個保委は、流出が公表された加入者の携帯電話番号、端末識別番号(IMEI)、認証鍵といったSIM情報について、個人情報に該当すると判断。これを受け、2日には緊急の委員会決定に基づき、情報流出が確認された、あるいはその可能性のあるすべての情報主体に対し、個別の通知と被害防止策の実施を求めた。
今回の調査は、個人情報保護法第63条に依拠するもので、焦点は流出した個人情報の範囲と被害規模の特定、SKTが個人情報保護法上の安全管理措置義務(技術的・管理的措置を含む)を適切に履行していたかの検証に置かれる。
個保委は、SKTから調査に必要な関連資料を別途入手し、個人情報保護法にのっとり独立した調査を進めている。
これまでの調査で、個保委はSKTの顧客管理システム「統合顧客システム(ICAS)」のサーバー2台を含む計18台のサーバーが、悪性コードに重複感染していた事実を確認した。ICASは、同社のオンラインサービス「Tワールド」や提携企業に対し、加入者の契約状況や個人情報、契約プランの照会用APIを提供している。
これらのサーバーには、氏名、生年月日、電話番号、メールアドレス、住所、IMEI、加入者識別番号(IMSI)など、顧客の重要な個人情報を含む計238項目(カラム数基準)が記録されていた。最初の悪性コード感染が2022年6月と長期にわたる点を考慮し、感染経路や情報流出の経緯について詳細な調査を進める方針だ。
個保委は「大規模な個人情報流出事件であり、徹底的な調査を行うとともに、再発防止に向けた対策を講じることに全力を挙げる」と強調した。
さらに、「フィッシング詐欺やSMSを利用した詐欺(スミッシング)への注意喚起を行うとともに、流出した可能性のある情報の不正流通に備え、インターネットやダークウェブの監視を強化するなど、当面は現在の非常対応体制を維持する」と付け加えた。
Copyrights(C) Herald wowkorea.jp 104
