写真=個人情報保護委員会

個人情報保護委員会は8日、英国のオークション事業者Christie’sに対し、個人情報保護法違反で課徴金2億8000万ウォンと過料720万ウォンを科したと発表した。ヘルプデスクの認証不備により、韓国の会員620人分の個人情報が漏えいしたことを受けた措置。あわせて、処分事実を自社ホームページで公表するよう命じた。

同委によると、Christie’sではヘルプデスク担当者がハッカーによるボイスフィッシングの被害に遭い、個人情報処理システムに接続するための認証情報が不正に再発行された。この結果、韓国の会員620人分の個人情報が流出した。

調査では、同社がパスワード再発行の際、SMSやメールなどによる追加認証を行わず、申請者の入社日や所属部署といった基本情報の確認だけで手続きを進めていたことが確認された。

実際の流出時には、その確認手順すら経ないままパスワードが再発行されていた。さらに、アカウント接続に必要な電話番号もハッカー側の番号に変更されていたという。

このほか、顧客の住民登録番号や運転免許番号、旅券番号などを暗号化せず保存していたことも判明し、安全措置義務違反が認定された。法的根拠がないにもかかわらず、本人確認を目的に韓国人会員の住民登録番号を収集・保管していた点も問題視された。漏えいを認知した後も、正当な理由なく72時間を超えて届出と本人通知を行っていた。

個人情報保護委員会は、今回の処分とあわせて、認証手段が正当なアクセス権限を持たない第三者に容易に取得・窃取されないよう、安全に適用・管理する必要があると指摘した。

キーワード

#個人情報保護委員会 #Christie’s #個人情報保護法 #情報漏えい #課徴金 #過料 #ボイスフィッシング #認証不備
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.