顧客の個人情報約2万8000人分が流出する事故が発生したボラン相互(ボラムサンジョ)系列各社が、課徴金・過料の処分を受けた。
個人情報保護委員会は14日、ボラン相互開発、ボラン相互リーダース、ボラン相互ライフ、ボラン相互ピープル、ボラン相互エニコール、ボラン相互シロアム、ボラン相互プラスなどボラン相互系列7社に対し、課徴金・過料約5億5000万ウォンを科した。
個人情報委は2024年5月28日にボラン相互開発から個人情報流出の申告を受け、調査に着手した。その後、ボラン相互開発がグループ内の系列会社からオンライン顧客相談などの顧客関係管理(CRM)業務の委託を受け、ホームページで収集した個人情報を統合管理するデータベース(DB)を運用する過程で安全措置を怠っていた事実を確認した。
ハッカーはウェブサイトのセキュリティ脆弱性を狙った「SQLインジェクション(SQL Injection)」方式でDBに侵入し、顧客情報を抜き取ったと把握された。流出した情報は氏名、携帯電話番号、ID(ID)、パスワード、メールアドレスなど合計2万7882人分に上る。個人情報保護委員会は、この中にホームページ会員とオンライン相談会員の情報がともに含まれているとみた。
SQLインジェクションは、ウェブアプリケーションの脆弱な入力値処理機能を悪用して悪性のSQL句を挿入し、これによってDBを操作したり内部情報を奪取する手法である。
個人情報委は、個人情報処理業務を委託した6つの系列会社が、受託者であるボラン相互開発に個人情報を安全に管理させるよう教育・監督すべき義務を十分に果たしていなかったと判断した。
ボラン相互開発は個人情報流出の事実を認知した後も、法定通知期限である72時間を超えて情報主体に関連事実を知らせたうえ、保管期間が過ぎた個人情報を削除していなかったことが判明した。これにより、個人情報委はボラン相互開発に課徴金5億3100万ウォンと過料1140万ウォンを科した。
系列会社にも受託者の管理・監督責任を問うかたちで総額1150万ウォンの課徴金を科し、処分内容をホームページに公開するよう決定した。グループ全体の個人情報処理の現況と意思決定体制を点検・整備し、委託・受託関係の透明性を強化するよう命じる是正命令も出した。
現在、個人情報委は上葬業界(葬祭互助会業)の全般にわたる個人情報管理の実態と改善状況を確認するため、1月から事前実態点検を進めている。