昨年、個人情報流出と無断少額決済事故が発生したKTに対する韓国政府の制裁水準が早ければ今月末に確定する見通しだ。違反行為関連の売上高を基準に単純計算した法定最大課徴金は約2,000億ウォンだが、事故経緯や被害規模、事後措置などにより実際の賦課額は変わる見通しである。
19日、業界によると、個人情報保護委員会は29日に全体会議を開き、KTの個人情報保護法違反に伴う課徴金と是正命令などの制裁案を審議・議決する予定だとされる。個人情報保護委は5月に調査を終え、KTに処分事前通知書を送付した後、会社が提出した疎明資料を検討している。追加検討が必要と判断すれば議決は延期される可能性がある。
KTでは昨年9月、違法な超小型基地局(フェムトセル)を利用した個人情報流出と無断少額決済事故が発生した。科学技術情報通信部の民官合同調査団は、違法フェムトセル20台を通じて2万2,227件の回線の電話番号と国際移動加入者識別番号(IMSI)、端末識別番号(IMEI)などが流出したと把握した。
このうち368人は決済認証のSMSと通話が奪取され、合計777件、2億4,319万ウォンの無断少額決済被害を受けた。個人情報保護委は、1人が複数回線を保有する事例や法人回線などを除き、個人情報が流出した情報主体を1万6,000余人と算定したとされる。
個人情報保護法によれば、個人情報保護委は違反行為に関連する売上高の最大3%を課徴金として賦課できる。KTの直近3年の無線サービス売上は年平均約6兆6,689億ウォンである。これを基準に単純計算すると、課徴金の上限は約2,000億ウォンとなる。
ただし実際の課徴金は、違反行為と直接関連する売上の範囲や違反期間・重大性、被害規模、加重・減額事由などを反映して決定される。違法フェムトセルの内部網接続を防げなかった点や、流出した識別情報が無断決済に直接利用された点は、制裁水準を引き上げる要因となり得る。
民官合同調査団は、KTに納入されたフェムトセルが同一の証明書を使用し、証明書の有効期間も10年に設定されていたため、違法機器の内部網接続が可能だったと指摘した。KTが過去にマルウェアに感染したサーバー43台を発見しながらも当局に申告しなかった点や、侵害事故の申告が遅延した事実も確認された。
サーバー廃棄時点を事実と異なる形で報告し、関連バックアップログを提出しなかった点も不利に作用する可能性がある。調査団はこれに関連し、KTが韓国政府の調査を妨害した状況があるとみて、偽計による公務執行妨害の容疑で捜査機関に捜査を依頼した。
一方でKTが被害顧客の無断決済額を補償し、SIMカード無償交換と解約違約金免除などの被害救済措置を実施した点は、減額要素として検討され得る。違法フェムトセルの接続遮断と情報保護投資の拡大、セキュリティ諮問委員会の発足など再発防止策も制裁水準に反映される見通しだ。
先に個人情報保護委は、大規模な個人情報流出事故を起こしたSKテレコムに課徴金1,348億ウォンを賦課した。現在の最高課徴金は、個人情報3,756万人分が流出したクーパンに賦課された6,247億ウォンである。個人情報保護委が制裁を確定しても、KTが行政審判を請求したり行政訴訟を提起した場合、課徴金の算定基準と責任範囲をめぐる法的攻防に発展する可能性がある。