個人情報の処理と保護に関する事項を独立して行うために設立された合議制中央行政機関である個人情報保護委員会は、個人情報保護法を違反したボラムサンジョ開発などボラムグループ系列会社7社に対し、合計5億4250万円の過料と1140万円の過怠金を課した。
個人情報委は前日に開催された第9回全体会議で、ボラムサンジョ開発と系列会社6社に対する過料・過怠金の課金とともに、是正命令及び処分結果の公表を決議したと14日に発表した。
制裁対象はボラムサンジョ開発株式会社、ボラムサンジョリーダーズ株式会社、ボラムサンジョライフ株式会社、ボラムサンジョピープル株式会社、ボラムサンジョエニコール株式会社、ボラムサンジョシロアム株式会社、ボラムサンジョプラス株式会社などである。
個人情報委は2024年5月にボラムサンジョ開発から個人情報漏洩の報告を受けた後、調査に着手した。
調査の結果、ボラムサンジョ開発はグループ内の6社からオンライン顧客相談など顧客関係管理(CRM)業務を委託され、顧客の個人情報を統合管理していたことが明らかになった。しかし、該当システムの運用過程でアクセス権限管理やセキュリティ脆弱性のチェックなど、安全性確保措置を十分に実施していなかったことが確認された。
個人情報委はハッカーがホームページの脆弱性を利用したSQLインジェクション攻撃を通じてデータベース(DB)に侵入し、この過程で名前・携帯電話番号・メールアドレスなどの顧客個人情報が漏洩したと判断した。
これにより、個人情報委はボラムサンジョ開発に対し、安全措置義務違反などを理由に過料5億3100万円を課した。また、個人情報漏洩通知の遅延と保有期間が過ぎた個人情報の未廃棄などを理由に過怠金1140万円も併せて課した。
さらに、系列会社6社には個人情報処理業務を委託しながら受託者の管理・監督義務を怠った責任を問うて、合計1150万円の過料を課した。個人情報委はこれらの事業者に対し、処分内容をホームページに公表するよう命じた。
個人情報委はこのほか、グループ全体の個人情報処理状況の点検及び管理体制の整備、受託関係の透明性強化などを含む是正措置命令も出した。これにより、ボラムグループ全体の個人情報保護レベルを強化することを目的としている。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
