個人情報保護委員会は、オンライン論文投稿システム(JAMS)のハッキングにより12万人余りの個人情報が流出した韓国研究財団に対し、過料7億300万ウォンと科料480万ウォンを科した。
個人情報保護委は28日に全体会議を開き、研究財団が個人情報の安全措置義務に違反し、流出通知の履行も不十分だった点を考慮してこのように議決したと29日に明らかにした。
調査の結果、ハッカーは昨年6月、JAMS内の学会ページにある「パスワードを探す」機能に存在していた脆弱性を悪用し、パラメーター改ざんとメールアドレスの無作為代入方式により約12万人の会員の個人情報を閲覧したことが確認された。流出した情報には、氏名、ID、メール、携帯電話番号、口座番号など計44項目が含まれていた。
JAMSは韓国研究財団が運営するオンライン論文投稿・査読システムで、ポータルと1617件の学会ページで構成されている。パスワード検索ページのインターネットアドレス(URL)に含まれるメールアドレスを任意に変更すると、必須入力値をすべて入力しなくても個人情報画面が露出する構造だったことが調査で分かった。
個人情報保護委は、当該脆弱性が2013年から存在していたにもかかわらず、研究財団が長期間にわたりこれを検知・改善できなかったと指摘した。研究財団はポータルについてのみ点検を実施し、多数の学会ページは別途の点検を行っていなかったことが明らかになった。
また研究財団は、個人情報流出の事実を通知する過程で、携帯電話番号や口座番号など一部の主要な流出項目を漏らし、通知を適切に履行しなかったことが確認された。会員の一部が備考欄に任意に記載した住民登録番号116件も併せて流出した。
ハッキング事故後も十分なシステム改善なしに運用を続け、会員名義の盗用による二次被害が発生するなど、事後対応も不十分だったことが明らかになった。
個人情報保護委は今回の事故を重大な個人情報流出と判断し、過料・科料の処分とともに、JAMS全般に対する脆弱性点検と再通知、責任者の懲戒勧告、処分結果の公表などを命じた。