“LINE Yahoo面临的外部压力”,如何让屡次外泄个人资料的公司采取完善的资讯安全措
施?
2024年4月9日
Wedge Online
https://reurl.cc/709zLk
LINE Yahoo,负责运营LINE和Yahoo! JAPAN等服务的公司,在4月1日向日本総务省提交了
一份总结了再次防止措施等的报告,作为对于2023年10月发生的个人资讯泄漏事件的行政
指导的回应。该公司表示,将来将积极促使其主要股东韩国IT大公司NAVER重新评估持股
。
能否改善反复发生个人资讯泄漏的企业文化呢?“对LINE Yahoo施加外部压力”,这是否
是管理资讯安全对策的全新建议呢?我们将重新发布于2023年12月5日发表的文章《反复
发生的资料泄漏 LINE还安全吗?》。
11月27日,大型IT服务公司LINE Yahoo发布公告称,“可能有40万条个人资料(包括用户
资讯)泄漏的风险”。据称,泄漏的资讯包括LINE用户的性别、年龄、购买LINE贴图的历
史记录,以及交易对象和员工的电子邮件地址等。
今年10月,LINE与Yahoo合并,更新了个人资讯管理政策,即LINE Yahoo隐私政策,并要
求用户在登录时逐步同意新的隐私政策,然而,在此之后很快又发生了资讯泄漏事件。
LINE公司曾于2021年3月17日被揭露,其业务外包给中国相关公司的员工能够查阅LINE的
用户个人资料,此举引起了大众的强烈反应。根据LINE解释,从2018年8月到2021年2月期
间,中国上海的一家公司可以查看日本服务器上的用户姓名、电话号码、ID、email以及
用户的讯息,包括聊天功能和用户保存的消息等个人资讯。同时还发现了open chat(社群
)监视任务被转委托予中国大连的一家公司。
在隐私政策中列明的业务外包对象
LINE Yahoo在其隐私政策中公开表示,为了提供服务,可能需要将一部分或全部业务委托
给第三方,如基础设施建设、运营、开发、支付、配送、客户支援等。隐私政策的5.b.条
款中指出,“个人资料的全部或部分被委托给以下国家”,并列出了日本、美国、韩国、
爱尔兰、加拿大、菲律宾、澳洲、越南、泰国、台湾、印尼等。
根据个人资讯保护法,将个人资讯转移到海外时需要获得用户的同意。同意LINE和Yahoo
合并后的隐私政策修订意味着用户再次同意将业务委托给包括韩国在内的海外公司。
通常来说,用户往往会在几乎没有仔细阅读相关条款的情况下,轻易点击同意按钮,这种
行为实际上是对于个人资讯委托给海外公司的重要决定。
已经确立为基础设施的LINE
截至2023年6月底,LINE在日本的月度活跃用户已超过9500万人。根据NTT DoCoMo行动社
会研究所今年1月的社群媒体使用率调查,LINE的使用率为83.7%,远高于Twitter的43.2%
和Instagram的39.9%。
政府机构和自治体也将LINE作为资讯传递工具使用,政府议员之间也经常使用。此外,一
些地方政府还将其用作居民登记和行政申请窗口,而作为冠状病毒预约系统使用的事例仍
然历历在目。可以毫不夸张地说,LINE已经成为日本的通讯基础设施。
作为基础设施企业的要求
此次资讯泄漏的原因是由于韩国的NEVER Cloud的承包企业员工使用的电脑感染了恶意软
体。由于NAVER Cloud和LINE Yahoo共用验证系统,因此一旦能存取NAVER就等于能存取
LINE Yahoo系统。
在2021年中国能随意存取LINE用户资料问题事件发生后,为什么没有进行认证基础设施的
分离、网络的分离以及个人资讯的加密等措施呢?说明了该公司缺乏资讯安全意识。
此外,今年8月,Yahoo向LINE的母公司NEVER提供了约756万条搜索资料,并且未经充分告
知用户就向他们提供了约410万条用户位置资讯,因此受到了日本総务省的行政指导。据
了解,用户位置资讯并没有采取足够的安全措施来保护这些资讯。
对于安全性和个人资讯保护意识的松懈引发了一些疑虑担忧,有人认为应该开发纯当地的
社群媒体,或者转向在当地完成的开发和运营体系。至少目前的LINE Yahoo体制很难说是
适合作为基础设施企业。
指定为基础设施经营者并加强管理
以名古屋港集装箱码头系统感染勒索软件、导致装卸停滞长达三天的事件为契机,政府于
上月28日决定将“港口运输”列为“重要基础设施”,根据网络安全基本法的规定。一旦
被指定,“重要基础设施的资讯安全保障安全标准等制定指南”将制定资讯安全标准对策
。
此外,若被指定为“关键基础设施”根据经济安全推进法,当更新设备或设施时,政府将
进行预先审查,预计安全水准将大幅提升。
特别是对于港口系统而言,ZPMC在全球有70%的市占率,在美军港口方面占有80%市占率,
因此美国《The Wall Street Journal》今年5月指出,由于高级传感器能够追踪货柜的目
的地,因此存在着蒐集对海外行动物资资讯或中国军队通过远端操控起重机的风险。这些
设备的审查和排除不能只是私人企业做出决定,也需要政府参与。
社群媒体是构成重要社会基础设施的组成部分,可用作所谓认知战的资讯战。与港口运输
系统类似,政府可以考虑将主要的社群媒体和LINE等指定为重要基础设施或关键基础设施
。
屡次发生的资料外泄及资讯安全问题,如果没有外部压力促使公司改进,未来仍旧会发生
资料外泄等资讯安全问题
https://reurl.cc/709zLk
==============================================================================
LINE的资安问题看来不小,从2021年3月资料外泄,还有LINE Pay交易资料外流,似乎
Line公司没有什么改进,一直发生资安事件,以至于现在日本政府对Line公司要求,甚至
是公司营运体制及韩国资本持股比例
2021年的LINE Pay部分也曾发生交易资料外流,该是肇因是由于员工将档案上传到GitHub
网站
在另一篇与LINE相关的报导提到
https://bunshun.jp/denshiban/articles/b8393
提到商用版LINE (LINE WORKS)是在中国开发,以及高市早苗、小林鹰之(现任及前任经济
安全保障大臣)也都表态因安全问题不使用Line软件
董事会,韩国人董事(役员)薪资48亿日圆,日本人社长薪资12亿日圆
"前警察厅安全单位干部为什突然辞去董事"
由于此篇须付费才能阅读内文,所以无从阅览