個人情報保護委員会は11日、住民登録番号を法的根拠なく処理し、暗号化措置も不十分だったとして、Lottecardに課徴金96億2000万ウォン（約1億600万円）と過怠金480万ウォン（約53万円）を科し、是正命令と公表命令を出すことを決めた。

同委員会は同日開いた第4回全体会議で、個人情報保護関連法令に違反したとして、同社に対する行政処分を議決した。

個人情報保護委によると、2025年9月に金融監督院からLottecardの個人信用情報流出に関する申告の共有を受け、事実関係の確認に向けて調査に着手した。

調査の結果、Lottecardのオンライン簡便決済システムがハッキングされ、ログファイルに記録されていた利用者約297万人分の個人信用情報が流出したことを確認した。このうち約45万人分には住民登録番号も含まれていた。

今回の事案では、「信用情報の利用および保護に関する法律」が個人信用情報の処理に関する特別法に当たるため、個人信用情報については同法が「個人情報保護法」に優先して適用される。一方、信用情報法に規定のない個人情報の処理には、個人情報保護法が適用される。

このため、金融当局は個人信用情報流出に伴う安全措置義務違反を中心に信用情報法違反の有無を調査し、個人情報保護委は住民登録番号の取り扱いを軸に個人情報保護法違反の有無を調べた。

個人情報保護委の調査では、Lottecardがオンライン決済関連のログに、住民登録番号を含む複数の個人情報を平文で記録していたことが判明した。住民登録番号の取り扱いは法令上認められる範囲を超えており、ログファイルに対する暗号化措置も十分ではなかったという。

同委は、法的根拠なく住民登録番号を処理したことに加え、その過程で十分な暗号化を施さなかった点を問題視し、課徴金と過怠金を賦課した。あわせて、処分内容を同社ホームページに公表するよう命じた。

個人情報保護委は今後、法的根拠がない、または不要であるにもかかわらず住民登録番号を慣行的に取り扱っていないかを確認するため、金融分野の事業者を対象に事前実態点検を3月に実施する方針だ。