曾经担忧的事故到底还是发生了。1亿400万件的金融个人信息泄露,属史上规模最大。一名外部劳务公司职员在NH农协、KB国民、乐天信用卡公司非法收集了个人信息,分别为2012年10月2500万件、2013年6月5300万件和12月2600万件。其中一部分信息提供给贷款广告业主和经纪人并非法流通。2011年以来,各大金融公司先后发生了8次318万件的金融个人信息泄露事件。而此次事件是远远超过这些事件的最恶劣的事故。
因企业问题发生个人信息泄露事故,当事企业会立即道歉,监督机关将紧急检查,并承诺避免类似事件再次发生。但是损失将继续扩大。
事故的直接原因在于,信用卡公司对外部劳务公司职员松懈的保安管理。处理个人信息处理系统的劳务公司的职员被允许使用移动存储介质(USB)和反复出入,而且赋予了过度的权限。顾客的金融个人信息也没有设置安全密码。
有更大的问题。部分信用卡公司本身不掌握大规模的个人信息泄露长达1年的事实。信息泄露的导致的第2次损失也非常令人担忧。泄露的个人信息包括信用卡用户的姓名、手机号码、公司名称、地址等和部分信用等级信息。对信息泄露顾客的实质性的受害补偿很是遥不可及。2010年以来,信用卡公司接连发生了大大小小的个人信息泄露事故。但是似乎没有信用卡公司直接向顾客损失补偿。
对于反复发生泄漏事故,金融监督机构也有责任。金融当局的肤浅的对应和无关痛痒的问责,助长金融公司安于现状。现行法律中有关于对酿成信息泄露的金融公司的处罚或者对职员的惩戒条款。但因金融监督机构无关痛痒的处罚和家长式的处罚,金融公司的没有强烈感觉有加强保安管理的必要性。
今后对导致大规模信息泄露事故的金融公司,要严肃追究责任,并果断采取处罚措施。因为采取这些措施,才能提高金融公司的保安意识,并促使实质性的保安投资。也要改变对信用卡公司的保安检查和防止再发的保安管理。同时,要以此为契机,有必要对所有金融公司进行信息保安管理检查。
理论上物理控制外部劳务职员接触重要金融信息资料,对于开发者赋予适当的权限、严格区分开发保安好运营保安、加密处理主要金融个人信息等安全性措施,以及检查和强化对主要个人处理行为的事后监控,这些都是迫在眉睫的事情。
基于数码信息的可复制性特征,为了防止非法流通扩散,有必要建立和运营实时监视系统。去年8月发表的“金融领域的个人信息方针” 明确了受托者的管理监督责任。应当现场检查是否落实这些规定。
金融监督机构的保安检查,也要从事后灭火式的检查改为事前预防形式。也有必要义务化对金融公司信息保护管理体系的认证。为了消除受害顾客的不安,相关信用卡公司要积极宣传受到电话诈骗、金融诈骗等2次受害的可能性,以便受害顾客能够应对。因信用卡公司保安管理不足而发生的事故,因此信用卡公司应当认真补偿顾客。
About Dong-A Ilbo