個人情報保護委員会は1月28日、韓国研究財団が運営するオンライン論文投稿システム「Journal&Article Management System（JAMS）」で約12万人分の個人情報が漏えいした問題を受け、同財団に課徴金7億300万ウォン（約7733万円）と過料480万ウォン（約53万円）を科すと決定した。

同委員会は、個人情報漏えいの届け出を受けて調査した結果、韓国研究財団のJAMSで個人情報保護法違反が確認されたと明らかにした。

発表によると、2025年6月6日、ハッカーがJAMS内の学会ページにある「パスワード探し」URLの脆弱性を突き、パラメーター改ざんやメールアドレスの総当たり攻撃を通じて、会員約12万人分の個人情報を不正に閲覧した。漏えいしたのは、氏名、ID、メールアドレス、携帯電話番号、口座番号など44項目に上る。

調査では、この脆弱性が2013年から放置されていたことも判明した。研究財団は長期間にわたり問題を把握・改善できず、結果として今回の漏えいにつながった。脆弱性診断もJAMSポータルだけを対象としており、約1600の学会向けページは点検していなかったという。

また、研究財団は6月12日に本人通知を実施した際、携帯電話番号や口座番号、研究者登録番号など識別性の高い情報を通知内容に含めておらず、適切な対応を欠いていたことも確認された。

研究財団は住民登録番号を収集・利用していないとしている。ただ、一部会員がJAMSの「備考」欄に住民登録番号を任意で記載していたため、住民登録番号116件も漏えいした。これに先立ち、JAMSのWebアプリケーションファイアウォールでは住民登録番号に該当する13桁の数字が検知されていたが、研究財団は誤検知と判断し、事実確認などの後続対応を取らなかった。

さらに、研究財団はハッキング後も十分なシステム改善を行わないまま運用を継続し、6月17日にはJAMS会員の名義盗用による二次被害も発生した。委員会は、個人情報保護の管理体制全般が不十分だったと判断した。

個人情報保護委員会は、脆弱性の検知と改善が長年行われていなかったことに加え、管理体制の不備により二次被害まで現実化した点を重くみて、今回の漏えいを「極めて重大な事故」と位置付けた。その上で、研究財団が安全措置義務に違反し、漏えい時の本人通知も不十分だったとして、課徴金と過料の処分を決めた。

同委員会は、科学技術情報通信部と教育部に対し、JAMSの管理・運営実態の点検強化と、傘下機関による積極的な個人情報保護投資を促す仕組みづくりを要請した。主要な公的機関を対象に、安全措置義務の強化に向けた周知も続ける方針だ。