Большой штраф в Корее за утечку персональных данных

Компания Lotte Card оштрафована за крупную утечку персональных данных. В результате утечки персональных данных была потеряна информация около 3 млн человек. Компания, в частности, не использовала необходимые средства шифрования данных.

Южнокорейская комиссия по защите персональных данных (PIPC) наложила штраф в размере 9,6 млрд вон (около 6,5 млн долларов США) на компанию Lotte Card, производителя банковских карт, допустившего утечку информации.

Информационный регулятор Кореи начал расследование этого инцидента в сентябре 2025 года, когда получил от Службы финансового надзора уведомление о предполагаемой утечке данных держателей кредитных карт.

В ходе расследования было установлено, что в результате хакерской атаки на систему платежей Lotte Card были раскрыты файлы журналов событий, содержащие данные примерно 2,97 млн человек. В частности, оказались скомпрометированы 450 тыс. номеров социального страхования.

Поскольку вопросы, связанные с обработкой кредитных данных, главным образом регулируются Законом Южной Кореи об использовании и защите кредитной информации, финансовые органы и надзорный орган по защите конфиденциальности разделили зоны ответственности в рамках расследования.

Служба финансового надзора изучила возможные нарушения Закона об использовании и защите кредитной информации, включая несоблюдение обязательств по обеспечению безопасности клиентов, в то время как PIPC сосредоточилась на изучении того, нарушала ли обработка номеров социального страхования Закон о защите персональных данных.

В ходе расследования было установлено, что Lotte Card нарушила установленный законом порядок обработки номеров социального страхования. Выяснилось, что производитель карт записывал ряд персональных данных, включая номера социального страхования, в виде открытого текста в журналы файлов, генерируемые во время онлайн-платежей.

В соответствии с действующим Законом о защите персональных данных Кореи, обработка номеров социального страхования допускается только в ограниченных случаях, например, когда это разрешено законом или указом президента.

Следователи также установили, что Lotte Card использовала недостаточные меры шифрования для файлов. В журналы событий должны записываться только минимально необходимые объемы персональных данных, однако Lotte Card хранила несколько типов информации, включая номера социального страхования, не проводя отдельный анализ.

PIPC считает, что эта практика стала одним из главных факторов, приведших к результативной хакерской атаке. 
Помимо наложения штрафа и небольшой пени, комиссия по защите персональных данных обязала Lotte Card пересмотреть свою общую практику обработки информации и укрепить систему защиты данных. В частности, компании необходимо усилить ответственность главного специалиста по защите конфиденциальности.

После инцидента на стороне Lotte Card совет PIPC также решил провести превентивную проверку правил обработки финансовыми компаниями номеров социального страхования.

Источник: Korea JoongAng Daily