総務省:LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)2024年3月5日
総務相:LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
企業全体でLINEを使っている経営者、情報担当者
仕事で個人LINEを使っている方
総務相から以下の措置が出ています。
総務相HP
総務相 措置 PDF
https://www.soumu.go.jp/main_content/000932387.pdf
PDF最終部分のみ引用掲載
(1)において実施を求めた貴社における安全管理措置ないしサイバーセキ
ュリティ対策等を実効性のあるものとし、本事案と同様のインシデントの再
発を確実に防止するためには、単に一部のシステムやネットワークの技術的
な分離措置等を講ずるのみでは不十分というべきであって、セキュリティリ
スクを的確に把握し、リスクを踏まえた実効的な対策を実現できるガバナン
ス体制を、親会社等を含むグループ全体で構築することが必要である。
上記を踏まえ、実効的なセキュリティガバナンスの確保に向け、貴社内に
おけるセキュリティガバナンス体制の抜本的な見直しや是正策の検討を行う
ことに加え、貴社の親会社等も含めたグループ内において、委託先への適切
な管理・監督を機能させるための貴社の経営体制の見直し(委託先から資本
的な支配を相当程度受ける関係の見直しを含む。)や、適正な意思決定プロセ
スの構築等に向けた、適切な検討がなされるよう、親会社等に対しても必要
な働き掛けを行うこと。
以上を踏まえた各企業の対策
リスク対応は、「回避」「転嫁」「軽減」「受容」です。
A案:業務でLINE使用を停止=アプリ削除(再度 業務で使用しないように全社員・スタッフへ通知)
サーバーに残っているものはあきらめる「悪い意味 受容」
B案:「悪い意味 受容」何もしない(情報漏洩等被害があった場合に考える)
C案:その他
D案:「回避 済み」業務用通信機器(携帯・スマホ)にアプリ制限を加えている為、影響なし=対策済み
他山の石として業務を行う
今回の場合、リスク対応「転嫁」「軽減」は「ない」と思います。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格的に対策を考えた場合
もし、LINEを使っていた場合又は個人の通信機器の業務使用に制限を加えていない場合
業務でLINE使用を停止(再度 業務で使用しないように全社員・スタッフへ通知)
その上で、業務用通信機器(携帯・スマホ)にアプリ制限を加える
個人使用の通信機器(携帯・スマホ)の持ち込み制限を加える
総務相の措置をどのように解釈すべきか
結論:「重い」です。
理由:技術的又は、ワークフロー的な内容、企業単体の組織やガバナンスの範疇を超えています。
「貴社の親会社等も含めたグループ内において、委託先への適切な管理・監督を機能させるための貴社の経営体制の見直し(委託先から資本的な支配を相当程度受ける関係の見直しを含む」
以下の判断は、命取りになります。
〇〇も使っているし・・・
使っているの幹部だけだし・・・
情報漏洩のような内容は、うちの会社には関係ないし・・・
これまでも何もなかったし・・・
特に写真を含む映像のやり取りをしている場合は、問題を大きくします。
情報伝達:文字1に対して、静止画像7倍、動画5000倍と言われています。
早急な対策を講じましょう!!
お気軽にお問合せ下さい
木村の資格(終了研修)
- 1999年(平成11年)ISO9000審査員研修コース修了
- 2000年(平成12年)ISO14001審査員研修コース修了
- 2000年(平成12年)ISO27001(ISMS)差分審査準備コース修了
- 2004年(平成16年)移行型ISMS審査員研修コース修了(Information Security Management System 情報セキュリティー分野)
- 2006年(平成18年)ISO/IEC20000審査員研修コース修了
- 2006年(平成18年)SAP内部統制ソリューションコンサルタント
