個人情報保護委員会は12日、昨年約297万人の顧客個人情報を流出させたロッテカードに対し、過料9億6,200万ウォンと科料480万ウォンを科すと明らかにした。
個人情報委は前日に開かれた全体会議で、ロッテカードの個人情報保護法違反行為について、同様に過料・科料の賦課と是正および公表命令を議決した。
ロッテカードは昨年9月、オンライン簡易決済システムがハッキング被害に遭い、ログファイルにあった利用者約297万人の個人信用情報を流出させた。調査の結果、このうち45万人は住民登録番号も併せて流出したことが確認された。
個人信用情報の取扱いについては信用情報法が優先適用されるため、金融当局と個人情報委が役割を分担して調査した。金融当局は情報流出に関連する安全措置義務違反の有無を中心に信用情報法の適用可否を検討し、個人情報委は住民登録番号の取扱過程で個人情報保護法違反があったかどうかを精査した。
ロッテカードの立場では信用情報法が優先適用されたことで、数百億台の過料は免れたとみられる。信用情報法上は、個人信用情報をハッキングで紛失・盗難に遭った場合、過料の上限が50億ウォンに制限される。金融当局の制裁水準はまだ確定していない。
個人情報委の調査結果、ロッテカードはオンライン決済過程で生成されるコンピュータ記録(ログ)ファイルに住民登録番号を含む多数の個人情報を平文の形で記録するなど、法で許容された範囲を逸脱して住民登録番号を取り扱っていたことが判明した。
現行の個人情報保護法は、法律や大統領令などで処理を求めるか許容した場合、または情報主体や第三者の切迫した生命・身体・財産の保護に明白に必要な場合などにのみ、住民登録番号の処理を許容している。ログファイルに対する暗号化措置も十分に講じられていなかったことが明らかになった。
ログにはやむを得ない場合に最小限の個人情報のみを記録すべきだが、ロッテカードは別途の検討なしに住民登録番号など複数の個人情報を併せて保存してきたと把握された。個人情報委は、こうした慣行が今回のハッキング事故で大規模な個人情報流出につながった原因の一つとみている。
個人情報委は、ロッテカードが法的根拠なく住民登録番号を処理した行為と、その過程で十分な暗号化を適用しなかった行為に対し、過料9億6,200万ウォンと科料480万ウォンを賦課し、処分事実をホームページに公表するよう命じた。
個人情報委は、ロッテカードの事例のように不必要に住民登録番号を処理する慣行を正すため、今月中に金融分野の事業者に対する事前実態点検に乗り出す予定だ。