LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
総務省の担当者から行政指導の文書を受け取るLINEヤフーの出澤剛社長。10ページに及ぶ文書には、同社の体質を問いただすような強い言葉が並んでいた(撮影:尾形文繁)
「行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう」
総務省は3月5日、SNS「LINE」や検索サービス「Yahoo! JAPAN」などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。
LINEヤフーは2023年9〜10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の「通信の秘密」の漏洩に当たると判断した。
具体的な指導項目として、LINEヤフーの親会社に50%出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを求めている。
指導文書ににじむ総務省の苛立ち
事の発端は、NAVER子会社のNAVER Cloudが、セキュリティに関わる業務を委託していた会社がマルウェアに感染したことだ。
LINEヤフーはNAVER CloudにサーバーやソフトウェアなどのITインフラの運用を委託しており、旧LINE(現LINEヤフー)との間でシステムの認証基盤が共通化されていた。委託企業の感染によってNAVER側が不正アクセスを受けた結果、システムを介してLINEヤフーも被害にあった。
行政指導に当たって総務省がまとめた10ページに及ぶ文書には、苛立ちすら感じ取れるような厳しい言葉が並ぶ。
「旧LINE社に対しては、(中略)アクセス管理の徹底等も含めて行政指導を行っていたにもかかわらず、なおもアクセス管理の不備を一因とする本事案を招いた」
「電気通信事業全体に対する利用者の信頼を大きく損なう結果となったものであり、当省として極めて遺憾である」
さらに、委託先であるNAVER側への適切な管理・監督を機能させるため、親会社も含めたグループ内における経営体制の見直しの検討にまで言及している。
総務省がここまで厳しい対応を求めたのには、それなりの理由がある。
1億人弱のユーザーを抱えるLINEは、ヤフーを傘下に持つZホールディングス(HD)と2021年3月に経営統合した。さらに2023年10月、持ち株会社のZHDと、傘下の事業会社であるヤフー、LINEが合併して現在の体制へと移った。
旧LINEは経営統合直後の2021年4月にも、総務省から行政指導を受けている。対外的に「データは日本に閉じている」と説明していたにもかかわらず、システム管理を委託していた中国から、利用者の個人情報がアクセス可能となっていたことなどを踏まえたものだった。
その後、親会社であるZHDは、学識経験者や弁護士らによる特別委員会(座長は宍戸常寿・東京大学大学院教授)を設置。データガバナンスの強化に向けて、個々の事業会社による自律的かつ、グループ内での一元的な監督体制を構築するよう提言を受けていた。
個人情報保護法などに詳しい中央大学国際情報学部の石井夏生利教授は「経済安全保障上の意味合いが強かった3年前の問題と性質は異なるが、会社のずさんな体質が背景にある点は共通する。特別委が提言したガバナンス体制も構築できなかったということだろう」と指摘する。
問題の根底にNAVERへの強い依存
今回、総務省がNAVERとの関係見直しにまで言及したのは、同社との強い依存関係が、セキュリティ対策の不全を招いた一因とみているためだ。
LINEヤフーの親会社であるAホールディングス(HD)は、ソフトバンクとNAVERが50%ずつ株式を有している。LINEヤフーにとって、ソフトバンクとNAVERともに実質的な親会社といえる。
旧LINEはもともとNAVERの日本法人として誕生した経緯がある。総務省は、こうした上下関係の強さを背景として、「(LINEヤフーから、委託先である)NAVER社側に対して安全管理のための的確な措置を求めることや、適切な委託先管理を実施することが困難であった」と分析している。
行政指導には表向き、法的な強制力はない。しかし総務省は「今後新たな懸念が生じた場合等には、追加的な措置を求める可能性がある」と警告しており、この先の対応次第で、強制力を伴う業務改善命令が発出される可能性もある。
LINEヤフーの出澤剛社長は3月5日、総務省で行政指導の文書を受け取った後、報道陣の取材に「NAVERとは親会社・子会社の関係性の中で、システム共有化などの協業を行ってきた。(セキュリティに対する)リスク認識が甘かったし、優先順位を上げきれなかった」と陳謝した一方、システム分離には最長3年程度かかるとの認識を示した。
ただ、3年でのシステム分離という会社側の説明に、業界からは「そんな悠長なことを言っていたら、その間にまた不祥事が起きる」と危惧する声も上がっている。
資本関係の見直しに踏み込むとなると、焦点はソフトバンク側の対応だ。
総務省は3月5日、ソフトバンクの宮川潤一社長も霞が関の庁舎に呼びつけた。「適切なガバナンスを構築するためにLINEヤフー社から(経営体制見直しなどの)要請があった場合は、親会社のソフトバンクにも協力してほしいと伝えた」(総務省の担当者)という。
これを受け、ソフトバンクは「親会社として実効的なセキュリティガバナンス確保の方策を検討」していくとのコメントを出した。
LINEヤフーの時価総額は約3兆円。ソフトバンクが出資比率を高めるには、NAVERとの交渉に加え、相応の出費が求められる可能性も出てくる。
シティグループ証券の鶴尾充伸シニアアナリストは3月11日付のレポートで、LINEヤフーによる自己株買い、およびソフトバンクによるNAVERの保有株買い取りを組み合わせることで、NAVERのAHDに対する出資比率の引き下げが進められる可能性が高いと予想している。
これら株式の買い取りの原資として、LINEヤフーとソフトバンクの連結子会社であるPayPay株の売り出しがポイントと鶴尾氏はみる。PayPayは株式上場の方針を示しつつも、その時期は長らく未定とされてきたが、「2025年3月期中にも、IPOが進められる可能性は高まる」(鶴尾氏)。
中長期的な拡大戦略にも影
もっとも、NAVERとの資本関係を見直せば、問題が解決されるわけでもない。中央大の石井教授は「LINEヤフーが自社内でセキュリティ措置を講じられるよう、組織体制を現場から変えていくプロセスが必要だ」と説く。
今回の一件はLINEヤフーの拡大戦略にも影を落としかねない。同社の川邊健太郎会長は2023年11月、東洋経済の取材に対して「GAFAMに対抗するため、日本国内の業界再編を仕掛けたいと思っている」と語っていた。
だが、ITプラットフォーマーの根幹をなすユーザーの情報管理でつまずいている現状、大がかりなM&Aなどを仕掛ける余裕はないだろう。ずさんな体質を根本から改めることができなければ、国内最大のITプラットフォーマーの地位も安泰ではない。
総務省が下した鉄槌は、”行政指導”という名以上に、LINEヤフーに重くのしかかっている。
( 高野 馨太 : 東洋経済 記者)
(真城 愛弓 : 東洋経済 記者)