LINEヤフーが情報管理｢不祥事｣を繰り返す真因 専門家が警鐘｢セキュリティ対策は経営問題だ｣

3年前はデータがどこにあるかが争点だった。「日本国内にあると言いながら韓国にも置いていたじゃないか」などと、対外的な説明の矛盾とデータの管理体制のあり方が問われた。前回も、資本関係がある会社にインフラを依存していた点では共通している（編集注・旧LINEは当時、韓国にある子会社に海外子会社の管理などを任せていた）。

前回は情報が盗まれたわけではないが、今回は外部から不正アクセスがあり、情報を盗まれた。よりユーザーにとっては深刻な問題だ。

――3年前には、総務省から社内システムへのアクセス管理の徹底などを求められ、川口さんが委員を務めた特別委員会からもデータガバナンス体制を構築するよう提言を受けています。再び問題を起こした理由は、危機感が欠如していたからでしょうか。

当時、危機感はあったと思う。相当な回数の会議を開いて議論をしたし、調整役だったZHDの事務局も、調査を行う旧LINE側も大変だったはず。

ただ、1つ上げるならば、全従業員に対して実施した、組織風土などに関するアンケートの回収率が32％と低かった。委員からは「会社を揺るがす事件が起きているのに、3割はありえない」という声も出ていた。

LINEは新しいビジネスをどんどんつくって盛り上げていく、企画推進力の強い会社だと思う。ヤフーも以前、ID流出事件を起こしていて、その頃のコーポレートメッセージは“爆速”だった。グローバルで競争していく上でスピード感は大事だが、バランスのとり方は難しい問題だ。

なぜ仕組みを「導入しない」判断をしたのか

川口洋（かわぐち・ひろし）／1978年生まれ。大学卒業後、2002年に大手セキュリティ会社のラックに入社。2013～2016年にかけて内閣サイバーセキュリティセンターへ出向。2018年、セキュリティシステムやサービスの構築・運用などを行う川口設計を設立。旧LINEでの不祥事を受けてZHDが設置した特別委員会の技術検証部会で座長を務めた（写真：本人提供）

――今回の情報流出はどんな手立てなら防げたのでしょうか。

総務省が指摘しているのは「不十分な技術的安全管理措置」。会社の重要なシステムのログインに当たり、多要素認証などが求められていなかった、不正を検知するための適切な仕組みも導入されていなかったとある。

なぜ入れていないのか。こうした仕組みの必要性は5年、10年も前から言われていることだ。「このシステムには仕組みは適用しなくていい」という何らかの意思決定があったはず。金銭的、もしくは技術的な制約があったのか。

擁護しても仕方がないが、セキュリティ対策は直接的な売り上げを生むものではない。LINEヤフーは2021年に経営統合している。投資家からシナジー創出を求められる中、「システム基盤の更新に3年かけて何百億円使います」などと話して、理解を得る難しさがあったのかもしれない。