국가정보_일본

Cases

[표]개인정보 위반 Cases

공공부문 연방법률
위반 주체 처분 시점 위반사항 개요
리쿠나비(リクナビ) ’19.12.

채용 전문 서비스인 리쿠나비는 본인의 동의 없이 제3자에게 신규 취업 준비생의 ID 및 쿠키에 기반한 개인정보를 제공하여 해당 취업 준비생의 합격 후 입사 포기율 분석에 활용

JR동일본 ’20.3.

온라인 사이트인 ‘eki-net’에 대한 사이버 공격으로 스마트폰 앱을 통해 3,729개의 사용자 계정에 부정 로그인 실행

이 중 13건의 주소, 전화번호 및 신용카드 정보유출

(1) 채용 전문 포털 리쿠나비(リクナビ)는 쿠키 기반 정보로 개인을 특정하여 제3자에 관련 정보를 제공함으로써 개인정보보호위원회로부터 지도 및 권고 조치 제재 (‘19.8)17)

(사건 개요) 채용 전문 서비스인 리쿠나비는 본인의 동의 없이 제3자에게 신규 취업 준비생의 ID 및 쿠키에 기반한 개인정보를 제공, 해당 제3자 기업은 이를 해당 취업 준비생의 합격 통보 이후 입사 포기 비율 분석에 활용

리쿠나비가 제공하는 ‘리쿠나비 DMP Follow’ 서비스는 ‘18년 도요타, 교세라 등 주요 35개 기업을 대상으로 지원 학생의 리쿠나비상의 행동 이력을 분석한 뒤 알고리즘을 작성하여 2019년 행동 이력과의 비교를 통해 합격 통보 이후 입사 포기 비율을 예측

이 과정에서 리쿠나비는 학생의 쿠키나 ID 정보만으로는 개인이 특정되지 않기 때문에 개인정보가 아니라는 점을 들어 해당 학생에게 본인의 동의를 얻지 않고 제3자 기업에게 해당 정보들을 제공

그러나 리쿠나비가 개발한 알고리즘은 실제 복수의 쿠키 정보를 토대로 개인을 특정하여 제3자 기업에게 해당 정보를 제공한 것

(대응) 지도 및 권고 조치 이후 해당 서비스는 폐지됐으며, 이후 ‘20년 법 개정에 관련 사항을 보완

쿠키 기반의 알고리즘을 통한 개인 특정 사실이 드러남에 따라 개인정보보호위원회는 제3자 제공 동의 획득을 의도적으로 회피했다고 판단하여 ‘법의 취지를 벗어난 지극히 부적절한 서비스’로 지적

이후 개인정보보호위원회는 해당 건에 대해 ‘19.8월과 12월 2차례에 걸쳐 지도 및 권고를 시행했으며 해당 서비스는 ’19.8월에 폐지

동 사례에서 필요성이 제기된 개인정보보호법의 관련 규정 보완을 위한 조치로써 ‘개인정보’가 아닌 ‘개인 관련 정보’가 되기 위해서는 개인정보, 가명가공정보, 익명가공정보 어디에도 해당하지 않아야 한다는 사항이 ‘20년 개정법에서 반영

17) https://www.businesslawyers.jp/articles/822

(2) 철도회사인 JR동일본은 온라인 예약 서비스인 ’ekinet’에 대해 외부로부터의 부정한 접근 사례가 발생한 것으로 발표(‘20.3)18)

(사건 개요) JR동일본 측에 따르면 웹사이트에 대한 부정 접속이 발생한 시점은 ‘20년 3월 2일 오후 5시 30분부터 3일 오후 0시 37분으로, 이 기간 동안 ekinet 서비스를 이용할 수 있는 스마트폰 앱인 ‘ekinet 앱’을 통해서 해외 특정 IP주소로부터 비정상적인 다수의 로그인이 시도

부정 로그인 된 3,729명의 접근 로그를 조사한 결과, 대부분은 첫 화면에 머물렀던 것으로 확인됐으며, 13명의 경우 타 화면으로 이동하여 등록자의 개인정보를 열람한 흔적이 발견

열람 가능성이 있는 정보로는 성명·주소·전화번호·생년월일·메일주소·신용카드 정보의 일부(카드번호 뒷자리, 유효기간, 브랜드명) 및 연계된 교통 IC카드 번호 등

(대응) 부정 로그인 가능성이 있는 3,729명의 계정에 대해 JR동일본은 당일 밤 비밀번호를 강제 리셋 조치를 단행했으며, 이용자들은 비밀번호 변경 이후 로그인이 가능

JR동일본의 홍보 담당자는 ‘보안을 강화하여, 같은 사건이 발생하지 않도록 노력하겠다’라고 언급했으나, 별도의 후속 조치는 발표되지 않음

JR동일본 측은 사고 이후 피해 고객을 대상으로 비밀번호 변경 방법을 공지하기 위한 메시지를 전파

18) https://xtech.nikkei.com/atcl/nxt/news/18/07231

top