「LINE Yahoo面臨的外部壓力」,如何讓屢次外洩個人資料的公司採取完善的資訊安全措
施?
2024年4月9日
Wedge Online
https://reurl.cc/709zLk
LINE Yahoo,負責運營LINE和Yahoo! JAPAN等服務的公司,在4月1日向日本総務省提交了
一份總結了再次防止措施等的報告,作為對於2023年10月發生的個人資訊洩漏事件的行政
指導的回應。該公司表示,將來將積極促使其主要股東韓國IT大公司NAVER重新評估持股
。
能否改善反覆發生個人資訊洩漏的企業文化呢?“對LINE Yahoo施加外部壓力”,這是否
是管理資訊安全對策的全新建議呢?我們將重新發布於2023年12月5日發表的文章《反覆
發生的資料洩漏 LINE還安全嗎?》。
11月27日,大型IT服務公司LINE Yahoo發布公告稱,“可能有40萬條個人資料(包括用戶
資訊)洩漏的風險”。據稱,洩漏的資訊包括LINE用戶的性別、年齡、購買LINE貼圖的歷
史記錄,以及交易對象和員工的電子郵件地址等。
今年10月,LINE與Yahoo合併,更新了個人資訊管理政策,即LINE Yahoo隱私政策,並要
求用戶在登錄時逐步同意新的隱私政策,然而,在此之後很快又發生了資訊洩漏事件。
LINE公司曾於2021年3月17日被揭露,其業務外包給中國相關公司的員工能夠查閱LINE的
用戶個人資料,此舉引起了大眾的強烈反應。根據LINE解釋,從2018年8月到2021年2月期
間,中國上海的一家公司可以查看日本伺服器上的用戶姓名、電話號碼、ID、email以及
用戶的訊息,包括聊天功能和用戶保存的消息等個人資訊。同時還發現了open chat(社群
)監視任務被轉委托予中國大連的一家公司。
在隱私政策中列明的業務外包對象
LINE Yahoo在其隱私政策中公開表示,為了提供服務,可能需要將一部分或全部業務委托
給第三方,如基礎設施建設、運營、開發、支付、配送、客戶支援等。隱私政策的5.b.條
款中指出,“個人資料的全部或部分被委托給以下國家”,並列出了日本、美國、韓國、
愛爾蘭、加拿大、菲律賓、澳洲、越南、泰國、台灣、印尼等。
根據個人資訊保護法,將個人資訊轉移到海外時需要獲得用戶的同意。同意LINE和Yahoo
合併後的隱私政策修訂意味著用戶再次同意將業務委托給包括韓國在內的海外公司。
通常來說,用戶往往會在幾乎沒有仔細閱讀相關條款的情況下,輕易點擊同意按鈕,這種
行為實際上是對於個人資訊委托給海外公司的重要決定。
已經確立為基礎設施的LINE
截至2023年6月底,LINE在日本的月度活躍用戶已超過9500萬人。根據NTT DoCoMo行動社
會研究所今年1月的社群媒體使用率調查,LINE的使用率為83.7%,遠高於Twitter的43.2%
和Instagram的39.9%。
政府機構和自治體也將LINE作為資訊傳遞工具使用,政府議員之間也經常使用。此外,一
些地方政府還將其用作居民登記和行政申請窗口,而作為冠狀病毒預約系統使用的事例仍
然歷歷在目。可以毫不誇張地說,LINE已經成為日本的通訊基礎設施。
作為基礎設施企業的要求
此次資訊洩漏的原因是由於韓國的NEVER Cloud的承包企業員工使用的電腦感染了惡意軟
體。由於NAVER Cloud和LINE Yahoo共用驗證系統,因此一旦能存取NAVER就等於能存取
LINE Yahoo系統。
在2021年中國能隨意存取LINE用戶資料問題事件發生後,為什麼沒有進行認證基礎設施的
分離、網路的分離以及個人資訊的加密等措施呢?說明了該公司缺乏資訊安全意識。
此外,今年8月,Yahoo向LINE的母公司NEVER提供了約756萬條搜索資料,並且未經充分告
知用戶就向他們提供了約410萬條用戶位置資訊,因此受到了日本総務省的行政指導。據
了解,用戶位置資訊並沒有採取足夠的安全措施來保護這些資訊。
對於安全性和個人資訊保護意識的鬆懈引發了一些疑慮擔憂,有人認為應該開發純當地的
社群媒體,或者轉向在當地完成的開發和運營體系。至少目前的LINE Yahoo體制很難說是
適合作為基礎設施企業。
指定為基礎設施經營者並加強管理
以名古屋港集裝箱碼頭系統感染勒索軟體、導致裝卸停滯長達三天的事件為契機,政府於
上月28日決定將“港口運輸”列為“重要基礎設施”,根據網路安全基本法的規定。一旦
被指定,“重要基礎設施的資訊安全保障安全標準等制定指南”將制定資訊安全標準對策
。
此外,若被指定為“關鍵基礎設施”根據經濟安全推進法,當更新設備或設施時,政府將
進行預先審查,預計安全水準將大幅提升。
特別是對於港口系統而言,ZPMC在全球有70%的市佔率,在美軍港口方面占有80%市佔率,
因此美國《The Wall Street Journal》今年5月指出,由於高級感測器能夠追蹤貨櫃的目
的地,因此存在著蒐集對海外行動物資資訊或中國軍隊通過遠端操控起重機的風險。這些
設備的審查和排除不能只是私人企業做出決定,也需要政府參與。
社群媒體是構成重要社會基礎設施的組成部分,可用作所謂認知戰的資訊戰。與港口運輸
系統類似,政府可以考慮將主要的社群媒體和LINE等指定為重要基礎設施或關鍵基礎設施
。
屢次發生的資料外洩及資訊安全問題,如果沒有外部壓力促使公司改進,未來仍舊會發生
資料外洩等資訊安全問題
https://reurl.cc/709zLk
==============================================================================
LINE的資安問題看來不小,從2021年3月資料外洩,還有LINE Pay交易資料外流,似乎
Line公司沒有什麼改進,一直發生資安事件,以至於現在日本政府對Line公司要求,甚至
是公司營運體制及韓國資本持股比例
2021年的LINE Pay部分也曾發生交易資料外流,該是肇因是由於員工將檔案上傳到GitHub
網站
在另一篇與LINE相關的報導提到
https://bunshun.jp/denshiban/articles/b8393
提到商用版LINE (LINE WORKS)是在中國開發,以及高市早苗、小林鷹之(現任及前任經濟
安全保障大臣)也都表態因安全問題不使用Line軟體
董事會,韓國人董事(役員)薪資48億日圓,日本人社長薪資12億日圓
"前警察廳安全單位幹部為什突然辭去董事"
由於此篇須付費才能閱讀內文,所以無從閱覽
--