ウリィ銀行で顧客の個人情報約1万7000件が外部の開発業者を通じて流出する事故が発生した。
ウリィ銀行は3日、顧客への告知を通じて「外部開発業者が任意で保管していた個人情報1万7551件が、当該業者の従業員の過失により流出する事態が発生した」と明らかにした。
銀行によれば、流出した個人情報は、オンラインで個人を識別するための暗号化情報である連携情報(CI)と顧客のニックネームである。会員IDやログインアカウント情報、パスワード、金融取引情報などは流出していないことが確認された。
ウリィ銀行は2024年9月、代替不可能トークン(NFT)プラットフォーム構築プロジェクトを遂行する過程で外部の開発業者に情報を共有した。その後、プロジェクトを終了したが、当該業者の従業員が任意に情報を保管していたところ、開発者プラットフォームにこれを共有し、外部へ流出した。
ウリィ銀行は外部開発業者から顧客情報を破棄したという確認書まで受け取っていたが、事実ではなかった。
ウリィ銀行は「先月30日、流出事実を認知すると同時に開発業者を通じて関連情報へのアクセスを遮断し、個人情報保護委員会に通報するとともにホームページに関連事実を告知した」と明らかにした。続けて「現時点まで流出した情報がオン・オフラインで拡散したり悪用された事例は発生していないと把握している。また、連携情報はオンラインで個人を識別するための値であり、他の情報と結合しない限り、流出した情報のみでは特定の個人を識別できない」と強調した。
ウリィ銀行は、万一発生し得るボイスフィッシングやスミッシングなどの被害防止のため、当該顧客に対し出所不明の電話番号の着信およびSMS内のURLリンクのクリックに格別の注意を払うよう呼びかけた。あわせて、別途の異常金融取引探知システム(FDS)を適用し、未然の事故に備えていると付け加えた。
ウリィ銀行は「今回の件を機に開発業者の個人情報管理の現況を全数調査し、不十分な点は是正措置する」とし、「今回の流出により顧客に被害が発生した場合、できるだけ迅速に確認し補償する」と述べた。