韓国の個人情報保護委員会は2月11日、個人情報保護法に違反したとして、Louis Vuitton Korea、Christian Dior Couture Korea、Tiffany Koreaの3社に対し、計360億3300万ウォンの課徴金と計1080万ウォンの過料を科すとともに、処分内容の公表を命じた。

同委員会によると、3社はいずれも顧客管理SaaSの利用過程で個人情報漏えいを起こしていた。

Louis Vuitton Koreaでは、従業員の端末がマルウェアに感染し、SaaSアカウント情報がハッカーに盗まれたことで、約360万人分の個人情報が計3回にわたって流出した。

同社は2013年から、購入客などの管理を目的にこのSaaSを導入・運用していた。しかし、IPアドレスなどによるアクセス制限を設けておらず、個人情報取扱者が外部から接続する際の安全な認証手段も講じていなかったという。個人情報保護委員会は同社に213億8500万ウォンの課徴金を科し、処分を受けた事実を自社ホームページに公表するよう命じた。

Christian Dior Couture Koreaでは、カスタマーセンターの職員がハッカーによるボイスフィッシングにだまされ、SaaSへのアクセス権限を付与したことで、約195万人分の個人情報が流出した。

同社は2020年から購入客などの管理のため同サービスを導入していたが、IPアドレス制限を設けていなかったほか、大量ダウンロードを可能にするツールの利用も制限していなかった。さらに、個人情報のダウンロード有無など接続記録の点検を月1回以上実施しておらず、漏えいの確認は3カ月以上遅れた。

加えて、昨年5月7日に漏えいを認知した後、正当な理由なく72時間を超えて流出の通知を行っていたことも確認された。個人情報保護委員会は同社に122億3600万ウォンの課徴金と360万ウォンの過料を科し、処分内容のホームページ公表を命じた。

Tiffany Koreaでも、Christian Dior Couture Koreaと同様に、カスタマーセンター職員がボイスフィッシングの被害に遭い、SaaSへのアクセス権限をハッカーに渡したことで、約4600人分の個人情報が流出した。

同社は2021年からマーケティング目的で同サービスを導入していたが、IPアドレス制限を設けておらず、大量ダウンロードを可能にするツールの利用も制限していなかった。また、昨年5月9日に漏えいを認知した後、正当な理由なく72時間を超えて流出の申告と通知を行っていた。個人情報保護委員会は同社に課徴金と過料を科し、処分内容のホームページ公表を命じた。

個人情報保護委員会は、初期導入コストの削減や保守効率の向上を理由に、グローバル企業のSaaSを導入して運用する企業が増えていると説明した。顧客管理などを目的にSaaSを導入して個人情報を取り扱う場合、そのシステムは個人情報処理システムに該当するため、業務に応じて必要最小限のアクセス権限を付与するなどの安全措置が必要だとしている。

その上で、IPアドレスなどによって未承認アクセスを統制し、外部から個人情報処理システムに接続する際には、ワンタイムパスワードや証明書、セキュリティートークンといった安全な認証手段を適用すべきだと指摘した。

個人情報保護委員会は「企業がSaaSを導入しても、個人情報を安全に管理する責任が免除されるわけではない」と強調した。サービス側が提供する個人情報保護機能を十分に活用し、漏えい事故の予防につなげる必要があるとしている。