監査院は27日、公共部門の個人情報保護・管理実態に関する監査結果を公表した。個人情報保護委員会が所管する公共システムの一部で模擬ハッキングを行った結果、調査対象となった7システムすべてで個人情報を不正取得できる脆弱性が確認された。最大で5000万人分の住民登録番号を照会できるケースもあった。

監査院によると、2021〜2024年に発生した公共部門の個人情報漏えいの95.5％は外部からのハッキングが原因だった。一方、内部職員による故意の流出は0.1％にとどまった。

これに対し、個人情報保護委員会は2022年に公共部門向けの個人情報漏えい防止対策をまとめていたものの、監査院は外部ハッキングへの対策が不十分だったと指摘した。

監査院は脆弱性の有無を確認するため、公共部門のホワイトハッカー11人を監査に加え、個人情報保護委員会所管の123システムのうち、個人情報を大量に扱う7システムを選んで模擬ハッキングを実施した。

その結果、7システムすべてで個人情報の不正取得が可能な状態にあった。あるシステムでは、接続に必要な情報が暗号化されておらず、ハッカーが管理者権限を取得した場合、13万人分の住民登録番号を奪取できるおそれがあった。

別のシステムでは、顧客の照会情報を改ざんすることで3000人分の住民登録番号を確認できた。さらに、回数制限なく照会を繰り返すことで5000万人分の住民登録番号の照会が可能だったケースや、異常な照会を遮断しないため20分以内に1000万人分の会員情報を奪取できるケースも確認された。

監査院は、個人情報の窃取手法が広がるおそれがあるとして、具体的な監査内容は公表しなかった。一方で、監査期間中に7システムの運営機関へ必要事項を通知し、補完措置はすでに完了したと説明した。

このほか、人事情報と連携する京畿道教育庁の教育行政情報システム、4大社会保険情報連携システム、社会保障情報システム、地域保健医療情報システムでは、退職職員らのアクセス権限の削除漏れなど、管理面の不備も確認された。

監査院は、個人情報漏えい後の対応全般についても改善を求めた。2021〜2025年に大量漏えいが発生した320件のうち306件（96％）では、平均81日、最長838日にわたって情報がインターネット上にさらされていた可能性があるとした。関係機関の未申告により、漏えいの有無を適時確認できない問題もあったと指摘している。

監査院は、漏えいの有無を各機関が確認し、その調査結果を提出するための手続き整備に個人情報保護委員会が消極的だったとして、改善策の策定を求めた。

あわせて、個人情報が漏えいしてもスパムやボイスフィッシングなどの犯罪に悪用されにくくするため、携帯電話番号の暗号化などの対策を講じることや、ダークウェブで違法流通する個人情報を国民が直接確認できる「漏えい個人情報検索」サービスの品質向上も、個人情報保護委員会に求めた。

（聯合ニュース）