個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク！」に関する指導も

個人情報保護委員会は3月28日、個人情報保護法に基づき、LINEヤフーに対してコニュニケーションサービス「LINE」に関する勧告や、オークションサービス「ヤフオク！」における指導を行った。

業務委託先だった子会社のシステムがマルウェア感染し、同システム経由で侵害され、同社コミュニケーションサービス「LINE」の個人データが漏洩したことを受け、安全措置を講じるよう勧告したもの。

「LINE」については、約9600万人が国内で利用していることを挙げ、さらに約52万人分の個人データが流出したおそれがあり、流出したデータには個人の行動範囲、経済状況、趣味、嗜好といったプライバシーも含まれ、権利利益に対する重大な侵害につながるリスクがあると指摘した。

同社は2021年にも行政指導を受けているが、その後も、安全管理に向けた責任の所在、手段の検討、把握が曖昧なまま大量の個人データを取り扱っており、組織的安全管理措置の不備があったとして体制を整備し、改善するよう求めた。

また「ヤフオク！」の特定の商品ページで、2021年5月から2023年8月にかけて一定のコマンドを入力した場合に、オークション出品者の識別子「GUID」が表示される仕様となっており、外部に流出するおそれがあったことも判明したとして安全管理措置の不備を理由に行政指導を行った。

252万1909人においてHTMLソースコード内に「GUID」が表示される可能性が生じ、238万9401人においてページへのアクセス確認されている。ソースコードが閲覧されたかについてはわかっていない。

また掲載した画像のURLや落札画面の一部からGUIDが含まるケースなども判明している。

個情委は、同社社内識別子である「GUID」について、氏名、生年月日、メールアドレス、携帯電話番号、パスワード、お気に入り情報などを紐づけて管理しており、個人データにあたると指摘。

必要な措置を講じ、すでに策定済みで再発防止策を確実に実施、運用するよう求めている。

（Security NEXT - 2024/03/28 ）ツイート