個人情報保護委員会　LINEヤフーネイバー経由で44万件の個人情報流出への対応｜BLOG

個人情報保護委員会　LINEヤフーネイバー経由で44万件の個人情報流出への対応

昨年世間を騒がせていたLINEヤフーの個人情報流出事件の続報です。

ーーーーーーーーーーーーーーーーーーーーーーーーーーー
＜過去blog＞
LINEヤフーネイバー経由で 44万件の個人情報流出
https://plug-in01.com/topics/archives/227
ーーーーーーーーーーーーーーーーーーーーーーーーーーー

その後、個人情報保護委員会から是正勧告が出たり、
▶️https://www.ppc.go.jp/news/press/2024/240328/
総務省から行政指導されたり、
▶️https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000224.html
色々とありましたが、
LINEヤフーもきちんと公式サイト上で対策の進捗を報告していました。
↓
▶️https://www.lycorp.co.jp/ja/privacy-security/recurrence-prevention/

それらの対策の実施状況に対して、
個人情報保護委員会が取りまとめて対応方針を公表しましたので、共有したいと思います。
↓

（個人情報保護委員会HP：https://www.ppc.go.jp/news/press/2024/240522/）

ちなみに、2024年3月28日に公表された個人情報保護委員会の資料から、
（https://www.ppc.go.jp/news/press/2024/240328/）
不正アクセス侵入経路は以下の通り。
↓

なんだかややこしいですが、登場人物は以下の３社。
LY社（LINEヤフー社）、NC社（NAVER Cloud社＠韓国）、
そしてA社（セキュリティ保守会社＠韓国）。

最初に感染したのはA社のPC。
そこから①〜⑦の順番に攻撃されて行ったわけです。

この構図を前提に、対策を見てみましょう。
↓

まだまだ「未了」の項目が目立ちます。
認証基盤、ネットワークの分離など重い課題もあるようですが、
次の報告は2024年6月28日とのこと。
1ヶ月後！？
けっこう頻繁に報告を求めますねぇ。。
それだけ重要案件ということでしょうが、
この事例今後も追っかけていきたいと思います。

それにしても、個人情報保護委員会が詳細な資料を公表してくれるので、
侵入経路や原因、対策など、とても勉強になります。
たった１台のPCから始まるこれらの攻撃手法は、
どの企業にとっても脅威です。
ネットワーク全体（保守会社も含め）をきちんとリスクアセスメントする必要性をヒシヒシと感じますね。