« フランス ドイツ 製品セキュリティ認証の相互承認協定を改定し、延長... | Main | 欧州 EDPB ChatGPTタスクフォースによる作業報告書 (2024.05.24) »

2024.05.29

韓国 個人情報保護委員会 ㈱カカオに課徴金151億ウォン、罰金780万ウォン(合わせて17.5億円)を課す (2024.05.23)

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、㈱カカオに課徴金151億4,196万ウォン、罰金780万ウォン(合わせて17.5億円)を課したと公表していますね...

ハッキングを受けた被害者でもあるわけですが、結果的に個人データを漏えいさせてしまったということもありますしね...

どの国も課徴金が増えていく傾向なんですかね...

 

개인정보위

・2024.05.23 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과

 

개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과 個人情報委員会、㈱カカオに課徴金151億ウォン、罰金780万ウォンを課す
- 지난해 발생한 오픈채팅 이용자 개인정보 유출사고 관련 ・昨年発生したオープンチャット利用者の個人情報流出事故に関連して
- 안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재, 시정명령과 결과 공표도 함께 처분 ・安全措置義務違反及び流出申告・被害者通知の不履行などに対する制裁,是正命令と結果公表も併せて処分
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 22일(수) 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결하였다.   個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は5月22日(水)、第9回全体会議を開き、個人情報保護法規に違反した㈱カカオに対して151億4,196万ウォンの課徴金と780万ウォンの罰金を課し、是正命令と処分結果を公表することを議決した。
  개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사하였다.    個人情報委員会は昨年3月、カカオトークのオープンチャット利用者の個人情報が違法取引されているというマスコミ報道に基づき、個人情報保護法違反の有無を調査した。
  조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보하였으며, 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인되었다.   調査の結果、ハッカーはオープンチャット室の脆弱性を利用してオープンチャット室の参加者情報を取得し、カカオトークの友達追加機能と違法プログラムなどを利用して利用者情報を確保し、これらの情報を「会員シリアル番号」を基準に結合して個人情報ファイルを生成、販売したことが確認された。
< 개인정보 유출 과정 > < 個人情報流出の過程 >
  개인정보위는 ㈜카카오가 카카오톡 서비스를 제공하는 과정에서 다음과 같은 위반 사실을 확인하였다.   個人情報委員会は、㈱カカオがカカオトークサービスを提供する過程で、次のような違反事実を確認した。
< 안전조치의무 위반 > < 安全措置義務違反 >
  먼저, ㈜카카오는 익명채팅이라고 홍보하며 오픈채팅 서비스를 운영하였는데, 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현하였다. 다만, 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신시 사용하였다.     まず、(株)カカオは匿名チャットと広報してオープンチャットサービスを運営したが、一般チャットとオープンチャットを利用する利用者を同一の会員シリアル番号で識別できるように利用者識別体系を実装した。ただし、オープンチャット参加者は、オープンチャットルーム情報(オープンチャットルームID)と会員シリアル番号で構成した仮IDをメッセージの送受信時に使用した。 
  ’20. 8월 이전에 생성된 오픈채팅방은 참여자의 임시ID를 암호화하지 않아, 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다.    '20.8月以前に生成されたオープンチャットルームは、参加者の仮IDを暗号化せず、仮IDから会員シリアル番号を簡単に確認することができた。
  또, ’20. 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화하였지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 있어, 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다.    また、'20年8月以降に生成されたオープンチャットルームは、一時IDを暗号化したが、オープンチャットルーム掲示板に暗号化された一時IDを入力すると、暗号化を解除して平文で一時IDを公開する脆弱性があり、参加者の暗号化された一時IDも簡単に会員シリアル番号を確認することができた。
  이와 같이, ㈜카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계되어 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선 조치를 소홀히 한 것이다. 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치를 소홀히 하였다.    このように、(株)カカオは、カカオトークサービスの設計・運営過程で会員シリアル番号と仮IDが連携され、オープンチャットの匿名性が損なわれたり、個人情報が公開される可能性があるにもかかわらず、それに対する検討と改善措置を怠ったのである。同様に、オープンチャット掲示板にあったセキュリティの脆弱性に対する点検と改善措置を怠った。
  회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 가능하다. ㈜카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 암호화하였다.    会員シリアル番号連携による匿名性毀損を防止するには、オープンチャット利用者は、一般チャットと異なる識別体系で構成したり、一時IDを暗号化して会員シリアル番号が露出されないようにする方法などが可能である。カカオ(株)は昨年の事故発生後、すべてのオープンチャット参加者の一時IDを暗号化した。
  또, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개되어 왔음에도 불구하고, ㈜카카오는 관련 내용이 카카오톡 서비스에 비치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치도 미흡하였다.   また、カカオトークの送信方式を分析した公開されたAPIを利用すれば、利用者情報の抽出などが可能だという指摘が開発者コミュニティなどに公開されてきたにもかかわらず、㈱カカオは、関連内容がカカオトークサービスに及ぼす影響、個人情報流出などの被害の可能性に対する検討と改善措置も不十分だった。
  오픈채팅 서비스 설계‧구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 ㈜카카오가 처리 중인 개인정보가 해커에게 공개‧유출되었고, 따라서 ㈜카카오는 개인정보 보호법의 안전조치 의무를 위반하였다.    オープンチャットサービスの設計・実装過程での過失と、カカオトークの送信方式を分析して作ったハッキングプログラムを利用した悪質行為に対する対応措置の不十分などにより、㈱カカオが処理中の個人情報がハッカーに公開・流出され、したがって、㈱カカオは個人情報保護法の安全措置義務に違反した。
< 유출 신고·통지 의무 위반 > <流出申告・通知義務違反 >
  또한, ㈜카카오는 ’23. 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반하였다.   また、(株)カカオは、'23年3月のマスコミ報道及び個人情報委員会の調査過程で、カカオトークのオープンチャットルーム利用者の個人情報が流出されているという事実を認識したにもかかわらず、流出申告と利用者対象の流出通知を行わず、個人情報保護法に違反した。
  개인정보위는 이용자 개인정보가 유출된 ㈜카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료를 부과하기로 결정하였다.   個人情報委員会は、利用者の個人情報が流出した㈱カカオに対し、安全措置義務違反で課徴金を課し、流出申告・通知義務違反などに対しては過料を課すことを決定した。
  또, ㈜카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정하였다.   また、(株)カカオに利用者対象の流出通知をすることを是正命令すると同時に、個人情報委員会のホームページに処分結果を公表することを決定した。
  이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검‧개선하는 한편 설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다고 개인정보위는 밝혔다.   今回の処分をきっかけに、カカオトークのように大多数の国民が利用するサービスの場合、セキュリティの脆弱性を常時点検・改善する一方、設計・開発過程で発生する可能性のある個人情報侵害の可能性についても、持続的な点検と努力が必須であるという認識が定着することを期待すると個人情報委員会は明らかにした。

 

・2024.05.23 [PDF] 240523 (석간) 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과(조사2과) FN

20240529-11212

 

 

 

|

« フランス ドイツ 製品セキュリティ認証の相互承認協定を改定し、延長... | Main | 欧州 EDPB ChatGPTタスクフォースによる作業報告書 (2024.05.24) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« フランス ドイツ 製品セキュリティ認証の相互承認協定を改定し、延長... | Main | 欧州 EDPB ChatGPTタスクフォースによる作業報告書 (2024.05.24) »