日本總務省在今年 3 月、4 月發文給旗下擁有通訊軟體「LINE」的 LY Corporation,針對個資外洩問題進行行政指導。由於 LY Corporation 是由日本軟銀(SoftBank)集團與韓國 NAVER 集團各持股 50% 合資設立於日本的 A 控股公司的子公司,而總務省要求重新審視與 NAVER 之間資本上的控制關係,因此引起韓國社會認為這實際上是日方要從 NAVER 手中搶走 LY Corporation 經營權,而上升到日韓之間的外交問題。
12 年前誕生的手機通訊軟體「LINE」,在日本有超過 9,600 萬的活躍用戶,這意味著有近 8 成的日本人透過 LINE 與他人聯繫。
除了一般人發送訊息以外,包含民間企業,甚至日本政府機構與地方自治體都有開設官方帳號提供民眾資訊和便民服務,包含報名申請托兒所、預約回收大型垃圾、申請住民票(類似戶口名簿的文件)等等都可以透過 LINE 在線上完成。
又比如在疫情期間,「東京都」的官方帳號就曾以報名網路抽籤的方式來決定疫苗接種的次序;經濟產業省則建立「經濟產業省 新冠 業者支援」的官方帳號,提供受疫情影響的企業最新的政府補助政策;厚生勞動省也透過 LINE 來追蹤民眾回國後的健康狀況,取代原本由各地保健所用電話聯絡的方式,以減輕民眾與保健所的負擔。
LINE 會協助政府提供官方服務,現已成為日本政府的通訊「基礎建設」了。
然而,最近 LINE 在日韓之間逐漸演變成外交問題。
LINE 最早是由韓國 NAVER 的前身「NHN」在日本成立的 100% 持股子公司 NHN Japan,於 2011 年所推出的產品。後來為了將 LINE 推廣到全世界,而在 2013 年將公司名稱改名為 LINE 株式會社(LINE Corporation,下稱前 LINE 公司)。接著 LINE Corporation 在 2019 年與日本軟銀旗下擁有日本最大入口網站 Yahoo!JAPAN 的 Z 控股公司(Z Holdings Corporation)合併。
為整合經營 LINE 和 Yahoo!JAPAN,「A 控股」(A Holdings Corporation)公司在 2021 年 3 月誕生。2023 年 10 月再整合 Z 控股公司、LINE 和 Yahoo!JAPAN,現在擁有 LINE 的 LY Corporations(LINE雅虎,以下稱 LY 公司)是由日本軟銀和韓國 NAVER 以各 50% 出資成立的 A 控股(持有 LY 公司 64.4% 的股份)的子公司。
LY 公司在 2023 年 11 月表示有約 44 萬筆 LINE 用戶個資以及客戶和員工資料外洩,今年 2 月還發現有另外約 8 萬筆資料外洩,共有約 52 萬筆,其中用戶個資有 30 萬 2,980 筆(日本用戶佔 13 萬 0,192 筆)、客戶相關資料有 8 萬 6,211 筆、員工個資 13 萬 0,315 筆。日本總務省認定其中有超過 2 萬筆屬於電氣通信事業法的「通信秘密」外洩。
LY 公司將管理伺服器等業務,委託給韓國 NAVER 旗下 100% 持股子公司「NAVER Cloud」。而 NAVER Cloud 正是這起事件的關鍵原因。
由於 NAVER Cloud 的 AD 伺服器(Active Directory,微軟提供的目錄管理服務,用於集中管理組織內部電腦、使用者帳戶的相關資訊)被植入惡意程式,並被駭走系統管理員權限,接著駭客使用存放在 NAVER Cloud AD 伺服器上 LY 公司的登入憑證,非法存取與 NAVER Cloud 有網路連結的前 LINE 公司所建構的網路環境中的伺服器與系統,而導致存放在前 LINE 公司網路環境中的 LINE 用戶個資外洩。
換句話說,LY 公司的伺服器、軟體等資訊基礎建設委託 NAVER Cloud 管理維護,而 NAVER Cloud 和前 LINE 公司之間的登入憑證系統可以互通,進而導致包商被植入惡意程式,NAVER 方被非法存取,結果 LY 公司也因為系統共通而受害。
此外,NAVER Cloud 連接 LY 公司除了特定的連接埠以外還廣泛允許存取,沒有嚴格管理存取權限,在登入公司重要系統時沒有要求多重要素驗證,也沒有採取偵測非法存取的適當機制。
總務省在今年 3 月 5 日發出的行政指導文件中提到,由於到目前為止,前 LINE 公司受到 NAVER 方在技術上的大力支援,而建構起複雜的內網和系統,因此時至今日,仍不得不依賴 NAVER 方來維護整個系統。
在日本電視台 4 月 2 日的報導中,有一位總務省高層表示:「LY 公司的 LINE 服務幾乎全部都依賴韓國 NAVER。換句話說,只是把韓國發源的服務披上一層薄薄的皮稱作是『LINE』而已。當發生問題時,日方連緊急應變都沒辦法做。這令我們困擾。」
文件也指出,從 LY 公司的立場來看,NAVER 方作為承包商理應接受 LY 公司的監督,但由於 NAVER 集團持有 LY 母公司 A 控股的一半股權,導致 LY 公司與 NAVER 之間在資本上存在相當程度的控制關係。
總務省認為這種關係使得 LY 公司難以對 NAVER 要求確實的資安管理措施。
《產經新聞》3 月 5 日的報導中也指出,集團當中複雜的資本關係是造成問題的其中一個原因。LY 公司本身是前 LINE 公司和前 Yahoo!JAPAN 的合併企業,母公司軟銀集團是日本通訊巨頭,也受到大股東 NAVER 的影響。集團內還有大量通訊相關企業,在結構上很難發展共通的資安管理措施。
LY 公司社長出澤剛在 3 月 5 日的記者會上承認「在各種業務合作之下,沒能提高(風險管理)的優先順位」。
在總務省提出的行政指導中,具體對 LY 公司要求的內容包含:網路環境與 NAVER Cloud 分離,僅允許 NAVER 方的系統和設備在必要的最小限度下可以存取 LY 公司的系統,並設置防火牆、關閉不需要的連接埠等。分離 NAVER Cloud 和前 LINE 公司員工帳戶的登入憑證管理系統。重新審視包含母公司在內集團整體的資安治理體系以及承包商在資本上存在相當程度的控制關係這一點。
但另一位總務省高層更進一步向日本電視台表示:「即使是一般企業合併,也會將持股比例調整到 51:49,來確定由哪一方主導,而主導方就負有責任。但關於股權結構,政府沒辦法說『希望他們這麼做』,所以才希望他們思考一下(股權結構)。可能沒辦法馬上做到,但只能請他們做了。」
日本電視台報導指出,日本總務省罕見以行政指導要求重新審視與 NAVER 之間資本上的控制關係,實際上是要軟銀採取行動取得更多持股,降低 NAVER 的持股比例。
總務省也要求 LY 公司在 4 月 1 日提交所採取的措施以及執行狀況的報告,並在未來一年內每季提交一次定期報告。
在這份 10 頁的行政指導文件中,字裡行間可以發現總務省焦躁不耐的語氣。
像是「鑑於貴公司提供的 LINE 服務是我國大多數國民日常使用的服務,由於本案的發生,大大的傷害使用者對貴公司提供的電信勞務,更甚者是對整體電信業的信任,本省極為遺憾」
「尤其是根據貴公司提交的報告,NAVER Cloud 直到貴公司指出之前都未發現受害,使得 AD 伺服器被入侵、外部的 C&C 伺服器(惡意程式的中繼站)能直接連接的狀況持續了相當一段期間,這樣的安全管理措施有問題」
根據 LY 公司的說明,遭到非法存取是在 10 月 9 日開始,17 日偵測到,27 日才終於擋住來自外部存取。而直到 11 月 27 日才公布此案,自發現遭駭已經過 1 個多月。
「對前 LINE 公司,⋯⋯本省(總務省)在 2021 年 4 月已發出包含徹底管理存取權限的行政指導,但仍舊因為存取權限管理上的不完善而招致本案」
2021 年 3 月曾發現前 LINE 公司的中國包商在中國當地的工程師,有權限存取日本伺服器當中的 LINE 用戶個資。
相關報導:超危險! 中國工程師可檢視日本 LINE 使用者個資
除了這兩起事件之外,2023 年 5~7 月,前 Yahoo!JAPAN 在沒有事先通知的情況下,就將搜尋服務約 756 萬筆搜尋內容和使用者位置資訊等,提供給 NAVER 使用,以驗證其開發的搜尋引擎技術,同年 8 月總務省也針對這起事件發出行政指導。
光是前述這些事件就很難抹滅對 LY 公司個資管理體制的不信任。但,其實還發生了其他可以加深不信任的事件。
根據《日經新聞》2023 年 7 月 4 日的報導,2022 年春季,前 LINE 公司在國際隱私認證制度 CBPR 審查中遭遇了挫折,實質上被認定為不合格。
CBPR 全稱為「Cross-Border Privacy Rules」,是指跨境隱私規則,這是在 APEC 的數位經濟指導小組下,由美國領導推動的國際隱私法令遵循標準。也是國際上唯一可與歐盟一般資料保護規則(GDPR)相應的標準。由各地的當責機構對企業或組織進行驗證,通過 CBPR 的認證可以證明企業或組織對資料或個資管理的重視與能力,建構合規資料自由流通的信賴環境,促進商務貿易往來。(文字參考 TPIPAS)
當時在日本負責審查的日本情報經濟社會推動協會(JIPDEC),以「公司治理本身沒有發揮適當的功能」、「貴公司自我聲明的內容真實性存疑」、「關於資安對策及安全管理措施的自我聲明不適當且不合法」等嚴厲的言詞通知 LINE 中斷審查。
甚至在審查開始之後,還發現 LINE 有近 10 起沒有向協會報告的個資外洩事故。
LINE 原本可能是想透過 CBPR 嚴格的隱私規則審查,來恢復 2021 年發生中國工程師可存取日本用戶個資的事件後,日本政府與執政黨對 LINE 的不信任。
但在 LINE 準備萬全後,接受第三方審查的結果,反而又讓 LINE 變得更不值得信任。
依據 3 月的行政指導,LY 公司在 4 月 1 日提交報告後,總務省在 4 月 16 日罕見連續兩個月再次發出行政指導,認為就現下 LY 公司提出的內容很難說安全管理措施和包商的管理已充分執行,尤其是 LY 公司和 NAVER 在網路環境完全分離需要花上兩年多的時間,總務省要求加速處理。
LY 公司在受到總務省罕見接連兩次的行政指導後,社長出澤剛在 5 月 8 日宣布公司兩位董事將在 6 月卸任,而公司的管理結構將調整成由獨立董事佔過半數的體制,LY 公司表示這是在公司根據行政指導綜合判斷後的結果。
卸任的兩位董事分別是被稱為「LINE 之父」出身自 NAVER 的產品長(CPO)愼重扈,以及來自軟銀的策略長(CSO)桶谷拓,他們在卸下董事職位後將專注於各自的 CPO、CSO 工作。
由於愼重扈是 LY 公司內唯一一位韓籍董事,再加上當天社長也透露軟銀和 NAVER 正在協商持股比例,更讓韓國媒體不論是偏進步還是保守,都連日報導稱「日本政府要求 NAVER 賣掉 LY 公司持股」,在韓國社會形成一股「LINE 可能被日本搶走」的風向而引起關注。
結果根據 NAVER Data Lab 的搜尋趨勢,5 月 9 日韓國網路上的「LINE」搜尋量指數為 47.1,是 5 日 3.12 的 15.1 倍。搜尋量指數是將搜尋字詞的搜尋次數,以過去兩年內最高紀錄設為 100 計算出來的。這是在韓國最普及的通訊軟體 KakaoTalk 發生大規模通訊障礙的隔天,2022 年 10 月 16 日(100)以來的最高紀錄。
而 LINE 的新增下載量在 5 月第一週達到 5 萬 8,346 次,是去年 8 月第二週(5 萬 9,728 次)以來的高紀錄。《韓聯社》報導指出這是「由於擔心 NAVER 培育的國際性通訊軟體 LINE 可能被日本搶走,韓國用戶為了守護 LINE 而採取的行動」。
日媒《每日新聞》的論說委員澤田克己指出,韓國保守派大報《朝鮮日報》的報導加速了韓國輿論延燒。
《朝鮮日報》 4 月 25 日在報紙頭版報導稱「彷彿是對待敵對國一般⋯⋯日本要韓國 IT 企業賣掉持股滾出去」。
接著 4 月 26 日在社論中提到,美國國會通過法案要求總部設於北京的字節跳動公司出售短影片分享平台「TikTok」在美國的業務,否則將禁用,社論指出這是為了在事前阻斷敵對國濫用情報的可能性。
延伸閱讀:TikTok禁令倒數計時 美眾參議院相繼通過 拜登火速簽署
《朝鮮日報》 以此例指稱日本政府強迫韓國代表性企業出售經營權,實際上就如同宣告韓國是敵對國,韓國民眾也只能這樣理解。
澤田引述韓國政府相關人士透露「《朝鮮日報》開第一槍造成的影響很大。如果是(偏進步派的)《韓民族日報》或《京鄉新聞》來寫的話,可能不會燒成這樣。」
而透過日本電視台採訪長期活躍於國防領域的日本匿名專家 B 則可以看到在經營權之外,日本政府關心的是資訊安全的問題。B 提到「存取 LY 資訊的人,並不是要拿去做買賣,不是這個層級的問題。是要在『關鍵時刻』使用。美國不是也經常在吵要『禁用 TikTok』嗎?個資有可能外流,要怎麼用有很多方法。像是去接觸個人,投其所好放消息就能誘導他。」
專家 B 還提到情報不分是來自一般人還是高官,情報看的是「怎麼用」。這次雖然非法存取發生在韓國,但這些資料可能會被拿到對日本安全上不友善的國家,而使用這些資料的時機會是在發生類似烏克蘭緊急狀況的時候,在不知不覺中在短時間被拿走大量的數據。專家籲需要保持危機意識。
對於 LINE 被駭走個資到底會造成什麼傷害?另一位匿名專家 A 提到了「影響力作戰」(Influence Operations)這個詞,正是前述專家 B 說的,有了情報,就能投其所好來影響人們做決定。這可能被用來釋放假消息、干預選舉,進而影響民主制度。
專家 A 舉例說那些被偷的情報,可能被中國用來釋放他們想要的敘事並滲透進日本,或是植入日本應該放棄「獨島」(日韓在日本海上有主權爭端的小島,日本稱為竹島,目前由韓國實質控制)、日本不為徵用工問題道歉的政治人物很有事、不讓這種政治人物落選的話亞洲會變得一團糟等等的觀念。
如同前述提到的日本有近 8 成人口是 LINE 的活躍用戶,其中還有超過 6,000 萬人使用政府、地方自治體官方帳號提供的公共服務。2022 年 8月開始陸續施行的《經濟安保推進法》第三章中規定國家要去檢查重要關鍵基礎設施,對象包含對日本全國有偌大影響力的企業,LY 公司正是其中之一。
自今年 5 月 17 日起,為了防止國家重要設備遭受「外部妨礙」,法規規定「在引進設備和委託管理時,需要事前向國家申報」。
另一方面,NAVER 在 5 月 10 日發布新聞稿表示,正在與軟銀進行包含賣出持股的協商,並感謝韓國政府澄清這是兩國公司自主決定事項。
同日,韓國科學技術情報通訊部第二次長姜度賢在下午召開的記者會上表示「僅管日本政府在行政指導中沒有要求賣出持股的敘述,但對韓國企業而言會受到賣出持股的壓力,關於這一點我們表明遺憾。對日本政府可能陷入被誤解的狀況,我們也表明遺憾」。
姜次長也提到韓國的立場,「對於針對韓國企業的歧視性措施和違背韓國企業意願的不當措施,我們將堅決予以強烈回應」,並表示「如果 NAVER 表明要維持 LY 公司的股份和業務,我們將協助其採取適當的措施以加強資訊安全」。
姜度賢提到考慮賣出持股是 NAVER 自身的考量,他解釋說 LY 公司的經營權實際上在 2019 年後就處於軟銀的控制之下,NAVER 認為要將其技術和 know-how 應用於 LY 公司有困難,因此從中長期業務發展的角度來看,一直有在考慮包含賣出持股等各種替代方案。
而日本總務大臣松本剛明也在同日舉行的記者會上則表示「行政指導是要求加快審視包含母公司在內集團整體的資安治理體系,並不是從經營權的角度要求重新審視資本結構」,強調行政指導並非以奪取 NAVER 的經營權為目的。
這場 LINE 引發的問題對於 4 月在國會改選取得壓倒性席次的進步派第一大在野黨「共同民主黨」而言,是一個用來煽動韓國民眾反日情緒、批評尹錫悅政府對日關係的絕佳材料。
延伸閱讀:韓國會改選》朝小野大格局不變 執政、在野席次史上差距最大
共同民主黨代表李在明 5 月 11 日在臉書上寫道「伊藤博文侵佔朝鮮領土,伊藤博文的子孫侵佔韓國的網路領土」,批評韓國政府在問題發生時只會愣在那裡。
在這則發文之前李在明還分享了一篇相關報導,並質問「韓國政府在哪裡?」,該則報導中就提到日本總務大臣松本剛明的高祖父是韓國第一任統監(總督)伊藤博文。
另一個因國會改選成為第三大黨而有了底氣的祖國革新黨,其黨代表曹國是前總統文在寅的親信,有很強的反日立場,曾任法務部長,當時他的相關醜聞一樁接一樁被爆出來就像洋蔥撥開一層又一層,因此還被稱作「洋蔥男」。
曹國同樣也提到松本剛明和伊藤博文的血緣關係,將 LINE 問題連結殖民統治歷史來煽動韓國的反日情緒。不過,澤田克己認為這種主張在現在的韓國不會有共鳴。
曹國還在 5 月 13 日登上日韓有主權爭端的竹島(韓稱獨島),並在聲明中提及日本總務省要求重新審視 LY 公司和 NAVER 之間的資本關係,批評說「(日本)主張獨島是自己的領土,還要搶走 LINE」,也批評重視對日關係的尹錫悅政府是「歷屆最糟的親日政權、賣國政府」。
韓國總統辦公室政策室長成太胤在 5 月 13 日重申會以最大程度協助韓國企業在海外進行投資、政府會提供 NAVER 加強資安措施的必要協助、堅決回應違反韓國企業意願的不當措施。並針對在野黨的行動表示「助長反日情緒的政治框架損害了國家利益,無助於保護韓國企業」。
澤田克己提到在 5 月上旬訪日的共同民主黨議員聽到了一個很重要的觀點,在韓國年輕族群當中會對中國如此反感是由於他們感到「中國在對韓國做不合理的事,這不公平」。
起因是 2017 年中國為報復駐韓美軍部署薩德反飛彈系統,實施了實質意義上的經濟制裁限韓令。雖然韓國整體都對中國反感,但年輕族群尤其極端的反感中國。這是因為中國輕視韓國的「不公平」態度所引起的怒火。
對於這些持續處於極端競爭環境的韓國年輕人而言,「公平」是一個非常重要的關鍵字。套用在這次的 LINE 問題上,如果以「不公平」的方式讓 NAVER 蒙受不利益,將可能引起爆炸性的強烈反彈。
澤田克己認為儘管發生這次的 LINE 問題,但幾乎沒有人認為尹錫悅的對日政策會因此改變,但如果情況發展下去,刺激到對「公平」很敏感的韓國年輕族群,不可否認尹政府將可能陷入難解的局面。
參考新聞連結:
2024/03/05 総務省 LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
2024/04/16 総務省 LINEヤフー株式会社に対する通信の秘密の保護及び サイバーセキュリティの確保の徹底に向けた措置(指導)
2021/04/26 総務省 LINE株式会社に対する指導
2023/08/30 総務省 ヤフー株式会社に対する行政指導
2024/04/02 日テレ 【解説】LINEヤフー問題 報酬年間45億円の慎ジュンホ氏「出澤社長の4倍」が物語ること 政府の警戒は杞憂か?
2024/03/05 産経 行政指導受けたLINEヤフー 情報管理の甘さ、改善せず
2023/11/27 LINEヤフー 不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)
2023/07/04 日経 ヤフー・LINE合併に難題 個人情報認証、白紙の公算
2024/05/08 NHK LINEヤフー 情報漏えい問題で経営体制見直し 取締役2人が退任
2024/05/10 NHK LINEヤフーに引き続き資本関係見直し要求 総務相 情報漏えいで
2022/10/31 日経 韓国国民的通話アプリが大規模障害、「デジタル停電」で阿鼻叫喚
2024/02/04 디지털데일리 ‘카카오톡 천하’→’유튜브 천하’로…국내 사용자 수 1위 앱 지각 변동
2024/04/26 朝鮮日報 日本政府は韓国を敵性国家と見なすのか【4月26日付社説】
2024/05/15 朝鮮日報 「韓国のLINEが日本に奪われかねない」 韓国でLINEアプリ新規DL数急増
2024/05/12 聯合ニュース LINEヤフー問題で検索数急上昇 韓国で「守る運動」広がるか
2024/05/10 聯合ニュース 日本の圧力「遺憾」 LINEヤフー資本関係見直し=韓国政府
2024/05/13 産経 韓国野党代表が竹島上陸、LINE問題で尹錫悦政権の対日外交非難「歴代最悪の親日政権」
2024/05/13 朝日 元韓国法相が竹島上陸 「LINEヤフー問題」に言及、尹政権を批判
2024/03/15 東洋経済 LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
2023/12/18 PRESIDENT Online なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する「日本×韓国企業」のガバナンス危機
2024/05/15 週刊エコノミスト 日韓関係を悪化させかねない「LINEヤフー問題」韓国の見方 澤田克己