最終更新日:2025年3月31日
2024年4月26日に個人情報保護委員会に報告した再発防止策の進捗状況は以下の通りです。
再発防止策の各項目及び進捗詳細につきましては個人情報保護委員会へ提出している報告書の概要でもご覧いただけます。
| 2024年4月26日 | |
|---|---|
| 2024年6月28日 | |
| 2024年7月1日 | |
| 2024年9月30日 | |
| 2024年12月27日 | |
| 2025年3月31日 |
| 指導内容 | 当社の対応 | 対応状況 | 今後の予定 | |
|---|---|---|---|---|
| ①
技術的安全管理措置の不備の是正 |
NAVER Cloud社データセンターと当社データセンターとのネットワーク接続に関する是正 | NAVER社及びNAVER Cloud社との不必要な通信の遮断 |
対応中
・ファイアウォールの設置及び2024年3月時点において不要な通信の遮断について完了(2024年3月) ・サーバー・データの日本国内移転に伴うファイアウォールポリシーの見直し及び設定変更、不要なファイアウォールポリシーの削除を実施(2024年6月) ・委託業務の終了・縮小に関する計画策定完了(2024年6月) ・3ヶ月に一度の設定メンテナンスにて不要と判断したファイアウォールポリシーを削除(2024年9月完了) ・NAVER社及びNAVER Cloud社が管理する当社利用システムの分離及び業務委託の終了に伴い、不要となった通信を遮断(2025年3月末) |
以降、継続的にファイアウォールポリシーのメンテナンスを実施 |
| NAVER Cloud社がシステム管理を担う認証基盤の利用停止と当社認証基盤への移行 |
対応中
・NAVER社認証基盤と直接連携している当社管理のシステムについて、当社の認証基盤への切り替えについて完了(2024年3月) ・運用面における分離について完了(2024年6月) ・2025年3月末のシステム分離により当社利用システムの認証基盤の分離を完了(2025年3月末) |
2026年3月末 国内子会社認証基盤の分離完了 2026年3月末(※1) 海外子会社認証基盤の分離完了 |
||
| NAVER社及びNAVER Cloud社のシステム分離 |
対応中
・会計監査・税務申告に利用するデータがあるシステムを除く当社利用システムについて、NAVER社及びNAVER Cloud社とのシステム分離を完了(2025年3月末) |
従業員向けシステムについて 2026年3月末 国内子会社利用システム 2026年3月末(※1) 海外子会社利用システム |
||
| 重要度の高い情報システムへのアクセス管理に関する是正 | 従業員向けシステムに対する二要素認証の適用 |
完了
・旧ヤフー環境にある一部システムを除き適用を完了(2024年3月) ・スマートフォンの持ち込みが禁じられている制限エリアで業務を行う従業員に対し、認証デバイス配布と二要素認証適用を完了(2024年6月末) ・旧ヤフー環境にある一部システムに二要素認証を適用し、当社従業者が利用するすべての社内システムへの二要素認証の適用を完了(2024年10月末) |
- | |
| 重要システムの認証プロセスに対するセキュリティ診断と発見された脆弱性の修正 | 完了 (2024年3月) | - | ||
| Active Directory管理の是正 | 完了 (2024年3月) | - | ||
| その他の技術的安全管理措置の是正策 | 社外と旧LINE社データセンター間の接続経路の総点検 |
完了
・社外環境と旧LINE社データセンター間の接続経路の総点検の実施及び点検結果を踏まえた是正を完了(2024年8月末点検完了、9月末是正完了) ・旧LINE社データセンターからNAVER Cloud社データセンターへのアウトバウンド通信制御の計画を立案(2024年8月末) ・アウトバンド通信に対するファイアウォールポリシーの適用を完了(2024年10月末) ・不必要な通信の点検を完了(2024年12月末) ・アウトバウンド通信に対するファイアウォールポリシー新規追加の申請プロセスを構築(2024年12月末) ・2024年12月の点検結果を踏まえ、ファイアーウォールポリシーの修正・削除を実施(2025年2月) |
以降、継続的にファイアウォールポリシーのメンテナンスを実施 | |
| 外部企業を交えた計画策定 |
完了
・外部企業からの提言受領(2024年3月) ・パスワード保存に関する注意喚起及びe-Learning実施(2024年4月末) ・NAVER Cloud社環境にて適切に対策が実施されていることを確認(2024年5月末) ・当社データセンターのサーバーにおいて、管理共有機能を無効化(2024年6月) |
- | ||
| サイバーセキュリティ対策及びセキュリティ監視にかかる効果検証と抜本改善・強化 |
完了
・外部企業によるペネトレーションテストを実施し、発見された事項に対する是正計画の策定を完了(2024年8月末) ・振る舞い検知等の仕組みや相関分析ルール等の見直しのため、外部機関を交えた現状分析・有効性検証を実施(2024年8月末) ・振る舞い検知や相関分析ルールの効果検証結果を踏まえ、計画した全ての検知ルール実装を完了(2025年2月) ・ペネトレーションテストによる発見事項の是正対応及び是正に向けた仕組みの検討等を実施(2025年3月末) |
以降、継続的な検知ルールの見直し、策定した仕組みの導入や改善状況の定期的なモニタリングを実施 | ||
| ②
組織的安全管理措置の不備の是正 |
個人データの取扱状況の把握及び安全管理措置の評価、見直し及び改善 | セキュリティリスク評価基準の見直し | 完了 (2024年3月) | - |
| リスクに応じた実効的な委託先管理を実現するための監督方法の検討及び基準の策定並びにその実施 | 社内規程・組織の整備を完了し、サプライヤ評価及び案件リスク評価を開始(2024年7月) | 当該体制のもと順次実施 | ||
| 安全管理措置/サイバーセキュリティ対策の策定 |
完了
(2024年1月)
・当社発番のアカウントを用いた委託先による当社ネットワーク環境アクセスに二要素認証を導入 |
- | ||
| 自社としての侵害の有無や範囲の把握するための委託先へのPC貸与 |
完了(※2)
・当社発番のアカウントを用いた委託先へのPC貸与を開始(2024年3月) ・当社業務を実施している委託先へのPC貸与を完了し、当社貸与PC以外からのアクセス遮断及び不要と判断したアカウント削除(2024年9月末PC貸与完了、10月アクセス遮断、アカウント削除実施) ・上記委託先以外の当社ネットワークにアクセス可能な委託先へのPC貸与を完了し、当社貸与PC以外からのアクセス遮断及び不要アカウント削除を実施(2025年3月末) |
- | ||
| NAVER Cloud社との関係に応じたリスク管理 |
完了
・NAVER Cloud社への現地実査と是正要求(2024年2月) ・業務委託の内容に応じた監査を実施し、是正要求事項が是正済みであることを確認(2024年4月末・6月末) ・セキュリティガバナンス向上に向けた従業員アンケートを実施(2024年7月) ・LINEヤフーグループ行動規範に関する従業員アンケートを実施(2024年11月) |
今後、NAVER Cloud社に対し、定期的な監査の継続 また、従業員からの意見を元に、課題解決や改善を継続 |
||
| NAVER社側・NAVER Cloud社への委託業務の終了・縮小計画策定 |
対応中
・技術・システム利用及びサービス企画・機能・開発委託についての委託終了・縮小計画を立案(2024年6月) ・残置する業務に関するリスクアセスメントの実施完了(2024年9月末) ・当社からNAVER社・NAVER Cloud社以外のNAVERグループへの委託を終了(2025年3月末) |
2025年12月末目標 当社からNAVER社・NAVER Cloud社への委託終了 2026年3月末目標 技術・システム利用及びサービス企画・機能・開発委託終了 |
||
| 令和3年行政指導後の対応に関する問題点の改善 |
完了
・重要システム及び求める安全管理措置を定義し、重要システムのリスクを把握・評価する仕組みの構築を完了(2024年6月末) ・上記についての規程化を完了(2024年7月1日) ・重要システムの特定を完了(2024年9月) ・重要システムに対する安全管理措置の遵守状況を確認し、未遵守箇所についての是正を完了(2024年10月確認完了、12月末是正完了) ・時流等に応じた安全管理措置の見直しの実施計画策定(2024年11月) |
- | ||
| 漏えい等事案に対応する体制の整備についての改善 | 事実関係の調査・原因究明等、漏えい等事案に対応する態勢の整備 |
完了
・インシデント発生時の初期行動フローや調査範囲判断プロセス、ステークホルダー及びその役割と責任の整備等に関する改善計画を立案し、外部評価を完了(2024年6月末) ・外部機関の評価を踏まえて改善計画に基づく対応を完了(2024年10月) ・インシデント対応の定期演習を複数回実施(2024年12月から2025年3月) |
以降、継続的にインシデント定期演習を実施 | |
| 独立したSOC(Security Operation Center)業務体制の整備 |
完了
・日本でのSOC Tier1業務の運用を開始(2024年10月) |
- | ||
| 組織体制の整備等についての改善(安全管理措置が徹底される組織体制の整備) |
対応中
・セキュリティ規定の遵守状況をモニタリングするための監査部門の設置完了(2024年4月) ・セキュリティガバナンス委員会の設置完了(2024年4月) ・グループCISO Boardの設置完了(2024年4月) |
セキュリティガバナンス委員会及びグループCISO Boardを通じた継続的な議論と対策の推進 | ||
※1: 当初2026年12月完了としていたところを、2026年3月完了に前倒し
※2: 一部、当社CISOによる承認プロセスを経て、リスク低減策を講じたうえでアクセス遮断の対象外としている委託先があります。詳細は2025年3月31日提出報告書(概要) を参照