新韓カードが自社加盟店主の個人情報が流出した事実を把握しながらも、当事者への通知が20日近く遅れ、内部統制が適切に機能していないとの指摘が出ている。個人情報保護法上、個人情報が流出した場合は72時間以内に被害者に流出事実を知らせなければならず、これに違反すると過料が科される。
24日、業界によると、新韓カードは23日午後2時から個人情報流出の被害者にショートメッセージを送信し、流出事実を通知した。新韓カードはデータ分析作業と流出経緯の把握を終えた5日に金融監督院に関連事実を報告したが、当事者には18日後になってようやく知らせたということだ。
新韓カードは、社員12人が2022年3月から今年5月まで内部システムに接続し、加盟店代表の氏名、携帯電話番号などの情報を抜き取り、カード募集人に渡して営業を指示していたと前日に明らかにした。
個人情報保護法施行令によれば、新韓カードのような個人情報取扱事業者は、個人情報が流出したことを知ったときは72時間以内に被害者(情報主体)に対し、流出した個人情報および流出時点・経緯などを知らせなければならない。流出した個人情報の種類や流出時点・経緯を確認できなかった場合でも、個人情報流出の事実と当時確認された内容などを通知すべきだ。これに違反すると3000万ウォン以下の過料が科される。
新韓カードは個人情報保護委員会(個人情報保護を所管する政府機関、略称・個情委)と韓国インターネット振興院(KISA)にも前日になってようやく流出を申告した。個人情報保護法施行令によれば、個人情報流出時には具体的内容を把握できなくても72時間以内に個情委などに申告し、追加で確認された内容は確認され次第ただちに申告することになっている。これを守らなくても3000万ウォン以下の過料が科される。
新韓カードは個人情報流出を確認した時点が前日だったと主張している。新韓カード関係者は「1次把握(5日)当時、流出があったかは不確実な状態だった。5日以降、継続的な内部調査を進め、23日に流出を認知して直ちに申告した」と述べた。
新韓カード社員が持ち出した情報は、加盟店代表の携帯電話番号・氏名・生年月日・性別など19万2088件で、内訳は▲携帯電話番号18万1585件 ▲携帯電話番号+氏名8120件 ▲携帯電話番号+氏名+生年月日+性別2310件 ▲携帯電話番号+氏名+生年月日73件である。
流出した19万2088件のうち94%(18万1585件)は携帯電話番号のみの流出で、個人情報とみなしにくいとの意見もある。個人情報とは個人を識別できる情報を指し、携帯電話番号は他の情報と結合して個人を識別できる必要がある。個情委は、今回流出した携帯電話番号が個人情報に当たるかどうかを含め、通知・申告義務違反の有無を調査している。