最新の個人情報流出事例と韓国の「個人情報保護法」から、セキュリティ管理者が学ぶべきポイントとは?

デジタル社会において、「個人情報の流出」は非常に致命的な問題です。

個人情報とは自分の身元を証明できる手段であり、その情報が流出すると、場合によっては個人を超えて社会問題にまで発展する可能性があります。 そのため、個人情報の取り扱いには企業・個人ともに慎重にならなければなりません。

マイナンバーをはじめ、DX化を加速させている日本では、個人情報保護法の改正および継続的な強化、デジタル庁の設立など、デジタル社会への進展とともに、個人情報を保護するためのさまざまな手段を講じています。しかし、個人情報流出事故は増加の一途をたどっているのも事実です。

本記事では、日本と隣国である韓国の個人情報流出事例を取り上げるとともに、韓国の個人情報保護法を軸にしたセキュリティ管理者のための「個人情報に対する技術的な保護措置」についてご紹介します。

日韓における最新の個人情報流出事例

以下は、2023年に日本および韓国で発生した個人情報流出事例です。韓国では課徴金も公表されており、情報流出による企業のダメージが甚大なことがわかります。

【日本】2023年7月:株式会社NTTドコモ(約600万人の個人情報流出)

流出項:目氏名、生年月日、メールアドレス、住所、電話番号、フレッツ回線IDなど

流出規模:約600万人

流出原因:内部不正

https://www.docomo.ne.jp/info/notice/page/230721_00_m.html

【日本2023年5月:トヨタ自動車株式会社(約215万人の個人情報流出)

流出項目:顧客の車載端末ID、車台番号、車両の位置情報、時刻

流出規模:約215万人

流出原因:誤設定(内部管理ミス)

https://global.toyota/jp/newsroom/corporate/39174380.html

【日本】2023年1月:アフラック生命保険会社(130万人以上の個人情報流出)

流出項目:顧客の姓、年齢、性別、証券番号、加入している保険種類番号・保障額・保険料

流出規模:130万人以上

流出原因:外部ハッキング攻撃

https://www.aflac.co.jp/news_pdf/2023011001.pdf

【韓国】2023年月:韓国マクドナルド(480万人以上の個人情報流出)

流出項目:顧客のメールアドレス、住所、電話番号

流出規模:480万人以上

流出原因:管理ミス、外部からのハッキング攻撃

罰則:約7億ウォンの課徴金

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8710

【韓国】2023年3月:サムスン証券(約5万人の個人情報流出)

流出項目:顧客の個人情報(詳細不明)

流出規模:約5万人

流出原因:Webサーバ設定ミス、アクセス制御設定不備

罰則:約1億ウォンの課徴金

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8710

【韓国】2023年1月:LG U+(60万人以上の個人情報流出)

流出項目:顧客の氏名、生年月日、電話番号、住所、メールアドレスなど

流出規模:60万人以上

流出原因:管理ミス、外部からのハッキング攻撃

罰則:約68億ウォンの課徴金

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9030

個人情報保護法が個人情報を守ってくれるのか?

個人情報流出事故は、今に始まったわけではありません。東京商工リサーチが日本の上場企業とその子会社を対象に行った調査*によると、2022年の情報漏えい・紛失事故は過去最多の165件で、調査開始の2012年から2022年までに漏えい・紛失した可能性のある個人情報は累計約1億2,000万人分で、日本の人口に匹敵するといいます。もちろん、こういった状況は日本に限らず、韓国でも同様だと推測されます。事故の原因はさまざまであり、表面化している事例ではハッキングをはじめとする外部からの攻撃が数多く見られます。ただし、実際には内部者からの流出も多く発生していると言われています。

日々進化・巧妙化するハッキング技術に対して、それを100%遮断できるセキュリティ技術を開発することは事実上不可能です。

では、法律では個人情報の保護をどのように規定しているのでしょうか。日本にも韓国にも「個人情報保護法」があり、個人情報の有用性に配慮しつつ、個人の権利や利益を守ることを目的としています。日本の個人情報保護法は2005年に全面施行され、何度か改正が行われています。

韓国では2011年に個人情報保護法が施行されていますが、それ以前の1960年代から日本のマイナンバーにあたる「住民登録番号」制度が導入されており、法制化の時点で住民登録番号の取り扱いが含まれていたり、義務や罰則が明記されていたりする点が特徴です。この韓国の個人情報保護法を通じて、個人情報などの安全に保護すべきデータに対して求められる技術的な措置について見てみましょう。

*東京商工リサーチ 2022年「上場企業の個人情報漏えい・紛失事故」調査:https://www.tsr-net.co.jp/data/detail/1197322_1527.html

韓国の個人情報保護法における個人情報と固有識別情報

個人情報流出とは、「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、情報が第三者に伝達されることです。ここでの個人情報とは、生きている個人に関する情報で、氏名、住民登録番号、および映像などを通じて個人を識別できる情報、当該情報だけでは特定の個人を識別できない場合でも他の情報と組み合わせて識別できる情報をいいます。

下の表では、韓国の個人情報保護法で規定している個人情報の具体的な例を確認することができます。

家族情報

氏名、住民登録番号、住所、家族関係など

医療・健康情報

健康状態、病歴、身長、体重など

面の秘密

思想、信条、宗教、価値観、政治的志向など

情報

学歴、職業、資格、犯罪歴の有無など

経済情報

所得規模、財産保有状況、取引履歴、信用情報、債権債務関係など

その他

生体認証情報(指紋、虹彩、DNAなど)、位置情報など

また、韓国は1960年代から日本のマイナンバーに相当する「住民登録番号」制度が導入されていますが、個人情報保護法の施行前からオフライン環境で「住民登録番号」を通じた個人身分認証が一般的になっていたため、DX化以降のオンライン環境でも「住民登録番号」を必須で収集し、管理、身分認証に活用しています。

これにより、韓国の個人情報保護法では「住民登録番号」を含む非常に重要な情報を「固有識別情報」として指定し、安全な管理のために必ず技術的な保護措置を行うように明記されています。

法律で暗号化を含む技術的な保護措置を必ず行わなければならない、個人情報流出に最も敏感な「固有識別情報」は以下の通りです。

固有識別情報とは、法令に基づいて個人を固有に区別するために付与された識別情報として大統領令で定める情報をいい、固有識別情報は住民登録番号、パスポート番号、運転免許証番号、外国人登録番号 である。

韓国個人情報保護法の主な内容

2011年に施行された韓国の個人情報保護法は、国民の権利と利益を増進し、さらに個人の尊厳と価値を実現するために個人情報の処理に関する事項を規定することを目的としています。韓国の個人情報保護法が規定する主な内容を簡単に説明します。

■ 個人情報の収集・利用など段階別保護基準の策定 (第15条~第22条)

個人情報の収集・利用についての記載。第三者に提供する場合には同意を得て、不要になったときには破棄すること。

■ 固有識別情報の物理的・技術的保護措置、処理制限の強化 (第3条、第24条)

固有識別情報に対しては、必ず暗号化などの安全性確保のための技術的保護措置を講じなければならない。住民登録番号などの固有識別情報は原則的に処理を禁止し、制限的に例外を認める一方、住民登録番号以外の方法を必ず提供する。

  • 個人情報処理者が第1項各号に基づいて固有識別情報を処理する場合には、その固有識別情報が紛失・盗難・流出・偽造・変造または毀損されないように、大統領令で定めるところにより、暗号化など安全性確保に必要な措置をしなければならない。
  • 行政安全部長官は、処理する個人情報の種類・規模、従業員数及び売上規模などを考慮して、大統領令で定める基準に該当する個人情報処理者が第3項により安全性確保に必要な措置をしたかどうかについて、大統領令で定めるところにより定期的に調査しなければならない。

■ 個人情報流出事実の通知・申告制度の導入 (第34条)

個人情報処理者は、個人情報の流出事実を認知した場合、遅滞なく情報主体に事実を通知し、一定規模以上の場合、専門機関に申告および措置しなければならない。

■ 個人情報侵害事実の申告 (第62条)

個人情報により権利または利益を侵害された者は、行政安全部長官に申告することができ、行政安全部長官は侵害申告センターを設置、運営しなければならない。

個人情報と固有識別情報に対する技術的保護措置とは?

個人情報保護法で規定している個人情報と固有識別情報に対する技術的な保護措置は、大きく暗号化、区間暗号化、DRMなどで構成されています。

暗号化は、固有識別情報に該当する住民登録番号、パスポート番号、運転免許番号などを暗号化して管理する技術です。個人情報漏えい事故が発生した際、暗号化の安全措置義務に違反していると、流出した情報を通じて個人を特定することができるようになり、これは企業や公的機関の顧客に対する2次被害につながるため、おのずと企業や公的機関の信頼に致命的な損害が発生します。

そのため、韓国の個人情報保護法では、施行令、個人情報の安全性確保措置基準、技術的保護措置基準として暗号化が明記されており、当該法令を遵守しない場合、罰金などが課せられます。

2015年からは、韓国の個人情報保護法において個人情報の技術的保護措置として暗号化が義務化され、多くの企業がコンプライアンスの問題を解決するため、自社が保有している個人情報に暗号化を適用し始めました。

しかし、セキュリティおよびシステム管理者が自社の複雑なシステムに暗号化を適用する際、正常にシステムを運用できるかどうかが大きな課題になりました。 暗号化を適用するということは、データを読み取ることができないように変更(暗号化)することであり、暗号化されたデータを使用するためには、再びユーザが読み取れる情報に変更(復号化)する過程が必須なため、システムへの変更や負荷が発生する可能性があるからです。

過去の暗号化導入初期には、システムに暗号化を適用後、性能の低下とエラーが発生し、すぐに暗号化解除(ロールバック)する場合も少なくありませんでした。 このような問題は、暗号化ソリューションの完成度と企業の業務環境が暗号化を考慮しなかったがゆえに発生したものです。

ペンタセキュリティの暗号化ソリューション「D'Amoディアモ)」は、Plug-in方式、API方式、Engine方式、Kernel方式などの多様な暗号化方式をモジュールとして提供しています。2004年に韓国で発売以来、製品の完成度を高めるとともに、約1,000社以上の企業、自治体、国家機関、金融機関、医療機関などのさまざまな業務環境に暗号化ソリューションを提供してきており、日本国内の多様な業務環境にも対応できるよう、暗号化適用時の性能低下および既存システムの修正を最小化できる機能を備えています。

暗号化を適用するメリットとしては、日本企業がセキュリティにおいて重視する外部侵入、ゼロデイ攻撃のようなリアルタイムの侵入防止と同時に、もし攻撃を受けた場合でも個人情報自体を保護することができます。つまり、情報漏えい時に流出した個人情報がすでにD’Amoで暗号化されていれば読み取ることが不可能なため、流出した情報による2次被害を防ぐことができます。

【参考】個人情報の安全性確保措置基準*

区分
暗号化基準
情報通信網、補助記憶
媒体を通じた送信時
固有識別情報、パスワード、バイオ情報
暗号化送信
個人情報処理システムに
保存時
固有識別情報
住民登録番号
暗号化保存
パスポート番号
外国人登録番号
運転免許証番号
インターネット区間、DMZに保存
暗号化保存
内部ネットワークに保存
暗号化保存
パスワード
一方向(ハッシュ関数)暗号化保存
バイオ情報
暗号化保存
業務用パソコン、
モバイル機器に保存
固有識別情報、パスワード、バイオ情報
暗号化保存(パスワードは一方向暗号化保存)

*出典:韓国インターネット振興院(KISA):https://www.gne.go.kr/upload_data/board_data/BBS_0000853/162441443794163.pdf

個人情報流出および技術的保護措置違反時の処罰は?

韓国では、全国民が個人識別情報である「住民登録番号」を発行され、それによって行政や民間サービスの個人認証を行う仕組みになっています。個人識別情報を含む個人情報が流出すると、それに紐づくさまざまなサービスにもアクセスできてしまい、電子上で個人の「なりすまし」も可能になってしまう大変危険な事態を招きます。こうした事態を防ぐべく、個人情報保護法でも暗号化のような強力な技術的保護措置を必須としており、個人情報を保有・管理しているすべての環境で個人情報に対する暗号化を適用しなければなりません。 そのため、個人情報が流出した場合、または個人情報に対する技術的保護措置に違反した場合、5年以下の懲役または5千万ウォン以下の罰金または3千万ウォン以下過料が課されます。ここにはCEOに対する処罰まで言及されており、韓国の個人情報流出および技術的保護措置違反時の処罰は非常に厳しいものになっています。日本も今後、マイナンバーが活用されるようになれば、日本の罰則も今より厳しいものになるかもしれません。

※ 韓国の個人情報保護法で規定されている罰則

項目
違反事項
罰則

固有識別情報の
処理制限

1. 固有識別情報(住民登録番号、パスポート番号、運転免許証番号、外国人登録番号)の取り扱い違反で流出事故発生

2. 住民登録番号に対する取り扱い違反

5年以下の懲役
または5千万ウォン以下の罰金
または3千万ウォン以下の過料

固有識別情報の
安全性確保措置
(暗号化など)

安全性確保に必要な措置を講じず、個人情報の紛失・盗難・流出・偽造・改ざんまたは毀損が発生

1. 固有識別情報の安全な処理のための内部管理計画の樹立・施行

2. 固有識別情報に対するアクセス統制及びアクセス権限の制限措置

3. 固有識別情報を安全に保存・伝送できる暗号化技術の適用またはこれに相当する措置

4. 固有識別情報の侵害事故発生に対応するためのアクセス記録の保管および偽造・変造防止のための措置

5. 固有識別情報に対するセキュリティプログラムの設置および更新

6. 固有識別情報の安全な保管のための保管施設の用意またはロック装置の設置などの物理的措置

2年以下の懲役
または2千万ウォン以下の罰金

まとめ

日本でも韓国でも、2023年には大規模な個人情報流出事故がいくつも発生しています。韓国では、個人情報を流出させてしまうと、企業は個人情報保護法に規定されている重い罰金が科せられるのに加え、損害賠償責任や社会的な信頼の低下も引き起こすことになり、その損害は計り知れません。

個人情報の漏えいの原因は外部要因の場合も内部要因の場合もありえますが、万が一被害に遭った際に個人情報に暗号化などの技術的な保護措置を適用しておけば、企業セキュリティ全体のリスクマネジメントのアプローチとして情報流出の被害を最小限に抑えることができます。

D’Amoは、さまざまなシステム環境に最適な暗号化方式を提供しており、既に稼働しているシステムに対しても、性能低下を最小限にするための方策やアプリケーション修正を前提としない導入方法も提案できます。つまり、D’Amoによる個人情報の暗号化の実装は、顧客および企業の情報資産の保護施策となり、現在の頻発する個人情報の流出事案と将来のデジタル社会への備えは、企業価値の向上から信頼へと結びつくでしょう。