韩国个人信息保护委员会11日在第4次全体会议上决定,因违反个人信息保护相关法律规定,对Lotte Card处以96.2亿韩元罚款、480万韩元罚金,并责令其整改及公开处罚结果。
韩国个人信息保护委员会表示,韩国金融监督院于去年9月通报Lotte Card发生个人信用信息泄露事件后,委员会随即就相关情况展开调查。
调查显示,Lotte Card的在线简易支付系统曾遭黑客入侵,存储于日志文件中的约297万名用户个人信用信息被泄露,其中约45万人的居民登记号码也一并泄露。
委员会指出,《信用信息利用及保护法》是规范个人信用信息处理的特别法。涉及个人信用信息时,原则上优先适用该法;该法未作规定的个人信息处理事项,则适用《个人信息保护法》。
基于这一法律适用原则,金融监督院等金融监管机构主要围绕此次个人信用信息泄露事件中是否履行安全措施义务,对Lotte Card是否违反《信用信息利用及保护法》展开调查;韩国个人信息保护委员会则重点就居民登记号码的处理问题,调查其是否违反《个人信息保护法》。
调查结果显示,Lotte Card在与在线支付相关的日志中,以明文记录包括居民登记号码在内的多项个人信息,在缺乏法定依据的情况下处理居民登记号码;与此同时,其对日志文件采取的加密措施也不充分。
韩国个人信息保护委员会解释称,Lotte Card在没有法律依据的情况下处理居民登记号码,且在处理过程中未采取充分的加密保护措施,因此决定对其处以罚款和罚金,并责令其在公司官网公开处罚事实。
韩国个人信息保护委员会还表示,计划于3月对金融领域企业开展前期排查,重点核查是否存在在缺乏法律依据或无必要情况下,仍习惯性收集和处理居民登记号码的情形。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr