お問い合わせ
2025年8月19日、総務省は楽天モバイルに対し、電気通信事業法に基づく厳重注意の行政指導を行いました。これは、同年2月に発生した「通信の秘密」の漏洩事案に関して、法令で義務付けられている報告を3か月以上遅らせたことが原因です。
事件では、生成AIを用いて作られたプログラムが悪用され、中高生グループによって楽天モバイルの通信回線が不正に契約されていました。総務省は、10月末までの再発防止策提出を求めています。
出典:Yahoo!ニュース
目次
楽天モバイルで発生した不正契約と情報漏洩の概要
楽天モバイルでは、2023年11月から2025年2月にかけて、中高生グループによる不正ログインが発生しました。生成AI(人工知能)を悪用して作られたプログラムを使い、他人のIDやパスワードを利用して「my 楽天モバイル」に不正アクセスし、通信回線を不正契約する手口が用いられました。
不正契約された回線は少なくとも7,002件にのぼり、影響を受けた利用者は4,609人とされています。さらに、同じ認証情報によって、通話履歴など通信の秘密に該当する情報が外部から閲覧可能な状態になっていたとみられています。
本人確認書類を回避してeSIM契約を繰り返すという悪質な手法が用いられており、深刻な情報漏洩事件として社会的な注目を集めました。
出典:読売新聞オンライン
総務省による行政指導と再発防止要求
総務省は2025年8月19日、楽天モバイル株式会社に対して文書による行政指導を実施しました。これは、通信の秘密に関する情報漏えいの発生と、それに対する法定報告の遅延が電気通信事業法に違反すると認定されたためです。
総務省によれば、同社の「my 楽天モバイル」に不正ログイン可能なID・パスワードの組合せが第三者に取得され、ユーザーの通信の秘密にあたる情報が外部から閲覧可能な状態にありました。この事案は、電気通信事業法第4条第1項に定める「通信の秘密の漏えい」に該当すると判断されています。
さらに、楽天モバイルは遅くとも2025年2月27日までに本件を認知していたにもかかわらず、総務省への報告がなされたのは6月17日と3か月以上遅延しており、これは同法第28条第1項第2号イに定める「遅滞なく報告書を提出すべき義務」に違反したと認定されました。
総務省は、同社に対して以下の措置を求めました。
- 顧客対応および被害拡大の防止に関する適切な対応の実施
- 通信の秘密の保護に向けた社内体制の見直し
- コンプライアンス・リスク管理体制の抜本的な再構築
- 再発防止策の策定と実施状況の継続的な報告
総務省は、「通信の秘密」の保護を徹底する観点から、今後も必要な指導・監督を継続するとしています。
出典:総務省
情報漏洩時の報告義務と法律違反リスク
電気通信事業法第4条では、通信の秘密に関する漏えいを知った事業者は、遅滞なく総務大臣に報告する義務が定められています。さらに、重大な事故に該当する場合は30日以内に報告書を提出する必要があります。
規定を規定を守らなかったため、法律違反とされ、企業信用の低下や追加処分リスクが発生しました。
情報漏えいにおいて報告義務を怠ることは、企業の信用低下や追加処分リスクにもつながるため、正確かつ迅速な初動対応が求められています。
出典:電気通信事業法
企業が同様の事態に直面した場合の対応フロー
今回の楽天モバイルの事例は、情報漏洩発生時の「初動対応」と「法令順守体制の整備」の重要性を示しています。企業が同様の状況に直面した場合、以下の対応フローが推奨されます。
今回の楽天モバイルの事例から、企業が同様の状況に直面した場合に取るべき対応フローは以下の通りです。
- 初動調査:不正アクセス・漏えいの有無と範囲を即時調査
- フォレンジック調査の依頼:証拠データ保全と侵入経路の特定を行う(ログ改ざんを防ぐため)
- 被害者への通知:影響利用者への通知とサポート体制の構築
- 関係当局への報告:30日以内に総務省へ報告書を提出し、必要に応じて公表
- 再発防止策の策定と運用:本人確認・ID管理の強化、不正検知AIの導入など
情報漏洩が発生した場合に最も重要となるのは迅速な初動対応と証拠となるデータ保全です。フォレンジック調査を活用することで、侵入経路や被害範囲を正確に特定でき、再発防止に直結します。
個人情報漏洩した場合の報告義務
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する必要があります。それぞれ報告内容と報告期限が定められているため、注意しましょう。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術により漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、楽天モバイルにおける不正契約を通じた通信履歴の漏洩と、報告遅延によって総務省から厳重注意を受けた事案について解説しました。
情報漏洩のリスクや、個人情報漏洩時の報告義務と違反リスクへの具体的な対応については、関連解説記事でも詳しく紹介していますので、ぜひご参照ください。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
