憂慮されていた事故が発生した。史上最大の1億400万件の金融個人情報が流出したのだ。外部の会社社員によって、NH農協、KB国民、ロッテカード会社からそれぞれ2012年10月2500万件、2013年6月5300万件、12月2600万件が流出した。このうち一部は融資広告会社や募集会社に流通した。2011年以降、主要金融会社で8回にわたり318万件の金融個人情報が流出したが、今回の事件はこれを超える最悪の事故だ。
企業のために個人情報の流出事故が発生すれば、その企業は急いで謝罪する。監督機関は緊急点検に乗り出し、再発防止を誓う。しかし被害は拡大を続けている。
事故の直接的な原因は、外部の会社社員に対するカード会社のずさんな情報管理だった。個人情報処理システムを扱う外部の会社社員にUSBの利用と入出を許可した。また、権限も過度に与えた。顧客の金融個人情報も暗号化されていなかった。
より大きな問題がある。一部のカード会社は、長くて1年以上、個人情報が大規模に流出したことを知らなかった。情報流出の2次被害も憂慮される。流出した個人情報は、カード加入者の名前、携帯電話の番号、会社名、住所のほかに、一部信用ランクの情報も含まれているという。流出した顧客に対する実質的被害補償はほど遠い。2010年以来、カード会社で大小の個人情報流出事故が続いた。しかし、カード会社が被害顧客に補償しようという動きはない。
このような流出事故が繰り返されるのは、金融監督機関の責任もある。金融当局のずさんな対応と温情問責が金融会社を安易な対応に向かわせる。現行法には、情報流出を招いた金融会社に対する処罰や役員に対する懲戒条項がある。しかし、金融監督機関の温情懲戒や温情主義的処罰のため、金融会社はセキュリティー管理を強化する必要性を感じることがなかった。
これからは大規模な情報流出事故を招いた金融会社に対しては厳重に責任を問い、断固たる懲戒措置を取らなければならない。このような措置が、金融会社のセキュリティー認識の向上と実質的なセキュリティー投資を誘導するからだ。事故を起こしたカード会社に対するセキュリティー点検と再発防止のためのセキュリティー管理も変わらなければならない。さらにこの機にすべての金融会社に対する情報セキュリティー管理点検も必要だ。
外部の会社社員に対しても、重要な金融情報資産に対する物理的・論理的アクセス規制、開発者の権限に適ったアクセス権限の付与、開発セキュリティーと運営セキュリティーの厳格な区分、主な金融個人情報の暗号化などの安全性措置、そして個人の処理行為に対する事後モニタリングの点検と強化が急がれる。
コピーが容易なデジタル情報の特性上、不法に拡散・流通することを防止するためのリアルタイムの監視システムの構築と運営も必要だ。昨年8月に発表された「金融分野の個人情報ガイドライン」は受託者の管理監督責任を明確にしている。現場でこのような規定が守られているかどうか点検しなければならない。
金融監督機関によるセキュリティー点検も泥縄式の点検ではなく、事前予防の形に全面的に変えなければならない。一定規模以上のすべての金融会社の情報保護管理システムに対する認証の義務づけも必要だ。事故を起こしたカード会社は、被害顧客の不安を解消するためにボイスフィッシングや金融詐欺といった2次被害の可能性を伝え、備えを促さなければならない。カード会社のずさんなセキュリティー管理で発生した事故であるゆえ、カード会社の顧客に対する責任ある補償も必要だ。
About Dong-A Ilbo