個人情報保護委員会は22日、第7回全体会議を開き、個人情報保護法に違反したKS韓国雇用情報、Duo情報、金陵公園墓苑の3社に対し、計47億8820万ウォンの課徴金と1740万ウォンの過料を賦課するとともに、是正命令と公表命令を決定した。

3社はいずれも、個人情報処理システムに対する安全管理措置が不十分だったことにより個人情報漏えい事故を招いたほか、法的根拠なく住民登録番号を取り扱っていた。

KS韓国雇用情報では、ハッカーが個人情報処理システムの管理者アカウント情報を入手し、2025年4月15日に管理者ページへ不正接続した。これにより、相談員や本社社員、入社応募者（研修生）ら4万875人分の個人情報がダウンロードされ、外部に流出した。

漏えいした情報には、相談員や社員らが入社時または在職中に提出した住民登録謄本、身分証の写し、通帳の写し、家族関係証明書などが含まれていた。本人分に加え、家族の個人情報も多数含まれていたという。

その後、ハッカーは流出情報をダークウェブに掲載し、保有データベースの売買を試みた。個人情報保護委員会の調査では、同社が人事管理機能やコールセンター運営関連機能を備えた個人情報処理システムを運用しながら、IP制限などによる接続権限管理を行っていなかったことが判明。安全な接続手段や認証手段も導入しておらず、IDとパスワードだけで外部から無制限に接続できる状態だった。

このため、個人情報保護委員会はKS韓国雇用情報に対し、35億3700万ウォンの課徴金と420万ウォンの過料を賦課した。あわせて、個人情報処理システムの接続記録や個人情報のダウンロード状況を定期的に点検すること、個人情報の廃棄に関する指針を策定・運用することも命じた。

Duo情報は、正会員の個人情報が漏えいしたハッキング事故を巡り、11億9700万ウォンの課徴金と1320万ウォンの過料を科された。

2025年1月、ハッカーはインターネット接続環境にあった同社の社員用業務PCにマルウェアを感染させ、DBサーバのアカウント情報を取得した。さらに会員データベースサーバに接続し、正会員42万7464人分の個人情報をダウンロードして外部に流出させた。

調査では、正会員の個人情報を保存する会員DBへの接続に際し、一定回数以上の認証失敗時にアクセスを制限する設定がなかったことが分かった。住民登録番号とパスワードに安全性の低い暗号化アルゴリズムを使用していたことなど、安全管理措置義務違反も確認された。

さらに、正会員登録時に住民登録番号を法的根拠なく収集・保存していたほか、個人情報処理方針に記載した保有期間である5年を過ぎた正会員情報29万8566件を廃棄していなかった。

Duo情報は漏えいを把握しながら、正当な理由なく72時間を超えて届け出を遅らせていた。結婚仲介会社という業態上、求婚者の基本情報だけでなく、学歴、宗教、勤務先など生活や嗜好に関わる情報を大量に保有していたが、こうした情報が漏えいしたにもかかわらず、情報主体への通知も行っていなかった。個人情報保護委員会は、二次被害防止に向けた対応が不十分だったと判断した。

金陵公園墓苑では、Webサイトの管理費照会・納付ページにあったパラメータ改ざんの脆弱性が悪用され、利用者5373人分の個人情報（氏名、住民登録番号、携帯電話番号）が漏えいした。

調査の結果、同社はパラメータ改ざん脆弱性に対する点検と対策が不十分だったほか、インターネット経由で個人情報を送信する際に暗号化通信を適用していなかった。住民登録番号を平文で保存していたことも確認され、安全管理措置義務違反に当たると判断された。

個人情報保護委員会は、金陵公園墓苑に5420万ウォンの課徴金を賦課した。再発防止に向け、個人情報処理システムの脆弱性点検や暗号化の徹底など、個人情報の安全管理体制を強化するよう是正命令を出した。