監査院が国民の個人情報を大量保有する7件の公共システムをホワイトハッカーらと共に模擬ハッキングした結果、100％成功したことが確認された。難なく全国民住民登録番号を事実上確認できるシステムもあった。

監査院は27日、こうした内容の「個人情報保護および管理実態」監査結果を公開した。実地監査は2024年11～12月に行われた。模擬ハッキングは監査院が国家保安技術研究所・サイバー作戦司令部とともに進めた。模擬ハッキングは個人情報保護委員会が指定した123件の集中管理公共システムのうち7件を対象にした。対民サービスを提供して個人情報保有量が多いところを中心に選んだ。


模擬ハッキングの結果、あるシステムでは約5000万人の住民番号などが照会が可能だったと、監査院は明らかにした。事実上、全国民の住民番号だ。別のシステムでは20分以内に1000万人の会員情報を盗み出すことができた。システム接続に必要な重要情報が暗号化されず、ハッカーが管理者権限を取得すれば13万人の住民番号を得られる公共システムも確認されたと、監査院は説明した。模擬ハッキングを試みた7件はすべてセキュリティーの弱点が発見された。


監査院は7件の公共システム運営機関長にこうした事実を伝え、是正は完了したと明らかにした。ただ、監査院は7件の公共システムがどこか、どんな方式で模擬ハッキングをしたのかは公開しないことにした。監査院の関係者は「公開する場合、ハッカーの攻撃対象となり、被害がさらに増えるおそれがある」と説明した。

今回の監査では退職した職員が公共システムに引き続き接続できる問題も確認された。京畿（キョンギ）教育庁で退職した契約職の教員3000人は接続権限が抹消されず、教育行政システムに引き続き接続することができた。

個人情報委は退職・異動職員の公共システム接近権限を適期に抹消できるよう人事情報を電算と連携しているが、ここから漏れていたのだ。

個人情報保護委が運営する「盗まれた個人情報検索」サービスの利用が少ない点も監査院は指摘した。2023年基準で全体のインターネット利用者のうちに1．7％だけが同サービスに接続したことが分かった。また、個人情報が流出した場合、2次被害を防ぐために個人情報委が該当サイトにIDとパスワードを初期化させるなどの積極的な措置を取らなければならないが、個人情報委は法的根拠がないとして対応に消極的だと、監査院は説明した。