楽天モバイルのユーザー専用ページが、ログイン情報を不正入手した第三者によりアクセス可能な状態となっていた問題を受け、総務省は8月19日、同社に対して文書による行政指導を実施。再発防止に向けた体制強化などを求めた。
本件は2023年11月から2025年2月にかけて、複数の少年らで構成された犯行グループが、楽天モバイルのユーザーIDとパスワード(少なくとも7002回線)を不正に入手。同社のユーザーになりすまし、eSIM回線を不正に契約したというもの。
公開された文書内で総務省は、犯行グループがこれらのIDとパスワードを用いて同社のユーザー専用ページ「my楽天モバイル」にログインし、ユーザーの通話先電話番号、SMS送受信先、通信時間といった情報を閲覧できる状態にあったと指摘。本件を電気通信事業法における「通信の秘密」の漏えいに該当すると判断した。
さらに、楽天モバイルが通信の秘密の漏えいを把握してから総務省へ第一報を伝えるまで、少なくとも3ヵ月かかっている件にも言及。こちらは、遅滞なく漏えい報告書を提出するよう定めた「電気通信事業法第28条第1項第2号イ」への違反行為と認定した。
同省では一連の経緯を踏まえ、楽天モバイルに対してインシデント発生時の対応フローの見直しや、社内規定およびマニュアルの整備によるコンプライアンス・リスク管理体制の抜本的な見直し、実効的な管理体制の構築などを指導。
具体的な施策や取り組み状況などについて、後日同省へ報告するよう求めている。
