２２１万人の個人情報流出、ゴルフゾーンに７５億ウォンの課徴金

韓国国内スクリーンゴルフ１位企業である「ゴルフゾーン」が、２２１万人の個人情報を流出し、国内企業の中では過去最多の課徴金である７５億ウォンを払うことになった。今回の処分は、昨年９月、企業の個人情報保護責任性を強化するために施行された個人情報保護法の改正案が実質的に適用された初めての事例だ。

個人情報保護委員会は９日、個人情報保護法を違反したゴルフゾーンに対し、７５億４００万ウォンの課徴金と５４０万ウォンの過料を課したと発表した。

ゴルフゾーンは昨年１１月、ハッカーからランサムウェイの攻撃を受けた。ハッカーは、ゴルフゾーン職員の仮想私設網（ＶＰＮ）のアカウント情報を奪取し、業務網内のファイルサーバーに遠隔アクセス後、ここに保存されていたファイルを外部に流出した。このため、業務網内のファイルサーバーに保管されていた全体会員の４０％を超える２２１万人余りのサービス利用者や役職員の名前、電話番号、電子メール、生年月日、ハンドルネームなど様々な個人情報が流出した。

ゴルフゾーンは、新型コロナで在宅勤務が急増すると、新しい仮想私設網を急いで導入し、全般的な点検・管理を疎かにしたことが、調査の結果わかった。また、住民登録番号などを暗号化せずに保有期間が経過し、不要な３８万人余りの個人情報を破棄しなかった違反事項なども確認された。個人情報委の関係者は、「ゴルフゾーンは、全職員が使用するファイルサーバーに住民登録番号を含む多量の個人情報が保存され、共有されているという事実を認知できなかった」と説明した。

今回の処分は、昨年９月に施行された個人情報保護法の改正案が実質的に適用された初事例であり、国内業者の中では過去最多の課徴金が課された。改正前は、課徴金の上限額を「違法行為に係る売上高の３％」としたが、改正後は「全体売上高の３％（違反行為に係るものがない売上高を除く）」に調整された。海外企業の中で課徴金が大きかった事例は、２０２２年のグーグルの６９２億ウォンとメタの３０８億ウォンだ。


イ・ソジョン記者 sojee@donga.com