멈추지 않는 개인정보 유출, 2023년(레이와 5년도)은 전년 대비 1.5배. 최신 동향을 해설

최근, 교묘해지는 사이버 공격과 인적 오류 등으로 인한 개인정보 유출 사건이 증가하고 있으며, 기업에게 심각한 과제로 대두되고 있습니다. 개인정보 유출은 기업에게 명예훼손, 소송 리스크, 사업 중단 등 중대한 손해를 초래할 수 있습니다.

이 기사에서는 개인정보보호위원회가 발표한 레이와 5년도(2023년) 연차보고서를 통해 드러난 개인정보 유출 사건의 동향에 대해 설명합니다. 본 기사를 참고하여 귀사의 정보보안 대책을 강화하고, 유출 리스크를 사전에 방지합시다.

개인정보보호위원회의 연차보고란

레이와 4년(2022년) 4월에 시행된 개정 Japanese 개인정보보호법에 따라, 개인정보 취급 사업자가 개인정보의 유출 등의 사건이 발생하고, 그것이 일정 조건을 충족하는 경우에는 Japanese 개인정보보호위원회(PPC)의 웹사이트를 통해 보고하는 것이 의무화되어 있습니다.

Japanese 개인정보보호위원회는 레이와 6년(2024년) 6월에 레이와 5년도의 연차보고[ja]를 공표했습니다.

관련 기사：레이와 6년(2024년) 개정 Japanese 개인정보보호법의 핵심 포인트는? 알아두어야 할 변경점과 대응책을 해설[ja]

개인정보 취급 사업자 등에 대한 감독

레이와 5년(2023년)도의 유출 등 사건에 대해서는 12,120건의 보고 처리가 이루어졌으며, 전년도의 7,685건에 비해 크게 증가하였습니다. 그렇다면 구체적인 내용을 살펴보겠습니다.

유출 등 사건에 관한 처리 상황 등

보고된 사건 중, 개별 사건에서 유출된 인원 수가 1,000명 이하인 경우가 11,635건(96.0%), 5만 명을 초과하는 사건의 비율은 61건(0.5%)이었습니다.

위원회에 직접 보고된 사건에서 유출된 정보의 종류는 고객 정보가 가장 많았으며(83.5%), 형태별로 보면 종이 매체만 유출된 경우(82.0%)가 전자 매체만 유출된 경우(12.2%)보다 많았습니다.

개인정보 보호법 및 개인정보의 보호에 관한 법률 시행규칙(시행규칙)이 정하는 보고 의무의 유형에 따른 분류에서는, 가장 많은 부분을 차지한 것은 병력이나 인종 등의 주의를 요하는 개인정보를 포함한 개인 데이터의 유출 등이었으며(89.7%), 이어서 부정 액세스 등 부정한 목적으로 이루어질 가능성이 있는 개인 데이터의 유출 등이었습니다(8.1%).

이러한 경향이 나타난 원인은 유출 등 사건의 발생 원인이 대부분 잘못된 교부, 잘못된 발송, 잘못된 폐기 및 분실과 같은 소위 인간의 실수였기 때문(총 86.3%)으로, 유출이 발생했을 경우 대상이 된 본인 수가 1명이라도 보고 의무가 있는 주의를 요하는 개인정보를 포함한 개인 데이터에 대해, 해당 개인 데이터가 기재된 종이 매체(예: 의료 기관에서의 진료비 명세서 등)의 잘못된 교부 등으로 인한 유출 사건이 많았다고 생각됩니다.

이러한 보고를 받아 개인정보 보호위원회는 본인에 대한 대응의 실시 상황으로서 본인에 대한 통지(개인정보 보호법 제26조 제2항)가 적절히 이루어졌는지, 발생 원인을 적절히 특정 및 분석하고 있는지, 재발 방지를 위한 조치로서 기재된 사항이 발생 원인에 적절히 대응하고 있는지 등, 시행규칙이 정한 보고 대상 사항에 대해 그 내용을 확인하고, 필요에 따라 발생 원인 분석 및 재발 방지책 검토 방법 등에 대한 정보 제공 등의 대응을 하였습니다.

보고 징수, 지도 및 조언의 상황

개인정보 취급 사업자 등에 대해 73건의 보고 징수, 333건의 지도 및 조언이 이루어졌습니다.

중대한 사건으로 다음과 같은 것들이 지적되었습니다.

• 일반 송배전 사업자가 보유한 신전력 고객의 정보를, 그룹 회사이거나 동일 회사의 소매 부문인 관계 소매 전기 사업자가 열람하고 이용한 사례
• 자원에너지청이 관리 운영하는 ‘재생 가능 에너지 업무 관리 시스템’에 대해, 일반 송배전 사업자에게 할당된 계정의 ID 및 비밀번호를 관계 소매 전기 사업자가 이용하여 해당 시스템 내의 개인정보를 열람하고 이용한 사례
• 도요타 자동차 주식회사가 자회사인 도요타 커넥티드 주식회사에 차량 이용자에 대한 서비스 관련 개인 데이터 취급을 위임했으나, 해당 회사가 관리하는 서버 내의 개인 데이터가 외부에서 열람 가능한 상태가 되어 유출될 위험이 있었던 사례
• 의료 분야의 연구 개발을 위한 익명 처리 의료 정보에 관한 법률(2017년 법률 제28호)의 의료 정보 취급 사업자인 독립 행정 법인 국립 병원 기구가 환자의 의료 정보를 유출한 사례
• 옵트아웃 신고 사업자 3사가 개인정보 보호법의 규정에 위반한 사례
• 주식회사 NTT 도코모가 주식회사 NTT 넥시아에 전화 영업용 고객 정보 관리를 포함한 업무를 위임했으나, 넥시아사의 파견 직원이 업무용 PC에서 개인 계약하는 클라우드 서비스에 무단으로 접근하여 약 596만 명 분의 개인 데이터를 클라우드 서비스에 업로드함으로써 외부로 유출되어 유출될 위험이 있었던 사례
• 중학 입시 학원을 운영하는 주식회사 요츠야 오오츠카의 강사가 재직 중에, 학원에 다니는 초등학생 어린이의 사진 및 동영상과 함께, 학원이 관리하는 재학 어린이의 개인 데이터를 검색하여 열람하고 개인 스마트폰에 입력하여 기록하며, 6명 분의 개인 데이터를 자신의 SNS 계정에 게시하여 유출한 사례
• 주식회사 MK 시스템의 서버가 불법 접근을 받아 랜섬웨어에 의해, 해당 시스템 상에서 관리되는 개인 데이터가 암호화되어 유출 등의 위험이 발생한 사례
• ‘야후옥션!’의 특정 상품 페이지 등에서, 일정한 명령 등의 입력을 행한 경우, 경매 출품자의 GUID(사내 식별자)가 표시되는 사양이 되어 GUID가 제3자에게 열람 가능한 상태가 되어 개인 데이터의 유출 위험이 발생한 사례

이러한 사건에 대해, 개인정보 보호법 제23조에 근거한 지도가 이루어졌으며, 일부에 대해서는 재발 방지책의 이행 상황에 대한 보고 등이 요구되었습니다.

권고 상황

개인정보 취급 사업자 등에 대해 3건의 권고가 이루어졌습니다. 다음은 그 개요입니다.

민간 사업자, 독립 행정 법인 및 지방 공공 단체로부터 위탁을 받아 주식회사 NTT 마케팅 액트 ProCX가 수행하던 콜센터 사업과 관련하여, 업무에 사용하는 시스템의 유지 관리를 담당하던 NTT 비즈니스 솔루션즈 주식회사 소속 직원이, 위탁한 고객이나 주민 등에 관한 개인 데이터 약 928만 명 분을 부정하게 유출한 사건에서, 양사에 대해 개인정보 보호법 제23조의 규정 위반을 시정하기 위한 필요한 조치를 취하도록 각각 권고가 이루어졌습니다.

LINE Yahoo 주식회사에서는, 업무 위탁한 한국 기업인 보안 유지 회사의 직원이 업무상 사용하던 PC가 맬웨어에 감염된 것이 계기가 되어 정보 시스템이 불법 접근을 받고, LINE 관련 위탁자, 거래처, 직원 등에 관한 개인 데이터가 유출된 사건에서, 개인정보 보호법 제23조의 규정 위반을 시정하기 위한 필요한 조치를 취하도록 권고가 이루어졌으며, 재발 방지책의 실행 상황을 포함한 권고에 대한 개선 상황에 대해 보고 등이 요구되었습니다.

행정기관 등에 대한 감시

개인정보보호법에 근거하여, 행정기관 등에 대해서도 감시가 이루어졌습니다.

보유 개인정보의 유출 등 사건에 관한 보고 처리 상황

행정기관 등에 대한 감시로서, 보유 개인정보의 유출 등 사건에 대해 1,159건의 보고 처리가 이루어졌습니다. 이 중, 국가 행정기관 등에 의한 보고는 162건, 지방공공단체 등에 의한 보고는 997건이었습니다.

보고된 사건 대부분은 전년도와 마찬가지로 주의가 필요한 개인정보를 포함한 보유 개인정보의 유출 등이었으며(국가 행정기관 등: 61.1%, 지방공공단체 등: 80.3%), 이어서 본인 수가 100명을 초과하는 보유 개인정보의 유출 등이 있었습니다(국가 행정기관 등: 31.5%, 지방공공단체 등: 18.8%).

발생 원인 대부분은 잘못된 배부, 잘못된 발송, 잘못된 폐기, 분실 등 소위 인적 오류였으며(국가 행정기관 등: 합계 6.8%, 지방공공단체 등: 합계 78.8%), 시스템의 잘못된 설정 등 기타에 해당하는 것이 그 다음으로 많았습니다(국가 행정기관 등: 22.8%, 지방공공단체 등: 17.7%).

건당 유출 등이 발생한 인원은 1,000명 이하가 가장 많았으며(국가 행정기관 등: 93.2%, 지방공공단체 등: 96.7%), 유출 등된 정보는 국민 등의 정보가 가장 많았으며(국가 행정기관 등: 78.4%, 지방공공단체 등: 91.1%), 유출 등된 정보의 형태는, 종이 매체만이 유출 등된 것(국가 행정기관 등: 58.0%, 지방공공단체 등: 76.8%)이 많았습니다.

자료 제출 요구, 현장 조사, 지도 및 조언의 상황

개인정보보호법 및 개인정보의 보호에 관한 법률에 대한 가이드라인(행정기관 등 편)의 준수 상황 등을 확인하기 위해, 행정기관 등에 대한 계획적인 현장 조사 등이 65건 실시되었고, 개인정보의 적절한 처리에 관하여 개선을 요구하는 지도, 지도한 사항에 대해 보고를 요구하는 자료 제출 요구 등이 이루어졌습니다.

현장 조사 등 외에도, 개인정보의 유출 등 사건의 보고 접수 등에 있어, 미비한 안전 관리 조치에 관한 재발 방지책의 철저를 요구하는 등의 지도 및 조언이 73건 이루어졌습니다. 중대한 사건으로는 다음과 같은 것이 있습니다.

• 자원에너지청이 관리 운영하는 ‘재생 가능 에너지 업무 관리 시스템’에 대해, 일반 송배전 사업자에게 할당된 계정의 ID 및 비밀번호를, 관련 소매 전기 사업자가 사용하여 해당 시스템 내의 보유 개인정보를 열람하고 사용한 사건
• 아오모리현 노헤지마치에서 대부분의 주민의 성명, 생년월일, 건강 검진 결과 및 코로나19 백신 접종 이력 등의 개인정보가 기록된 USB가 분실되어 유출의 우려가 발생한 사건
• 나가노현 교육위원회가 관할하는 고등학교 2곳의 교사 2명이, 사기 지원에 걸려 사기를 시도한 공격자의 유도에 따라, 학교 업무용 단말기인 PC에 원격 조작 소프트웨어를 무단으로 설치한 결과, 해당 고등학교의 학생 및 교직원에 관한 보유 개인정보의 유출 우려가 발생한 사건

이러한 사건에 대해서는 안전 관리상의 문제에 대한 미흡한 대응에 대해 개인정보보호법 제66조 제1항에 근거한 지도가 이루어졌으며, 아오모리현과 나가사키현의 사건에 대해서는 재발 방지책의 실시 상황에 대해 자료 제출 등도 요구되었습니다.

요약: 개인정보 유출 사건, 보고 개시 이후 최다 기록

레이와 4년(2022년) 개정 이후로는 개인정보보호위원회에의 보고가 의무화되었으나, 레이와 5년도의 보고 건수 12,120건은 전년도에 비해 약 58% 증가하여, 보고가 노력 의무화된 헤이세이 25년(2017년) 이후 최다를 기록했습니다.

개인정보의 취급에 있어서 잘못된 조치로 실제로 유출이 발생하면, 이와 같이 개인정보보호위원회의 사이트에 공개되어 기업 브랜드의 훼손이나 사회적 신용의 상실로 이어질 수 있습니다. 개인정보의 취급 및 운영에 대해서는 변호사와 상담하여 미리 대응해 두는 것이 좋습니다.

우리 사무소의 대책 안내

모노리스 법률 사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률 사무소입니다. 최근 개인정보 유출은 큰 문제가 되고 있습니다. 만약 개인정보가 유출된다면, 기업 활동에 치명적인 영향을 미칠 수도 있습니다. 우리 사무소는 정보 유출 방지 및 대응책에 대해 전문적인 지식을 갖추고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.

모노리스 법률 사무소의 분야: 개인정보 보호법 관련 법무[ja]