个人信息保护委员会(主席高学洙,以下简称信息保护委员会)于9月10日召开了第20次全体会议,决定对违反个人信息保护法规的Moncler Korea(以下简称Moncler)处以总计8,101万韩元的罚款和720万韩元的罚款,并公布处理结果。
Moncler的具体违规内容和处理结果如下。
2021年12月,Moncler通过黑客攻击个人信息处理系统,约23万人的个人信息被泄露,Moncler于2022年1月17日知悉此事,并于1月22日向信息保护委员会申报了泄露事件。
泄露的个人信息包括姓名、生日、电邮地址、卡号、配送方式、购物特点、体型尺寸、购买信息等。
黑客获取拥有管理员权限的员工账户,并利用该权限在域控制器服务器(认证、权限等安全策略管理服务器)上部署恶意软件,泄露个人信息后加密了现有数据。
信息保护委员会调查发现,自2019年6月以来,Moncler在运营网站时,对于通过信息通信网访问个人信息处理系统的经营者,未能在用户名和密码之外提供额外安全认证手段。
此外,尽管Moncler知悉个人信息泄露,但在无正当理由的情况下,超过24小时才通知用户并延迟上报。Moncler于2022年1月20日向用户通知此事,并于22日报告。根据当时的个人信息保护法修订版,需在24小时内报告和通知泄露事件。目前,2023年9月修订的个人信息保护法规定,个人信息处理者需在72小时内报告和通知泄露事件。
因此,信息保护委员会对Moncler实施罚款和罚款处置,并决定在信息保护委员会官网公布处理结果。信息保护委员会敦促个人信息处理者,当通过信息通信网访问管理员页面等个人信息处理系统时,除ID和密码外,还应使用一次性密码(OTP)等安全认证手段。