【ソウル聯合ニュース】韓国の中央行政機関、個人情報保護委員会は12日、顧客の個人情報が流出したフランスの高級ブランド、ルイ・ヴィトンとディオール、米宝飾品大手ティファニーの韓国法人に合計360億3300万ウォン（約38億円）の課徴金を課したと発表した。

　これら3法人はいずれもインターネット経由でソフトウエアを利用できるSaaS（サービス型ソフトウエア）基盤の顧客管理サービスを利用する過程で個人情報が流出した。

　ルイ・ヴィトンコリアは、社員の機器がマルウエア（悪意あるソフト）に感染し、ハッカーにアカウントを乗っ取られ、約360万人の個人情報が3回にわたり流出した。2013年からSaaSを導入しているが、アクセス制限をかけていなかったほか、外部から接続するときの安全な認証手段も適用していなかったことが確認された。

　同委員会はルイ・ヴィトンコリアに課徴金213億8500万ウォンを課した。

　クリスチャン・ディオール・オートクチュール・コリアとティファニーコリアはいずれも社員がボイスフィッシング（電話による詐欺）の被害に遭い、ハッカーにSaaSへのアクセス権限を与え、約195万人と4600人の個人情報が流出した。

　両社ともIPアドレス制限や大量データのダウンロード制限を設定していなかった。クリスチャン・ディオール・オートクチュール・コリアは月1回以上のアクセス記録の点検を行わず、個人情報流出の事実を3カ月以上把握できずにいた。

　また、両社は個人情報流出が発覚後、72時間以上経ってから顧客に通知し、ティファニーコリアは通報も遅れた。

　同委員会はクリスチャン・ディオール・オートクチュール・コリアに課徴金122億3600万ウォンの納付を命じ、過料360万ウォンを科した。ティファニーコリアに対する課徴金は24億1200万ウォン、過料は720万ウォン。

　同委員会は、最近多くの企業がコスト削減や維持管理の効率性を理由にSaaSを導入しているが、セキュリティー措置が不十分な場合は個人情報流出のリスクが高まる恐れがあると指摘した。