未成年グループが生成AIを悪用した不正行為
今年2月、中高生3人のグループが生成AIを利用して不正プログラムを作成し、楽天モバイルのIDとパスワードを不正入手した。彼らはこの情報を用いて370回線を契約し転売したとされる。結果として7002回線分、約4609人の通信履歴が外部から閲覧可能となり、通信の秘密が重大に侵害される事態となった。
警察の情報提供から報告まで3か月以上
警視庁は2月下旬に楽天モバイルへ情報提供を行ったが、同社が総務省に報告を行ったのは6月17日だった。電気通信事業法では「漏洩を認知してから30日以内に報告すること」が義務付けられており、この遅延は明確な法令違反に当たる。総務省は「遅くとも2月27日の逮捕時点で事案を把握していた」として、組織的対応の欠如を厳しく批判した。
リスク管理体制の未整備が直接原因と指摘
行政指導の中で総務省は、「インシデント対応フローの未整備」と「社内での検討不足」を直接的な原因として挙げた。実際にはリスク管理部門が取締役会に報告し、関係部署へ情報を流す仕組みが必要だが、楽天モバイルではそれが機能していなかった。総務省は「多くの事業者は情報漏洩を前提に対策をとるが、楽天モバイルはそれを怠った」と批判した。
行政による監督強化と今後の課題
総務省は楽天モバイルに対し、10月末までに体制見直しの計画を提出し、翌年1月からは1年間にわたり定期的に報告することを義務付けた。これは一度限りの措置ではなく、継続的な改善を迫る厳しい監督である。サイバー攻撃が常態化する中、行政は事業者に対し、迅速に復旧できる組織体制の整備を強く求めている。
楽天グループ全体の信頼回復が焦点に
楽天モバイルは「お客様と関係者にご迷惑をおかけした」と謝罪し、法令順守の徹底と内部管理体制の強化を誓った。しかし同社は2023年にも行政指導を受けており、グループ全体で不正アクセス被害が相次いでいる。利用者の信頼を取り戻すには、抜本的な組織改革が不可欠とされる。
