったと訂正すると共に、不正アクセスできる状態が約1カ月続いていたことも判明しました。

さらに2024年2月にも旧LINEの従業員情報約5万7000件が流出した可能性があると公表しました。

また、2023年11月時点で約44万件としていた流出件数は約52万件に増えたことも明らかにしています。

なお、流出した恐れのある44万件の個人情報のうち約30万件は利用者に関するものであり、流出した情報の中には解析すればアプリのプロフィル情報にある氏名などを第三者が閲覧できる可能性があります。また、利用者の性別やLINEスタンプの購入履歴なども流出しました。なお、LINE内のメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないとしています。

この事案により、個人情報保護委員会は2024年3月28日にLY社に対して正式な勧告を行い、情報セキュリティ体制や委託先管理の見直しを求めました。以降、3か月ごとに改善報告が求められており、今回の報告はその一環です。

主な改善内容と進捗状況

認証基盤とシステムの分離(完了・進行中)

  • LY社本体については、NAVERグループおよびNC社と共通で利用していた認証基盤を完全に分離。

  • 国内外の子会社については、2026年3月末の完了を目指して切り替えを進行中。

業務委託先管理の見直し(完了)

  • リスク評価基準の見直し、チェックシート新設、内部規程の施行。

  • 優先度の高い委託先への実地・書面監査を完了。

  • 業務委託の開始にはサプライヤ評価・案件リスク評価の完了が必須となった。

社内セキュリティ文化の醸成(進行中)

  • 全従業員向けにセキュリティ意識調査とコンプライアンス調査を実施。

  • 結果を経営層との対話に活用し、フィードバックを実施中。

多要素認証・リスクアセスメント(完了)

  • 社員向けシステムに二要素認証を導入し、システムの脆弱性診断を実施。

  • ISO27001に準拠したリスク評価プロセスを確立。

組織体制の強化と運用プロセスの改善

● セキュリティガバナンスの体制整備

  • 社長を委員長とするセキュリティガバナンス委員会を設置し、改善策の推進と進捗確認を実施(2025年3月末までに29回開催)。

  • グループ会社のCISOと連携した「グループCISO Board」を設置。セキュリティの共通ルール策定や委託関係の整理に取り組む。

● 事案対応体制の整備(完了)

  • 漏えい時の初動マニュアルを整備し、迅速な対応体制を確立。

  • 実効性確認のための演習を2024年12月以降継続的に実施。

技術的安全対策の強化

● アクセス制御の徹底(完了)

  • NC社からの不必要な通信を遮断。ファイアウォールを再設定し、必要な通信のみに限定。

  • 外部からの接続経路も総点検し、不要な通信設定を削除・修正。

  • 今後も3か月ごとにファイアウォール設定の見直しを実施予定。

● サイバー攻撃への備え(完了)

  • ペネトレーションテストと振る舞い検知テストを実施し、対策の有効性を確認。

  • 検知ルールをSIEM環境に実装し、今後も継続的にチューニングを実施。

個人情報保護委員会の見解と期待

個人情報保護委員会は、今回の報告を受けて、LY社本体における認証基盤の分離や、再発防止策が概ね順調に進んでいることを評価しました。その上で、今後も改善策が計画通り完了する2026年3月末まで、ステークホルダーに対する丁寧な説明を求めるとしています。

情報システム部門が学ぶべきポイント

  • 委託先管理の徹底
     – リスク評価と契約前のチェック体制の強化は他社でも再現可能な好例。

  • 多要素認証とリスク評価の実践
     – ISO27001の仕組みと連動した実運用レベルの対応が求められる。

  • セキュリティ体制の透明化と運用の継続性
     – 社内の意識調査から得られた知見を、ガバナンス体制へ組み込む手法が有効。

まとめ

LY社が行った一連の対応は、単なる技術対策にとどまらず、組織体制や委託管理、意識改革にまで踏み込んだ包括的なものです。同様の事案が自社で起きた場合を想定し、どのように自社のセキュリティ体制を見直すべきか、今一度振り返る契機とすることが重要です。

関連記事

DigiCertがバグにより顧客のSSL/TLS 証明書を大量執行させるDigiCertがバグにより顧客のSSL/TLS 証明書を大量失効させる サイバー攻撃とは? 意味や種類、対策などを解説サイバー攻撃とは? 意味や種類、対策などを解説 個人情報保護委員会、イセトーへのサイバー攻撃による個人情報漏洩について行政指導を発表個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表 ISMS認証取得を外部に依頼する際のポイントISMS認証取得を外部に依頼する際のポイント Default ThumbnailLINE client for iOSにおけるサーバ証明書の検証不備の脆弱性 JVNVU#91696361(CWE-295、CVE-2023-5554) Default ThumbnailLine 情報漏洩の原因はトレンドマイクロのパートナー?韓国紙が報道 LINE アルバム機能の不具合で他人のアルバムが閲覧可能にLINE アルバム機能の不具合で他人のアルバムが閲覧可能に LINE アルバム誤表示は通信の秘密の漏洩、30日以内に詳細報告が必須LINE アルバム誤表示は通信の秘密の漏洩、30日以内に詳細報告が必須 2024年11月発生したLINEのアルバム機能の不具合で、LINEヤフ-は自分の画像が他人の「サムネイル」に表示された利用者が国内でおよそ7万人、海外を合わせるとおよそ13万5000人にのぼると推定されると発表しました。LINE アルバムの不具合で13万人が誤表示