背景

• 2023年10月、「貴社（注：LINEヤフー）のITインフラの運用に係る業務委託先であるNAVER Cloud社及び貴社が、それぞれセキュリティに係るメンテナンス業務を委託していた会社（以下単に「業務委託先会社」という。）においてマルウェア感染が生じたことを契機として、NAVER Cloud社のAD（注：Active Directory）サーバがマルウェアに感染し、同社の管理者権限が奪取されるとともに、同社のADサーバに保存されていた貴社のADサーバへのアクセスに係る認証情報等が悪用され、NAVER Cloud社とネットワーク接続のあった貴社の旧LINE株式会社（以下「旧LINE社」という。）環境内の各種サーバやシステムに対して不正アクセスが行われ、これにより、旧LINE社環境内に保存されていた、貴社の提供する「LINE」サービスに係る利用者の通信情報が外部に流出等した」（1回目の行政指導リリース文より）。
  • 不正アクセスについては、以下の記事に詳細にまとめられている：LINEヤフーへの不正アクセスについてまとめてみた - piyolog
• 上記の件について、総務省は、2024年3月5日に、本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策の強化、親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直し及び強化について、①必要な措置を実施するとともに、②その取組方針及び実施状況について、4月1日までに報告し、また、その後1年間、四半期に一度、取組状況について報告するよう指導を行った。
• 総務省は、上記の指導に従ってなされた4月1日付け報告を受けて、4月16日、本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策強化の加速化、親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直しの検討の加速化、取組内容に係る進捗状況の定期的な公表等を通じた利用者対応の徹底について、①必要な措置を講じるよう求めるとともに、②措置の履行状況や実施計画について、7月1日までに報告するよう指導を行った。

 

NAVERが保有する株式の売却について

総務省の主張

• 総務省は、3月5日付け行政指導において、本事案の原因として、①（過去の経緯もあり）LINE社とNAVER Cloud社の間では、(i)広範にネットワーク接続があり、(ii)従業員アカウントの認証基盤も共通化されていたこと、②LINE社においても、(i)重要なシステムについても多要素認証等が導入されておらず、(ii)不正検知も不十分であったこと、③NAVERはネットワーク等についてNAVER Cloudに委託していたが、契約上、十分な安全管理措置を要求しておらず、定期的な評価等も行っていなかったこと、④以上の原因として、「これまでの旧LINE社における社内ネットワークやシステム構築がNAVER社側による技術的支援を大きく受けて複雑に形成され、現在でも、その保守運用等をNAVER社側に頼らざるを得」ず、かつ、「貴社（注：LINEヤフー）からみるとNAVER社側は委託先として委託元である貴社から管理監督を受ける立場であるにもかかわらず、現在でも、貴社の親会社であるAホールディングス社資本の半数をNAVERグループが保持しているなど、貴社とNAVER社側との間には資本的な支配を相当程度受ける関係が存在している」ため、「貴社側からNAVER社側に対して安全管理のための的確な措置を求めることや、適切な委託先管理を実施することが困難であった」ことを挙げた。
• 上記を受けて、総務省は、同日付け行政指導において、改善措置の一つとして、「実効的なセキュリティガバナンスの確保に向け、貴社内におけるセキュリティガバナンス体制の抜本的な見直しや是正策の検討を行うことに加え、貴社の親会社等も含めたグループ内において、委託先への適切な管理・監督を機能させるための貴社の経営体制の見直し（委託先から資本的な支配を相当程度受ける関係の見直しを含む。）や、適正な意思決定プロセスの構築等に向けた、適切な検討がなされるよう、親会社等に対しても必要な働き掛けを行うこと」を要求した。
  • 上記は例えば「委託を見直さなければ、ソフトバンクが関与を強める形で資本関係を変えるよう求めた」ものとして受け止められた（LINEヤフーに資本関係見直し要請 総務省が行政指導 - 日本経済新聞）。
• また、4月1日付け行政指導においては、「委託先たるNAVER社側から資本的な支配を相当程度受ける関係の見直しについても、「複数のシステム利用や技術的支援を受ける関係のあるNAVER社側に対して、資本的な関係の影響を受けずに委託先管理を十分に行えるだけの客観的関係性を実現する」必要があるところ、LINEヤフーの対応は、「貴社の親会社であるAホールディングス社に対して「資本関係に関する見直し要請」をした旨の報告にとどまっている」として、「委託先から資本的な支配を相当程度受ける関係の見直しを含め、委託先への適切な管理・監督を機能させるための経営体制の見直しについて、親会社等を含めたグループ全体での検討を早急に実施し、その検討結果を具体的に報告すること」を改めて要求した。

 

韓国側の反応

• 上記に対し、「韓国外務省は27日、日本の総務省がLINEヤフーの資本関係見直しを促す行政指導をしたことに関し、韓国政府の立場を明らかにした。「韓国企業に対する差別的措置はあってはならないという確固たる立場だ」と表明した」（韓国外務省「差別容認せず」 LINEヤフーの資本見直しで - 日本経済新聞）。
  • なお、この差別的措置とは、日韓投資協定を含む国際通商法上の内国民待遇原則に違反する措置を指しており、人種差別ないし民族差別をいうものではない。

 

コメント

通信の秘密を確保する上での必要性について

• 総務省の一連の行政指導は、通信の秘密の確保に支障があるときの業務改善命令権限（電気通信事業法29条1項1号）を背景に、電気通信役務の円滑な提供を確保するとともにその利用者等の利益を保護する（同法1条）ために行われているものと思われる。したがって、要求の内容は、あくまで通信の秘密を確保し、ひいては電気通信役務の円滑な提供を確保し、利用者等の利益を保護するのに必要な範囲にとどまる必要がある。
• LINEのセキュリティや委託先管理が不十分であったことは疑いがない。しかしながら、LINE―NAVER Cloud間の交渉がLINE―NAVER間の資本関係によって歪められており、そのためにLINEのセキュリティや委託先管理が不十分であったのか（言い換えれば、交渉が歪められたことと不十分なセキュリティ・委託先管理の因果関係が存在するか）は別問題であり、それがないのであれば、総務省の要求は、不当なものである。
  • 例えば、単にLINE社の能力が不十分であるために十分な委託先管理が行われていないにすぎないのだとすれば、総務省の要求は不当なものである。
• なお、上記の関係があると仮定した場合でも、まずは電気通信事業者の株主の規制を導入し（銀行法7章の3のように）、NAVERと対話をするのが筋であり、LINE社を通じて株式売却を要求するのは一足飛びなのではないかと思われる。

 

経済安全保障上の必要性について

• なお、近時、この種の事案で、経済安全保障（上の必要性）が主張されることがある。個人情報保護法の外国第三者提供規制も、外為法の対内直接投資規制も、経済安全保障推進法の基幹インフラ規制も、想定される具体的なリスクの低減を目的とするものであり、マジックワードではない（マジックワードとして扱えば憲法と国際通商法に違反することになるだろう）。
• LINEは2021年にも、中国の委託先が日本のユーザーの情報にアクセスできるようになっていた件について、総務省から行政指導を受けており、このことをきっかけに電気通信事業法が改正され、特定利用者情報保護ルール（昨年11月から動いている）が設けられたという経緯がある。しかしながら、中国と韓国では状況が異なる。中国は政府によるアクセスとプロパガンダのリスクが高いとみなされているが（米国のTikTok法はそのような判断に基づく）、韓国は自由民主主義を共有する友好国であり、個人データ保護に関して言えば、EUから十分性認定を受ける程度の水準は確保されている（つまり少なくとも米国―我々が大量のデータを預けているGoogleやMicrosoftが属する―よりも安全な国だということである）。総務省も、NAVERが韓国企業であることを指導の理由に挙げてはいないが、それは、少なくとも表立ってそのように主張できる事案ではないことを理解しているからだと思われる。

 

互換性確保義務を課すという選択肢

• LINEが情報漏洩を繰り返しているのは、端的に、同社のマネジメント体制が不十分だからであると考えられる。改正電気通信事業法の特定利用者情報保護ルールは、その問題に直接にアプローチするものであるが、一方で、LINEの社内ネットワークを総務省が管理するような事態は現実的ではない（しかし、LINEが自力で問題を解決できないのであれば、そうせざるを得ないのではないかと思われる―みずほのように）。
• そのような不十分なマネジメント体制が改善されない背景には、メッセージングサービスのネットワーク効果と、それによる国内個人向けメッセージング市場におけるLINEの圧倒的シェアが影響しているのではないかと思われる。そうだとすれば、デジタル市場法（DMA）7条を参考に、何らかの形でLINEに互換性確保を義務付け、競争圧力という形でセキュリティ向上へのインセンティブを作り出すことが真の解決につながるのではないかと思われる。
  • DMA7条は、非番号依存対人通信サービスについて、相互運用性の義務を課している。前文55項は、同条の背景について、「相互運用性の欠如は、非番号依存対人通信サービスを提供するゲートキーパー（注：同規則の規制対象者）が強力なネットワーク効果から利益を得ることを可能にし、競争可能性（contestability）を弱める一因となっている。さらに、エンドユーザーが「マルチホーム」であるかどうかにかかわらず、ゲートキーパーは、そのプラットフォームのエコシステムの一部として非番号依存対人通信サービスを提供することが多く、このことは、そのようなサービスの代替的提供者にとっての参入障壁を強化し、エンドユーザーのスイッチングコストを増加させる」と説明している。
  • 同条については、今のところ、WhatsAppとFacebookメッセンジャーが指定されている。AppleのiMessageは指定を免れたが、調査の過程において、自主的にオープンなメッセージングプロトコルであるRCSをサポートすることが表明されている。
• なお、日本法においてもこのようなことは既に行われている。すなわち、電気通信事業法は、固定回線市場におけるNTTの支配的地位から生じる弊害について、接続義務を課すことによって対処してきた（同法32条。33条の非対称規制はその上乗せルールである）。また、銀行業においては、銀行法平成29年改正法（平成29年6月2日法律第49号）附則11条がFintech企業への口座残高等の参照・更新用APIの提供の努力義務を課し、また、独占禁止法の適用可能性（2020年の(令和2年4月21日)フィンテックを活用した金融サービスの向上に向けた競争政策上の課題について | 公正取引委員会）を背景として、資金移動業者に全銀ネットが開放されている。