こんにちは。弁護士の浅見隆行です。
総務省は、2024年3月5日、LINEヤフーに対し、通信の秘密の保護とサイバーセキュリティの確保に係る措置を講じて実施状況を報告するよう行政指導しました。
※2024/03/29追記
個人情報保護委員会も2024年3月28日付でLINEヤフーに対して個人情報保護法に基づく勧告を行いました。
https://www.ppc.go.jp/files/pdf/240328_houdou.pdf
LINEヤフーの情報流出とは何か
総務省による行政指導の前提となったLINEヤフーの情報流出とは何かを理解するためには、LINEヤフーを巡る関係者間の資本関係、LINEサービスに関する関係者間の取引関係、情報が漏えいしたルートから解きほぐす必要があります。
LINEヤフーが2023年11月27日、12月27日、2024年2月14日に公表した「不正アクセスによる、情報漏えいに関するお知らせとお詫び」と「再発防止策に関するお知らせ」、3月5日付けの総務省の行政指導を元にすると、概ね、以下のように整理できます。
まず、資本関係を整理すると、次のとおりです。
- LINEヤフーの株式は、中間持株会社のAホールディングスが64.5%を、一般株主が35.5%を保有している
- Aホールディングスの株式は、ソフトバンクと韓国NAVER社が50%ずつ保有している
- 韓国NAVER Cloud社は、NAVER社の100%子会社である。
次に、取引関係と情報漏えいのルートを整理すると、次のとおりです。
- LINEヤフーは、インフラの構築や運営業務をNAVER Cloud社に業務委託している。
- LINEヤフーは、委託業務を行わせるために、旧LINE社環境へのアクセスを許可している。
- LINEヤフーとNAVER Cloud社は、セキュリティメンテナンス業務を同じ会社(仮にα社とします)に委託している。
- α社の従業員のPCがマルウェアに感染して、NAVER Cloud社のADサーバもマルウェアに感染し管理者権限を奪われた
- LINEヤフーの旧LINE社の環境内の各種サーバやシステムはNAVER Cloud社とネットワークで接続されていた。
- 結果、NAVER Cloud社への不正アクセスを介して、旧LINE社の環境にも不正アクセスがなされ、旧LINEの環境内に保存されていたLINEサービスの利用者の通信情報が外部に流出した。
読売新聞オンラインの記事に引用されていた相関関係図がわかりやすかったので、下記に引用します。
「セキュリティガバナンスの不備」として指導された内容
業務委託先とはいえ監督をすることは事実上困難な現実を考慮した
総務省は、事案発生の要因として、LINEヤフーの「セキュリティガバナンスの不備」を、以下のように指摘しました。
ネットワーク構成上の重大なリスクが存在していたにもかかわらず、これが是正されずに本事案の発生に至った背景には、貴社(※LINEヤフーのこと)からみるとNAVER社側(※NAVER社とNAVER Cloud社のこと)が委託先として委託元である貴社から管理監督を受ける立場であるにもかかわらず、NAVER社側と貴社の間で組織的・資本的な相当の支配関係が存在することもあり、貴社からNAVER社側に対して安全管理のための的確な措置を求めることや適切な委託先管理を実施することが困難であったという事情も影響しているものと考えられる。
総務省「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」9ページ
LINEヤフーからNAVER Cloud社にシステムの構築・運用を委託しているから、LINEヤフーがNAVER Cloud社を監督しなければならないのだけれども、しかし、NAVER社はLINEヤフーにとっては主たる株主である持株会社Aホールディングスの発行済み株式総数の50%を保有する株主であり、NAVER Cloud社はNAVER社の100%子会社であるから、監督なんてできないでしょ?ということです。
NAVER社の孫であるLINEヤフーが、NAVER社の子であるNAVER Cloud社(LINEヤフーから見ればおじさん、おばさん)を監督することは無理でしょ、ということです。
力関係から言えばごもっともな指摘です。
なお、2021年に旧LINE社の情報管理が問題になったことを受け、旧LINE社とLINEヤフーは、日本ユーザーのLINEでのトーク履歴などは既に日本国内に移転済みで、画像・動画データを2024年12月にかけて移転作業中だそうです。
2021年からデータ移転を始めていて、結構時間がかかるものですね
「セキュリティガバナンスの不備」を解消するために総務省が指導した内容
総務省は、「セキュリティガバナンスの不備」を解消するために、安全管理措置と委託先管理の抜本的見直し、対策の強化とともに、以下の指導をしました。
上記を踏まえ、実効的なセキュリティガバナンスの確保に向け、貴社内におけるセキュリティガバナンス体制の抜本的な見直しや是正策の検討を行うことに加え、貴社(※LINEヤフー)の親会社等(※Aホールディングス、ソフトバンクグループ、NAVERグループ)も含めたグループ内において、委託先への適切な管理・監督を機能させるための貴社の経営体制の見直し(委託先から資本的な支配を相当程度受ける関係の見直しを含む。)や、適正な意思決定プロセスの構築等に向けた、適切な検討がなされるよう、親会社等に対しても必要な働き掛けを行うこと。
総務省「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」10ページ
太字にした部分の句読点の位置が独特で、どこで文章を切って読めばいいのかよくわかりません。
- 経営体制の見直し・・に向けた、適切な検討がなされるよう・・働きかけ
- 経営体制の見直しや、・・適切な検討がなされるよう・・、働きかけ
- 経営体制の見直しや、・・・働き掛けを行うこと
いずれで読めばよいのでしょう。
1なら、経営体制の見直しと意思決定プロセスの再構築の2つに向けた適切な検討がされるように働きかけるだけでよくなります。
2も、見直しの働きかけと適切な検討がされるように働きかけの2つの働きかけるだけでよくなります。
3なら、経営体制の見直しと、決定プロセスの構築等の適切な検討の働きかけの2つが指導されており、経営体制の見直しは絶対となります。
ここまで読んで「お前は何を言っているんだ?」と思われたもいらっしゃると思います。
図にすると、こういうことです(上から順番に1、2、3です。伝わるでしょうか)。
3の読み方をすると、経営体制の見直し(資本関係の見直しを含む)は、行政指導という名の命令になってしまいます。
とても資本主義とは思えない結果を招きます。
他方で、2の読み方なら、行政は経営体制・資本関係の見直しを働きかけることだけを指導したことになり、最終的に経営体制・資本関係の見直しを決定したのは親会社という体裁をとることはできます。
1の読み方なら、行政は検討を働きかけるように指導しただけなので、もっとも弱腰の指導です。
どれなのでしょうね。
以上は、ちょっとした言葉遊びというか解釈論です。憲法9条の読み方による学説の乱立や政府解釈の論点を思い出しました。
総務省が指摘した「セキュリティガバナンスの不備」が、他社のグループ間取引に与える影響
今回の総務省の行政指導の内容に照らして企業が問題意識を持つべき点は、総務省が「セキュリティガバナンスの不備」として指摘した「孫の位置づけとなる会社が、おじさん・おばさんの位置づけとなる会社を監督しなければならない契約になっているけれど、そんな監督は事実上無理でしょ?」という部分です。
これは、他の企業グループにも影響するのではないでしょうか。
グループ会社同士の取引は、情報セキュリティに関わる業務の委託だけではなく、売買、製造委託などあらゆる業務で行われています。
そうしたグループ会社間取引のほとんどに「同じグループ内の別の会社を監督しなければならない契約になっているけれど、事実上無理でしょ?」という指摘は当てはまるのではないでしょうか。
今後は、そういった指摘が当てはまる取引すべてにおいて、何らかの問題が起きたときには「ガバナンスの不備」と批判されかねない事態になったということです。
大問題です。
では、グループ会社間の資本関係を見直す必要が出てくるのか?というと、それば違うはずです。
今後もグループ会社であることはそのままにして、親会社の立場に位置する事業会社や持株会社のグループガバナンスにおける役割が今までもよりも広がるのではないかと思います。
これまでは、グループガバナンスというと、親会社がそこにぶら下がる子会社・グループ会社をいかにコントロールして不正を防ぐか、不正が発生したあとに適切に対応させるか、といった上から下への縦の関係に主眼が置かれてきました。
しかし、今後のグループガバナンスでは、グループ会社同士の取引(横の関係)にも親会社が間に割って入り、時にはあるグループ会社の代わりに親会社が別のグループ会社を監督する役割などが求められるようになるかもしれません。
グループ会社同士の横の関係に親会社が介入するガバナンスが法的義務なのか法的責任を伴うものなのかは一度横に置いておいて、親会社の社会的責任という観点から考えると、このようなグループガバナンスも新しいあり方としてあってもおかしくないのではないでしょうか。
