De Zuid-Koreaanse gegevensbeschermingstoezichthouder heeft Lotte Card, een creditcardaanbieder gevestigd in Seoul, een boete opgelegd van 9,6 miljard won, ongeveer 6,5 miljoen dollar, nadat een cyberaanval persoonlijke informatie van miljoenen klanten blootlegde.
De boete werd opgelegd door de Personal Information Protection Commission, de nationale privacyregulator van het land die verantwoordelijk is voor de handhaving van de gegevensbeschermingswetgeving. De commissie concludeerde dat Lotte Card de Wet op de bescherming van persoonsgegevens heeft geschonden door het niet adequaat te beschermen van gevoelige klantgegevens.
Het onderzoek wees uit dat hackers het online betaalsysteem van het bedrijf hebben gehackt en toegang hadden gekregen tot logbestanden met persoonlijke kredietinformatie van ongeveer 2,97 miljoen gebruikers. Onder de blootgestelde gegevens bevonden zich registratienummers van bewoners van ongeveer 450.000 klanten. Deze nummers dienen als een kern nationaal identificatiesysteem in Zuid-Korea en worden beschouwd als zeer gevoelige persoonsgegevens.
Toezichthouders zeiden dat de inbreuk plaatsvond omdat persoonlijke informatie onjuist in systeemlogboeken was opgeslagen. Volgens de commissie registreerde Lotte Card meerdere soorten persoonlijke gegevens, waaronder inwonersregistratienummers, in platte tekst binnen logbestanden die verbonden zijn met online betaalprocessen. Onderzoekers stelden ook vast dat de encryptiebescherming voor deze logs onvoldoende was.
De Zuid-Koreaanse wet beperkt het gebruik en de opslag van inwonersregistratienummers. Organisaties mogen dergelijke identificaties alleen in beperkte omstandigheden verwerken en moeten strikte waarborgen toepassen bij het hanteren ervan. De commissie concludeerde dat Lotte Card de identificaties buiten het door de wet toegestane reikwijdte heeft verwerkt.
Naast de financiële boete heeft de toezichthouder Lotte Card opgedragen haar gegevensbeschermingspraktijken te versterken. Het bedrijf moet beoordelen hoe persoonlijke informatie binnen zijn systemen wordt behandeld en de beveiligingsmaatregelen met betrekking tot de verwerking van gevoelige gegevens verbeteren. De autoriteiten gaven het bedrijf ook de opdracht om details over het incident op haar website te vermelden om de getroffen klanten te informeren.
Het onderzoek begon nadat de Zuid-Koreaanse Financiële Toezichtsdienst het lek in september van het voorgaande jaar had gemeld bij de Commissie voor Bescherming van Persoonsgegevens. De autoriteiten voerden vervolgens een gezamenlijk onderzoek uit van de publieke en private sector om te bepalen hoe de aanval had plaatsgevonden en of het bedrijf zich had gehouden aan de privacyregels.
Functionarissen zeiden dat de zaak zal leiden tot bredere inspecties binnen de financiële sector. De commissie is van plan te onderzoeken of andere financiële instellingen inwonersregistratienummers verwerken zonder duidelijke juridische basis of voldoende waarborgen.
De toezichthouder stelde dat bedrijven die met gevoelige persoonsgegevens omgaan hun gegevensbeschermingspraktijken regelmatig moeten herzien en sterke waarborgen moeten toepassen om ongeautoriseerde toegang en blootstelling van gegevens te voorkomen.