[비즈한국] 針對樂天信用卡發生的大規模個人資訊洩露事件,個人資訊保護委員會決定對其處以近100億韓元的罰款。由於罰款僅適用於與違規行為相關的部分銷售額,有觀點認為處罰力度低於預期。在金融監管機構的後續制裁尚未落地的情況下,將於16日正式就任的樂天信用卡新任代表鄭尚浩,將同時肩負起處理事故善後及應對制裁的任務。

個人資訊保護委員會在11日召開的第四次全體會議上,決定對樂天信用卡處以96.2億韓元的罰款、480萬韓元的過失罰款,並下達整改及公告命令。該決定是針對2025年9月樂天信用卡發生297萬名使用者資訊洩露事故所作出的,此前委員會對樂天信用卡是否違反居民身份證號碼處理義務進行了調查。
2025年8月,樂天信用卡遭到了外部攻擊者的線上支付系統駭客攻擊。駭客在樂天信用卡的線上支付伺服器中植入了惡意程式碼,並竊取了支付處理過程中產生的日誌檔案。雖然駭客竊取的檔案中有一半左右已加密,但其餘部分則以明文形式洩露。洩露的個人資訊包括:△連線資訊(CI,加密後的個人識別資訊)△虛擬支付程式碼 △卡號 △有效期 △CVC號碼等。
經確認,洩露的資訊中還包含45萬人的居民身份證號碼。個人資訊保護委員會認為,樂天信用卡在線上支付相關日誌中未對居民身份證號碼等個人資訊進行加密,且未對日誌檔案採取妥善的加密措施,違反了《個人資訊保護法》。《個人資訊保護法》明確規定,僅在法律相關事項或為保護資訊主體生命、身體、財產利益明顯必要的情況下,方可處理居民身份證號碼。
此外,委員會還指出,日誌檔案中僅應記錄最少量的個人資訊,但樂天信用卡儲存了包括居民身份證號碼在內的多項個人資訊,從而導致了大規模駭客事故。在處以罰款和過失罰款的同時,個人資訊保護委員會還要求樂天信用卡加強個人資訊保護負責人(CPO)的責任與獨立性,並對整體個人資訊保護體系進行整改。
個人資訊保護委員會也以此次事故為契機,著手對行業進行審查。委員會表示,計劃於3月份對金融領域經營者進行預先現狀審查,以整治行業內無正當法律依據、隨意處理居民身份證號碼的慣例。

個人資訊保護委員會的發表在業內引發了處罰力度低於預期的反應。同行業的友利信用卡曾因違反《個人資訊保護法》,於2025年3月被處以134億韓元的罰款。樂天信用卡此次罰款金額未達到100億韓元,似乎是因為作為罰款計算標準的違規行為相關銷售額規模本身較小。
個人資訊保護委員會解釋稱:“我們僅調查了違反居民身份證號碼處理義務及加密措施義務的部分。罰款僅針對與線上支付服務相關的銷售額進行計算。根據違規行為的嚴重程度,其佔銷售額的計算比例會有所不同,經過初次調整、二次加重或減輕等程式最終確定。”
樂天信用卡似乎打算對該處罰提出異議。樂天信用卡回應稱:“我們已主動申報事故並誠實配合了個人資訊保護委員會的調查。對於法律依據條款等已說明的內容,部分未得到充分反映。在收到決定書後,我們將仔細審查內容,並透過可能的異議程式繼續說明情況。”
另一方面,在個人資訊保護委員會公佈制裁方案的12日,樂天信用卡召開了臨時股東大會和董事會,最終選任了鄭尚浩為新任代表理事。鄭新任代表的任期為2026年3月16日至2028年3月29日。這意味著鄭新任代表在上任的同時,就接過了應對制裁的課題。
金融監管機構尚未公佈的處置結果也備受關注。金融委員會和金融監督院正在調查樂天信用卡在個人資訊洩露事件中是否遵守了《信用資訊法》規定的安全保障義務。根據《信用資訊法》,因駭客攻擊導致的個人資訊洩露事故,罰款上限限制在50億韓元。不過,如果認定其違反了《專門金融業務法》,則可能面臨停業6個月的處罰,且針對管理層的制裁也尚未落實。
樂天信用卡表示:“對於因網路安全事故給大家帶來的不便和憂慮,我們深表歉意。未來將竭盡全力防止此類事件再次發生,並加強個人資訊保護。”