曾經擔憂的事故到底還是發生了。1億400萬件的金融個人信息泄露,屬史上規模最大。壹名外部勞務公司職員在NH農協、KB國民、樂天信用卡公司非法收集了個人信息,分別爲2012年10月2500萬件、2013年6月5300萬件和12月2600萬件。其中壹部分信息提供給貸款廣告業主和經紀人並非法流通。2011年以來,各大金融公司先後發生了8次318萬件的金融個人信息泄露事件。而此次事件是遠遠超過這些事件的最惡劣的事故。
因企業問題發生個人信息泄露事故,當事企業會立即道歉,監督機關將緊急檢查,並承諾避免類似事件再次發生。但是損失將繼續擴大。
事故的直接原因在于,信用卡公司對外部勞務公司職員松懈的保安管理。處理個人信息處理系統的勞務公司的職員被允許使用移動存儲介質(USB)和反複出入,而且賦予了過度的權限。顧客的金融個人信息也沒有設置安全密碼。
有更大的問題。部分信用卡公司本身不掌握大規模的個人信息泄露長達1年的事實。信息泄露的導致的第2次損失也非常令人擔憂。泄露的個人信息包括信用卡用戶的姓名、手機號碼、公司名稱、地址等和部分信用等級信息。對信息泄露顧客的實質性的受害補償很是遙不可及。2010年以來,信用卡公司接連發生了大大小小的個人信息泄露事故。但是似乎沒有信用卡公司直接向顧客損失補償。
對于反複發生泄漏事故,金融監督機構也有責任。金融當局的膚淺的對應和無關痛癢的問責,助長金融公司安于現狀。現行法律中有關于對釀成信息泄露的金融公司的處罰或者對職員的懲戒條款。但因金融監督機構無關痛癢的處罰和家長式的處罰,金融公司的沒有強烈感覺有加強保安管理的必要性。
今後對導致大規模信息泄露事故的金融公司,要嚴肅追究責任,並果斷采取處罰措施。因爲采取這些措施,才能提高金融公司的保安意識,並促使實質性的保安投資。也要改變對信用卡公司的保安檢查和防止再發的保安管理。同時,要以此爲契機,有必要對所有金融公司進行信息保安管理檢查。
理論上物理控制外部勞務職員接觸重要金融信息資料,對于開發者賦予適當的權限、嚴格區分開發保安好運營保安、加密處理主要金融個人信息等安全性措施,以及檢查和強化對主要個人處理行爲的事後監控,這些都是迫在眉睫的事情。
基于數碼信息的可複制性特征,爲了防止非法流通擴散,有必要建立和運營實時監視系統。去年8月發表的“金融領域的個人信息方針” 明確了受托者的管理監督責任。應當現場檢查是否落實這些規定。
金融監督機構的保安檢查,也要從事後滅火式的檢查改爲事前預防形式。也有必要義務化對金融公司信息保護管理體系的認證。爲了消除受害顧客的不安,相關信用卡公司要積極宣傳受到電話詐騙、金融詐騙等2次受害的可能性,以便受害顧客能夠應對。因信用卡公司保安管理不足而發生的事故,因此信用卡公司應當認真補償顧客。
About Dong-A Ilbo