ウリィ銀行で外部開発業者の過失により、顧客の個人情報約1万7000件余りが外部に流出する事案が発生した。流出した情報による実際の顧客被害は、現時点では確認されていない。
3日の金融界によると、ウリィ銀行は同日、顧客向けの告知を通じて「外部の開発業者が任意で保管していた個人情報1万7551件が、当該業者の従業員の過失により流出する事案が発生した」と明らかにした。
流出した情報は、オンライン上で個人を識別するための暗号化情報である「連鎖情報(CI=Connecting Information)」と「顧客のニックネーム」である。電話番号や住民登録番号(RRNなど)、住所といった、それ単体で個人を特定できるような個人情報は流出していないという。
当該情報は、ウリィ銀行が2024年9月にNFT(非代替性トークン)プラットフォーム構築プロジェクトを推進する過程で、外部の開発業者に提供したデータだった。プロジェクト終了後、ウリィ銀行は同業者から情報の破棄確認書の提出を受けていた。しかし、同業者の従業員が任意で情報を保管し続け、これを開発者向けプラットフォームに共有したことで外部に流出した。
ウリィ銀行は「先月30日に流出の事実を認知した直後、開発業者を通じて関連情報へのアクセスを遮断した。また、個人情報保護委員会への報告を行い、ホームページに関連事実を告知した」と説明した。続いて「現在までのところ、流出した情報がオン・オフラインで拡散されたり、悪用されたりした事例は発生していないと把握している」と述べた。
その上で、「流出したCIやユーザーのニックネームといった顧客連鎖情報は、オンライン上で個人を識別するための値であり、他の情報と結合しない限り、流出した情報のみで特定の個人を識別することはできない」と強調した。
ただし、ウリィ銀行はボイスフィッシング(振り込め詐欺)やスミッシング(SMS詐欺)などの二次被害の可能性に備え、該当する顧客に対し、出所の不明な電話やテキストメッセージのURLクリックなどに格別の注意を払うよう案内した。これとともに、異常金融取引検知システム(FDS)を別途適用して不審な取引の集中モニタリングを行い、追加の被害が確認された場合は補償に乗り出す方針だ。
ウリィ銀行は「今回の事案を契機に、開発業者の個人情報管理状況を全数調査するなど管理を強化する」とし、「悪用事例などの顧客被害が発生した場合は、最大限迅速に確認し、補償を行う」と一連の対応を明らかにした。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
