SK Telecomが、昨年発生したUSIM流出を受けて個人情報保護委員会から求められた是正措置の大半を履行したことが分かった。個人情報保護委員会は14日、期限を迎えた是正命令や是正勧告などの履行状況を公表し、未完了分については年末まで追加点検を続ける方針を示した。
委員会によると、昨年下半期に履行期限を迎えた是正命令、是正勧告、改善勧告、公表命令は計222件。このうち未完了は11件で、履行率は95.0%だったとしている。
このうちSK Telecomは、USIMを巡るハッキング被害で顧客約2300万人分の個人情報が流出したことを受け、個人情報を扱うシステム全般の点検を終えた。あわせて、ファイアウォールのポリシー見直しや、USIM認証キーなど重要情報の暗号化を進め、安全対策を強化した。
組織面でも対応を進めた。個人情報保護責任者(CPO)が部門横断で個人情報資産を管理・監督できるよう体制を改めた。
一方で、エンドポイント脅威検知・対応(EDR)の導入や認証適用範囲の拡大など、一部の項目は完了していない。委員会は次回の履行点検で追加確認する予定だ。
このほか、ハッキング被害で会員約720万人分の個人情報が流出した求人ポータルのIncruitは、追加認証の仕組みを整備し、異常トラフィックの検知に向けたポリシーを改善した。
また、Kuka EntertainmentやElevate Hongkong Holdingsなどの海外事業者は、法的根拠なく住民登録番号を取り扱わないよう、内部指針を改定した。
スーパーアプリを手がける5社は、サービスごとの退会や削除に対応できるようにしたほか、個人情報の処理停止や削除を求める手続きを分かりやすく案内する措置を講じた。
個人情報保護委員会は今後、予算や時間の不足で履行が遅れている是正措置について、年末まで追加点検を実施し、完了状況を継続的に確認する。
Jin-ho Lee
jhlee26@d-today.co.kr