[韓国ICT事情]

韓国のクレジットカード3社、1億件の顧客カード流出は世界3位の規模

2014年4月4日(金)李 東源

電子政府の推進などを筆頭にICT活用を積極的に進める韓国。現地メディアの報道から、韓国の官民の最新動向をピックアップして紹介する。

クレジットカード3社、1億件の顧客カード流出は世界3位の規模

──アジア経済 2014年2月6日

去る2月初めに明らかになった、KB国民カード、ロッテカード、農協カードのクレジットカード3社による1億400万件の顧客情報流出事件。韓国の金融監督院によると、この件数は世界で3番目に該当するほど規模が大きいことが分かった。過去最大規模の事件は、2012年にあった中国の上海ロードウェイD&B社の情報流出で1億5000万件だった。次が米国のハートランドペイメントシステムズの事故で1億3000万件である。

2007年、米国の大手流通企業であるTJXで発生した9400万件の情報流出が4番目、2011年Sonyの7700万件の情報流出事件が5番目である。その次は台湾の郵便局と言論社など主要機関の5000万件が流出した事故が続く。2011年から2013年の間に世界で発生した情報流出事件は4138件。そのうちの59.3%が米国で発生したもので、韓国は0.3%である。

2013年に韓国では5件の事件があった。うち3件(合計462万件の個人情報流出)で、内部関係者が犯人だったことが明らかになっている。代理運転企業の運行情報管理業者(429万件)、韓国シティ銀行&韓国スタンダードチャタード銀行(13万件)、メリッツ火災保険会社(16万件)だ。他の2件は外部からのサイバー攻撃によるものである。韓国で過去最大規模のものは、ウェブポータル&ブログ企業であるNATE社の3500万件だった。

金融当局はこれから海外事例を調査し、欧州のような「個人情報保護専担機構」を検討していく。ITセキュリティについてアウトソーシング依存度を減らすための専門人材育成と、正社員採用のための対応も推進することにした。

1億件の顧客カード流出事件の全貌、「規定を無視した人災」と当局が指摘

──韓国日報 2014年2月13日

金融監督院は2月13日、国会での機関報告で1億400万件の顧客情報流出事件について全般的な説明を行った。一言で要約すると、KB国民カード、ロッテカード、農協カードが電子金融監督規定を無視して発生した人災とのことである。

今回の事故は、個人信用評価専門企業であるコリアクレジットビュロー(以下、KCB)の社員が、カード不正使用防止システム(FDS)の改善作業用としてカード会社から借りた個人情報(生データ)を、セキュリティプログラムが設置されていないPCからUSBメモリーに複写することから始まった。事故発生の時期はロッテカードが2013年12月、KB国民カードが同年6月、農協カードが2012年10月と12月である。

電子金融監督規定では、電算プログラムのテスト時に生データの使用を禁止し、これを変換して使用するよう規定している。しかし3社は個人情報を変換せずに、KCBの社員に提供していた。同時にUSBメモリー統制プログラムなどを設置するよう監督規定しているが、この点も3社は対応していなかった。

個人情報の流出経路は「運用サーバー」→「カード会社電算担当者PCまたは開発サーバー」→「KCB社員PC(USB統制プログラムなし)」→「USBメモリー」だった。KCBの社員は、ほかにサムスンカードと新韓カード分の改善作業も担当していたが、両社は電子金融監督規定の通りに、情報を変換後に提供し、USBメモリー統制プログラムも設置していたため、被害はなかった。

個人情報流出事件は絶えず続いており、2009年以降5年間で金融関連19社から合計20件の事故が発生。1億919万件の情報が流出した。金融監督院は2009年以降、情報を流出させた金融会社に対して監督を実施し、13社に機関警告または機関注意、6社には罰金を課する措置を取った。83人の役員は懲戒まで受けた。

加えて同院は、個人情報を保有し活用する金融会社および金融協会など3000機関に対し、自己点検を行って結果および改善計画書を提出するよう求めている。それが不十分なところは直接現場で監督を行う方針である。

政府がOSSの全面導入を推進へ、まず電子政府システムなどで利用

──毎日経済 2014年2月16日

韓国政府は、電子政府システムや公務員の使用するPC/サーバーにおいてオープンソース・ソフトウェア(OSS)を全面的に導入する方案を推進する。これにより民間企業などにもOSS使用を拡散する効果も期待している。

安全行政部は朴大統領に報告した「2014年業務推進計画」で、電子政府をクラウド基盤に転換する過程でOSSを全面的に導入し、それによって独自の技術を確保しながらIT産業成長に向けた基盤を整える方針を打ち出している。具体的には上半期に「電子政府クラウド転換情報化計画(ISP)」を樹立し、段階的に政府全体にOSS導入を推進していく計画である。

電子政府システムの基盤がクラウドに転換すれば、公務員の業務遂行はPCからWeb環境に代わり、タブレットやスマートフォンなどでも業務ができるようになる。さらに同部は、100万人の公務員が使用しているPCやデータベース、Webシステム、サーバーなどに使うソフトウェアや運用・管理に関わるソフトウェアもOSSにしていく方針である。

その後は、住民サービスシステムやオンライン調達システム、特許情報システム、電子通関システムを含む1万8000システムも、OSS基盤に変えていく。政府の担当者は「ソフトウェアが特定ベンダー製品に偏重する問題、ライセンス費用の負担問題からの改善を期待している。Windows XPのサポート切れ問題で特定製品に偏重してはいけないことが分かった」と語る。ソウル市の2014年1月時点でのPCのOSは、78.5%がWindows XPだった。

電子政府輸出戦略変更、大手SI企業の参加制限解除?

──デジタルタイムズ 2014年2月19日

電子政府の輸出が第2の跳躍をするためには、新しい戦略の樹立が必要だ─。こんな声が関係者の間で高まっている。電子政府輸出を無料援助中心から収益性重視へ変えるなど、全般的な戦略変化が背景にある。

議論の的の1つは、海外における電子政府構築事案に提出が必須である国内発注のシステム構築事例の不在だ。韓国では中小IT企業の保護育成に向けた「ソフトウェア産業振興法」を施行している。これにより大手SI企業が国内公共情報化市場に参加できない状況が続き、特に特許や調達・関税分野のシステム輸出において苦戦が続いているのだ。

これに対し政府関係者は、「国内で発注する海外電子政府事業と特殊分野には、大手SI企業も参加できるよう構造を変えないといけない」と強調する。発注者である開発途上国が、知名度に欠ける中小IT企業よりも大手SI企業のブラント価値を選好していることも1つの理由である。

しかし単純に法律を改定すると中小IT企業育成の趣旨がなくなり、誤解を招く可能性もある。このため安全行政部と未来創造科学部は、法律の範囲内で電子政府輸出が活性化できるよう検討を進めている。

問題はそれだけではない。業界関係者は「韓国企業が受注する事業はほとんど援助資金によるが、韓国の借款は利子が高く、相対的に利子が安い世界銀行や他国の資金を選好している」といい、「長期的な戦略を樹立し、ノウハウを途上国に伝授したら他国に電子政府構築を依頼するなど、対応戦略が必要である」と語った。

こうした中、安全行政部は、昨年度の電子政府輸出は目標だった4億ドルを突破したが、今年は目標を決めないこともあり得ることを明らかにしている。まだ具体的な輸出戦略が整っていないためだ。同部は2014年6月に予定される「国連(UN)公共行政フォーラム」などの国際行事をきっかけに、電子政府など“行政韓流”を広報する計画である。そのためには的確な戦略が必要となっている。

個人情報管理の実態は「最悪」、金融委員会の傘下機関など

──京郷新聞 2014年2月24日

韓国の金融政策を総括する金融委員会と傘下機関が運用する個人情報管理に関わるシステムのうち、70%以上に改善が必要であることが分かった。セキュリティを管理監督すべき政府当局が個人情報をしっかり管理できていない状況である。

安全行政部は、1億件超の個人情報流出事件を受けて、2週間にわたり政府・行政機関における「部処・傘下機関別の個人情報管理実態に関わる緊急事態点検」を実施した。その結果、54部処と958傘下機関が保有している6067の個人情報管理システムのうち509システム(8.4%)が「改善要」の判定を受けた。

中でも「最悪」といえるのが、金融当局である金融委員会とその傘下機関9カ所の自己点検結果である。保有する88のシステムの中で64システム(72.7%)が「改善要」の判定であり、これは全部処の平均である8.4%よりも9倍も多い。金融委員会はWebサイト、金融関連サービスシステム、統合情報システム、AML(マネーロンダリング防止)システムの4つを運用しているが、そのすべてが「改善要」だった。

そのほとんどが個人情報に関する安全措置として策定する内部管理計画が不十分な状態で、個人情報の収集と利用について同意を求める場合、目的と保有期間などを告示していなかったことが明らかになった。これらのシステムは国民の名前、電話番号、住所、メールアドレスなどを含めている。

同様に韓国取引所(18システム)と韓国資産管理公社(14システム)、韓国預託決裁院(7システム)も、保有するシステムすべてが「改善要」判定だった。特に資産管理公社は国民幸福基金など様々なシステムがあり、顧客1人あたり40項目以上の情報を取得・保存するが、管理レベルの低さが明らかになった。

バックナンバー
韓国ICT事情一覧へ
関連キーワード

情報漏洩 / 韓国 / クレジットカード / アジア

関連記事

トピックス

[Sponsored]

韓国のクレジットカード3社、1億件の顧客カード流出は世界3位の規模電子政府の推進などを筆頭にICT活用を積極的に進める韓国。現地メディアの報道から、韓国の官民の最新動向をピックアップして紹介する。

PAGE TOP