韓国の結婚情報会社「デュオ」で、会員約43万人分の機微な個人情報が流出していたことが明らかになった。デュオ側は流出の事実を把握した後も、被害者への通知や当局への届け出を適時にしていなかったという。
個人情報保護委員会は22日の全体会議で、デュオのほか、KS韓国雇用情報、金陵公園墓苑の個人情報保護法違反について審議し、3社に計47億8820万ウォンの課徴金と1740万ウォンの過料を科すことを決めた。是正措置と処分内容の公表命令もあわせて議決した。
デュオでは、正会員42万7464人分の個人情報が流出した。ハッカーは2025年1月、インターネット網に接続していたデュオ社員の業務用パソコンにマルウェアを感染させ、データベースサーバーのアカウント情報を確認したうえで会員データベースに侵入し、個人情報を外部へ持ち出したとされる。
流出した情報には、ID、パスワード、氏名、生年月日、住民登録番号、性別、メールアドレス、携帯電話番号、住所に加え、身長、体重、宗教、趣味、婚姻歴、兄弟関係、長男・長女かどうか、学校名、専攻、入学・卒業年度、学校所在地、入社年月、勤務先名などが含まれていた。
調査では、デュオが正会員の個人情報を保存した会員データベースに接続する際、一定回数以上の認証失敗があった場合のアクセス制限措置を設定していなかったことが分かった。住民登録番号やパスワードに安全性の低い暗号化方式を使っていた点も問題視された。
さらに、正会員登録時に住民登録番号を法的根拠なく収集・保存していたほか、保有期間が過ぎた正会員情報29万8566件を削除していなかったことも確認された。
デュオは流出を確認した後も、正当な理由なく72時間を過ぎてから届け出たうえ、結婚仲介会社という業態上、求婚者の人生や性向に関わる機微な情報を大量に扱っていたにもかかわらず、情報主体への通知を現在までしていなかった。個人情報保護委員会は、二次被害防止への対応が不十分だったと判断した。
これを受け、個人情報保護委員会はデュオに課徴金11億9700万ウォン、過料1320万ウォンを科した。あわせて、流出通知の即時実施、安全措置の強化、個人情報の処理方法の点検、明確な廃棄指針の策定などを命じ、処分内容をホームページで公表するよう求めた。
一方、アウトソーシング企業のKS韓国雇用情報では、相談員、本社社員、採用応募者など4万875人分の個人情報が流出した。ハッカーは個人情報処理システムの管理者アカウント情報を入手し、2025年4月15日に管理ページへ接続して氏名、住民登録番号、携帯電話番号、住所、メールアドレス、口座番号などを流出させた。さらに、ウェブページの脆弱性を悪用し、サーバー内の各種人事書類ファイル約5万件も持ち出した。
この書類には、相談員や社員らが入社や在職中に提出した住民登録謄本、身分証のコピー、通帳のコピー、家族関係証明書などが含まれており、本人だけでなく家族の個人情報も多数含まれていた。その後、ハッカーは流出情報をダークウェブに掲載し、保有データベースの売買も試みたという。
調査では、KS韓国雇用情報が人事管理機能とコールセンター運営機能を同じシステムで運用しながら、IPアドレスなどによる接続制限を設けず、安全な接続手段や認証手段も十分に導入していなかったことが判明した。人事証明書類内の住民登録番号をマスキングや暗号化せず保存していた点も含め、安全措置義務違反が相次いで確認された。
また、採用応募者が最終合格して社員になる前までは住民登録番号を取り扱えないにもかかわらず、法的根拠なく一部応募者の住民登録番号を収集・処理していた。保有期間が過ぎた退職者や研修生2035人分の個人情報も削除していなかった。
個人情報保護委員会はKS韓国雇用情報に課徴金35億3700万ウォン、過料420万ウォンを科し、個人情報処理システムへの接続記録や個人情報のダウンロード状況を定期点検すること、個人情報廃棄に関する指針を整備・運用することを命じた。処分内容はホームページで公表される。
墓地の賃貸・管理サービスを手がける金陵公園墓苑でも、利用者5373人分の個人情報が流出した。ハッカーは、ウェブサイト内の管理費照会・納付ページに存在したパラメーター改ざんの脆弱性を悪用し、氏名、住民登録番号、携帯電話番号などを流出させた。
調査では、金陵公園墓苑がウェブサイト上の脆弱性点検と対策を十分にせず、インターネット回線で個人情報を送る際に暗号化通信を適用していなかったほか、住民登録番号を平文で保存していたことが分かった。法的根拠なしに、本人確認を目的として利用者の住民登録番号を慣行的に集めていた事実も確認された。
個人情報保護委員会は金陵公園墓苑に課徴金5420万ウォンを科し、個人情報処理システムの脆弱性点検と個人情報保護体制の強化を命じた。処分内容はホームページに公表される。
(c)news1