CONTENTS
- 1. 個人情報ハッキング|デュオ43万人情報流出事件の概要及び流出構造

- - 漏洩した情報
- - 結婚情報業のデータ構造の特徴
- 2. 個人情報ハッキング|個人情報流出発生構造と管理責任の範囲

- - 内部統制失敗と技術的保護措置の限界
- 3. 個人情報ハッキング|個人情報保護法上の主な義務と違反構造

- - 安全措置義務違反
- - 流出通知及び届出義務違反
- - 住民登録番号処理制限違反
- 4. 個人情報ハッキング|企業責任判断基準

- - 考慮される要素
- - 企業リスクの構造と拡大面
- 5. 個人情報ハッキング|企業対応戦略

- - 企業対応チェックリスト
- - 法務法人大輪の戦略
1. 個人情報ハッキング|デュオ43万人情報流出事件の概要及び流出構造

個人情報ハッキング事件は外部から直接データベースを攻撃した形ではなく、内部端末を経由したアクセスで行われました。
個人情報を扱っていた従業員の業務用PCがマルウェアに感染し、これによりデータベース(DB)アカウント情報が奪取されました。
その後、攻撃者はそのアカウントを利用してサーバーに直接アクセスし、会員データ全体を外部にエクスポートしました。
このプロセスで重要なのは、一部のデータではなく、会員データ全体がダウンロードされた構造であることです。
約42万7千人の情報が漏洩したことが確認され、その範囲には以下の情報が含まれます。
個人情報保護委員会は、その事件に関してデュオについて課徴金約11億9,700万ウォンと過料1,320万ウォンを賦課しました。
漏洩した情報
区分 | 内容 |
基本情報 | 名前、 生年月日、 住所、 連絡先 |
固有識別情報 | 住民登録番号 |
機密情報 | 宗教、婚姻キャリア |
その他 | 学歴、 職場、 家族関係、 身体情報 |
また、契約終了後に破棄すべき約30万件の情報が保管状態のままであり、これも一緒に流出しました。
結婚情報業のデータ構造の特徴
結婚情報会社は、サービスの性質上、会員間のマッチングのためにさまざまな情報を収集します。
一般的なオンラインサービスとは異なり、身元確認を超えて個人の生活環境と価値観まで含まれる情報が活用されています。
•学歴、職場、資産などの社会的地位に関する情報
• 宗教、 傾向などの個人的な特性情報
これらの情報は個別には断片的である可能性がありますが、結合した場合、個人を特定して分析するのに非常に高い精度があります。
言い換えれば、今回の出来事は一回限りの個人情報ハッキングではありませんプロファイルデータ全体が外部に漏洩した構造です。
このようなデータは、詐欺、カスタマイズ可能なアプローチ、アイデンティティの盗用など、さまざまな形で悪用される可能性があり、企業の立場では、情報の感度自体が責任範囲を拡大する要素として機能します。
2. 個人情報ハッキング|個人情報流出発生構造と管理責任の範囲
今回の個人情報ハッキング事件で重要な問題は、外部ハッキング行為自体よりも該当ハッキングを防止するための内部管理体系が適切に機能していたかどうかです。
一般的に個人情報流出事件において企業の責任は、ハッキング発生の有無ではなく、ハッキングの可能性を遮断するための技術的・管理的措置が十分であったかを基準に判断されます。
しかし、今回の事件では、次の管理上の問題が確認されました。
内部統制失敗と技術的保護措置の限界
• データベースアクセス制御システムが不十分
• 住民登録番号とパスワードの暗号化レベルが不足
これらの要因は、技術的な脆弱性よりも個人情報処理プロセス全体にわたって内部統制システムが十分に機能していないと考えられます。
特に、従業員のPCを通じてアカウント情報が奪取された後でも、データベースへのアクセスをブロックできなかったことは、アクセス権管理と異常兆候検出システムが正しく構築されていないを意味します。
その結果、本件は、外部攻撃による一回限りの事故ではなく、内部管理体系と技術的保護措置が組み合わせて機能しない構造的問題として評価することができます。
3. 個人情報ハッキング|個人情報保護法上の主な義務と違反構造
企業の責任は、個々の違反の有無ではなく、個人情報処理前の過程で法的義務が適切に履行されたかどうかに基づいて判断されます。
安全措置義務違反
個人情報保護法第29条は、個人情報処理者が個人情報の流出を防止するために技術的・管理的保護措置を取ることを規定しています。
これには、アクセス権の管理、認証手続きの設定、暗号化措置などが含まれます。
今回の事件では、ログイン認証失敗回数制限が設定されておらず、データベースアクセス制御も不十分だったことが確認されました。
また、パスワードと住民登録番号に適用された暗号化レベルも十分ではなかったことがわかりました。
流出通知及び届出義務違反
個人情報保護法第34条は、個人情報が流出した場合、企業が情報主体にこれを通知し、一定基準以上の場合、72時間以内に監督機関に届出するよう規定しています。
しかし、今回の事件では、流出事実を認知した後も定められた期間内に届出が行われず、情報主体への通知も遅れたことが確認されました。
住民登録番号処理制限違反
個人情報保護法第24条の2は、住民登録番号の収集及び処理を原則的に禁止しており、法令上明示的な根拠がある場合に限り、例外的に許可します。
結婚仲介業の場合、住民登録番号の収集に対する明確な法的根拠がないにもかかわらず、当該情報を収集・保管した点が問題と指摘されました。
これは、保持期間が設定されているかどうかにかかわらず、実際の破棄手順が実行されていない場合、そのデータ全体が法的リスクに移行する可能性があることを示しています。
4. 個人情報ハッキング|企業責任判断基準
個人情報ハッキング事件で企業の責任は、個人情報処理者が要求される保護措置を実際にどのレベルまで履行していたかにあります。
具体的には、以下の要因が総合的に考えられる。
考慮される要素
• 漏洩した情報の範囲と規模
• アクセス管理と内部管理システムのレベル
• 流出後の届出及び通知手続の履行可否
今回の事件のように個人の婚姻履歴、家族関係、職場、経済的状態まで含まれる場合には、情報の敏感性が高く評価されることがあり、これにより企業が負担する責任範囲も拡大される可能性があります。
また、内部的に個人情報処理基準やセキュリティポリシーが存在しても、実際の運営過程で当該基準が正しく機能していない場合には、管理義務を履行したと見にくい構造です。
その結果、個人情報ハッキング事件での責任判断は、流出するかどうか自体よりも事前に構築された管理体系が実際に動作していたかを中心になされる特徴を表示します。
企業リスクの構造と拡大面
当初は、課徴金や過料などの行政制裁が課されますが、その後損害賠償請求につながる場合が一般的であり、ここで企業イメージ毀損と顧客離脱が結合し、実質的な損失規模はさらに拡大します。
ステップ | リスク内容 |
ステップ1 | 課徴金及び過料等行政制裁 |
ステップ2 | 損害賠償請求および集団紛争 |
ステップ3 | 評判の低下と顧客の離脱 |
ステップ4 | さらなる規制と監督の強化 |
特に、今回の事件のように機密情報とプロファイルデータが含まれている場合は、ステップ2以降のリスクが急速に拡大する可能性があります。
また、漏洩事実の通知遅延や内部管理体系の不足が確認された場合、課徴金水準だけでなく民事上責任範囲にも影響を及ぼす可能性があります。
その結果、個人情報ハッキング事件は、行政・民事・事業リスクが連鎖的に発生する仕組みで理解する必要があります。
5. 個人情報ハッキング|企業対応戦略

今回の個人情報ハッキング事件は、外部攻撃自体よりも内部管理体系が機能するかどうかが企業責任でつながった事例です。
これにより、企業は個人情報処理前のプロセスの構造的チェックが必要になります。
特に、個人情報収集、 保管、 アクセス、 破棄、 流出対応まで、各段階別管理体系が実際に動作していることを確認することが重要です。
企業対応チェックリスト
区分 | チェック項目 |
個人情報の収集 | サービス提供に必要な最低限の範囲内の情報のみを収集しているかどうか |
固有識別情報処理 | 住民登録番号等法的制限情報の収集・保管の有無及び根拠確認 |
アクセス制御 | 社内従業員とシステムへのアクセス権管理システムの運営 |
セキュリティシステム | 認証手順、暗号化、侵入検知システムの構築 |
保有と破棄 | 保有期間経過情報の実際の破棄手続きの履行 |
流出対応 | 72時間以内に届出および情報主体通知体系を構築するかどうか |
内部管理 | 個人情報処理基準及び内部統制手続の実際の運営可否 |
法務法人大輪の戦略
個人情報ハッキング事件は、発生後の対応より事前的な管理体系の構築の有無によって企業の責任範囲が異なるという特徴を持っています。
また、流出発生時には行政制裁、損害賠償、評判リスクが同時に発生することがあり、総合的な法律検討が求められます。
法務法人大輪は、個人情報保護、 データコンプライアンス、 企業紛争対応経験をもとに、企業の個人情報処理構造全体に対する実質的な法律諮問を提供します。
▶ 固有識別情報及び機密情報処理構造の適法性検討及び改善方案の導出
▶内部アクセス管理とセキュリティ管理システムの法的リスク分析
▶ 個人情報流出発生時の届出・通知及び監督機関対応戦略の策定
▶ 損害賠償及び紛争発生可能性に対する事前リスク診断及び対応体制の構築
個人情報処理構造の点検や流出対応戦略の策定が必要な場合には🔗企業弁護士を通じて事前レビューを進めてください。












