会員の個人情報を大規模に流出させた高級ブランドのルイ・ヴィトン、ディオール、ティファニーが360億ウォンを超える課徴金の処分を受けた。
個人情報保護委員会は12日、11日に全体会議を開き、個人情報保護法に違反したルイ・ヴィトンコリア、クリスチャン・ディオール・クチュール・コリア、ティファニー・コリアの高級ブランド3社に対し、360億3300万ウォンの課徴金と1080万ウォンの過料を科し、処分事実の公表を命じたと明らかにした。
これら3社はすべて、サービス型ソフトウエア(SaaS)ベースの顧客管理サービスを利用する過程で個人情報流出事故が発生したことが確認された。
ルイ・ヴィトンでは、従業員の端末がマルウエアに感染し、サービス型ソフトウエアのアカウント情報がハッカーに奪取された。その結果、約360万人の個人情報が昨年6月9日から13日まで計3回にわたり流出した。
ルイ・ヴィトンは2013年から購買顧客などの管理のために当該サービス型ソフトウエアを導入・運用していた。だが、アクセス権限をインターネットプロトコル(IP)アドレスなどで制限せず、個人情報取扱者が外部から接続する際に安全な認証手段を適用していなかったことが判明した。
これを受け、個人情報委は国立航空博物館に213億8500万ウォンの課徴金を科し、処分を受けた事実を事業者のヌリジブ(ホームページ)に公表するよう命じた。
ディオールでは、コールセンターの従業員がハッカーのボイスフィッシングにだまされ、サービス型ソフトウエアへのアクセス権限をハッカーに付与した。この過程で約195万人の個人情報が流出した。
ディオールは購買顧客などの管理のために2020年から当該サービス型ソフトウエアを導入・運用していた。だが、アクセス可能な権限をIPアドレスなどで制限せず、大量データのダウンロード支援ツールの使用を制限しなかった。さらに、個人情報のダウンロード有無など接続記録を月1回以上点検せず、流出事実を3カ月以上確認できなかったことが明らかになった。
個人情報委によれば、ディオールは個人情報流出を昨年5月7日に認知した後も、正当な理由なく72時間を経過してから流出通知を行った。
これにより、個人情報委はディオールに122億3600万ウォンの課徴金と360万ウォンの過料を科した。
ティファニーもコールセンターの従業員がハッカーのボイスフィッシングにだまされ、サービス型ソフトウエアへのアクセス権限をハッカーに付与し、約4600人余りの個人情報が流出した。ティファニーもまた、アクセス可能な権限をIPアドレスなどで制限せず、大量データのダウンロード支援ツールの使用を制限しなかった。ディオールと同様に、ティファニーも流出認知後72時間を超えて利用者通知を行い、報告も遅延した。
個人情報委はティファニーに24億1200万ウォンの課徴金と720万ウォンの過料を科した。
個人情報委は「最近多くの企業が初期構築費用の削減や維持管理の効率性などを理由に、グローバル大企業のサービス型ソフトウエアを導入して運用している」とした上で、「しかしサービス型ソフトウエアに対する信頼を前提に費用・利便の側面だけを考慮すると、個人情報の安全性確保をおろそかにする懸念があるため注意が必要だ」と述べた。
顧客管理などのためにサービス型ソフトウエアを活用する場合でも、これは個人情報処理システムに該当するため、アクセス権限を業務遂行に必要な最小限の範囲で差等付与し、IPアドレス制限やワンタイムパスワード(OTP)など安全な認証手段の適用が必要だと強調した。
個人情報委は「企業がサービス型ソフトウエアを導入する場合でも、個人情報を安全に管理する責任は免除または転嫁されない以上、当該サービスが提供する個人情報保護機能を個人情報取扱者が十分に適用し、個人情報流出事故を予防すべきだ」と述べた。