個人情報保護委員会は27日、全体会議を開き、個人情報保護法違反が確認された公共機関4カ所と委託事業者1社に対し、課徴金と過怠料を科す処分を議決した。対象は行政安全部、農村振興庁、国立農業科学院、国立畜産科学院と、委託事業者のMisoTech。

行政安全部では、統合行政サービス・ポータル「政府24」の運営を巡り、複数の漏えい事案が確認された。2024年4月には、教育部のNEIS連携の民願書類と国税庁の納税証明書に関するソースコードの開発ミスにより、1233人分の個人情報が他人から閲覧可能な状態になった。

また、2025年5月には、住民登録証の発給状況照会サービスの認証上の脆弱性により、4件の情報が他人に照会された。さらに、「共有ヌリ」のWebサイト業務掲示板に掲載された公共駐車場担当者ファイルがGoogle検索結果に表示され、3828人分の個人情報が流出した事例も確認された。

個人情報保護委員会によると、行政安全部は漏えいを認知した後、法定期限の72時間を超えて通報したほか、個人情報処理方針に委託事業者の記載が漏れていた。これを受け、同委員会は行政安全部に課徴金2億7300万ウォンと過怠料750万ウォンを科し、是正勧告と公表命令を議決した。

農村振興庁とその所属機関では、より大規模な漏えいが起きていた。システムの保守管理を受託していたMisoTechのネットワーク接続ストレージ（NAS）に保存されていた個人情報57万5000件超がハッカーに窃取され、ダークウェブに掲載された。漏えいした情報には、氏名、住所、連絡先、メールアドレスなどが含まれていた。

MisoTechは、委託を受けた個人情報を自社NASに5年間、無断で保管していた。このNASは外部IPから接続可能な状態で8年間運用されており、管理者アカウントのIDとパスワードのみでアクセスできたという。一方、農村振興庁も、委託終了時に「資料未保有確約書」を受け取っただけで、実際に個人情報が廃棄されたかどうかを確認していなかった。

個人情報保護委員会はこの件で、MisoTechに課徴金8250万ウォンと過怠料450万ウォンを科した。あわせて、農村振興庁には課徴金1億6800万ウォン、国立農業科学院には課徴金2310万ウォンを科すとした。

同委員会は今後、公共部門の情報化事業で生じ得る個人情報保護上の脆弱性を継続的に点検する方針だ。あわせて、委託・受託の構造で生じる管理の空白を最小限に抑えるため、処分事例を公共機関に共有し、実務面での管理監督強化を促すとしている。