中高生の犯行グループが今年2月、楽天モバイルに生成人工知能(AI)を使って不正アクセスして携帯電話を契約したとして逮捕されたことを受け、総務省は19日、犯行グループが入手したIDとパスワードをもとに、他人の通信履歴を閲覧可能だったことが通信の秘密の漏洩にあたるとして、楽天モバイルを行政指導した。事態を把握しても社内で情報が共有されず、総務省への報告に3カ月以上かかったことなどを問題視した。10月末までにリスク管理体制を構築し、報告するよう求めた。 ■中高生が生成AIを悪用 逮捕された中高生3人は楽天グループのIDとパスワードを不正入手。生成AIを悪用して自作したプログラムを使い、ログインして370回線を契約し、転売したとされる。 総務省によると、不正入手した楽天モバイルのIDとパスワードを利用すれば、7002回線(4609人)分の通信履歴が閲覧可能で、通信の秘密が漏洩していた状態になっていたという。電気通信事業法では、通信の秘密の漏洩については、総務相に遅滞なく報告することが義務付けられており、省令で漏洩を認知してから30日以内の報告を求めている。 楽天モバイルは2月下旬に警視庁から情報提供を受けており、総務省は「遅くとも少年グループが逮捕された2月27日には、通信の秘密の漏洩を把握していたと認められる」と指摘。しかし、報告があったのは6月17日で、情報提供の時点から3カ月以上が経過していた。 ■「警察の連絡にびっくり」 総務省は行政指導で「通信の秘密の漏洩に係るインシデント対応フローの未整備」と「社内で通信の秘密の漏洩の有無に係る検討が行われなかったこと」が直接的な原因と強調した。 同省の聞き取りに対し、楽天モバイル側は「警察から連絡がきてびっくりした。顧客対応に集約し、事業法違反に該当することに考えが至らなかった」と説明しているという。総務省は「個人情報などが漏れた場合、関連規制のいずれか、もしくはすべてが該当するという前提で対策をとる事業者が多い。楽天モバイルが通信の秘密の漏洩に気付けなかったとは容認できない」としている。 総務省が問題視したのは、漏洩事案そのものが発生したことよりも、サイバー攻撃が常態化している中で事案に迅速対応する組織体制が未整備だったことだ。「社内で事案を認知すれば、リスク管理部門が軽重を判断して、取締役会に上げ、対応にあたる各部署に情報を流すのがあるべき姿。書類上は楽天モバイルもそうなっていたが、実際の運用ではそうならなかった」と説明した。