个人情报保护委员会于12日宣布,将对去年泄露约297万名客户个人信息的乐天信用卡处以962亿韩元的罚款及480万韩元的罚金。
该委员会在前一日举行的全体会议上决议,针对乐天信用卡违反《个人信息保护法》的行为,实施上述罚款与罚金,并下达整改及公开披露命令。
乐天信用卡去年9月遭遇在线快捷支付系统黑客攻击,导致存储在日志文件中约297万用户的个人信用信息泄露。调查进一步确认,其中45万人的居民身份证号码也一同外泄。
由于在处理个人信用信息时,《信用信息法》具有优先适用性,金融当局与个人情报保护委员会分工进行调查。金融当局主要围绕是否存在违反与信息泄露相关的安全保障义务,以判定是否适用《信用信息法》;而个人情报保护委员会则审查在处理居民身份证号码的过程中,是否存在违反《个人信息保护法》的行为。
从乐天信用卡的角度看,由于《信用信息法》优先适用,公司似乎得以避免了可能高达数百亿韩元的罚款。根据《信用信息法》,因黑客攻击导致个人信用信息丢失或被盗的情况下,罚款上限为50亿韩元。金融当局的具体制裁程度目前尚未最终确定。
根据个人情报保护委员会的调查,乐天信用卡存在超出法律允许范围处理居民身份证号码的行为,包括在在线支付过程中生成的计算机日志文件中,以明文形式记录包含居民身份证号码在内的多项个人信息。现行《个人信息保护法》仅允许在法律或总统令要求或准许的情况下,或为保护信息主体或第三方紧迫的生命、身体或财产而明确必要时,方可处理居民身份证号码。调查还发现,该公司对日志文件未实施充分的加密措施。
尽管在不可避免的情况下,日志中只应记录最低限度的必要个人信息,但乐天信用卡被发现在未经单独审查的情况下,存储了包含居民身份证号码在内的多种个人信息。个人情报保护委员会认为,这种做法是导致此次黑客事件中大规模个人信息泄露的原因之一。
个人情报保护委员会针对乐天信用卡无法律依据处理居民身份证号码以及在处理过程中未应用充分加密的行为,处以962亿韩元罚款及480万韩元罚金,并命令该公司在其官网上公开此次处分事实。
为纠正如乐天信用卡案例中不必要地处理居民身份证号码的做法,个人情报保护委员会计划于本月内启动对金融领域相关企业的初步实地检查。
