📊 3行サマリー

  • 韓国の金融監督院(FSS)制裁委員会が2026年4月30日、ロッテカードに業務停止4.5カ月の処分を確定。297万人の個人情報がハッキングで流出した責任を問う、外部侵害として韓国カード史上初の業務停止である。
  • 2025年9月の侵害では住民登録番号45万件が平文ログに残されたままで、別途28万人分はカード番号とCVCコードも流出。3月には個人情報保護委員会が96.2億ウォン(約11億円)の制裁金を科していた。
  • 日本のクレジットカード業界では2014年のベネッセ事件以降、外部ハッキングを理由とした業務停止処分は出ていない。今回の韓国の判断は、日本の金融庁と個人情報保護委員会が「攻撃を防げなかった責任」をどこまで問うかの試金石になる。

📊 ロッテカード、ハッキングで業務停止4.5カ月が確定——297万人の住民登録番号45万件が流出

韓国の金融監督院(FSS)制裁審査委員会は2026年4月30日、ロッテカードに対する4.5カ月の業務停止処分を最終確定させた。297万人分の顧客情報を流出させたサイバー侵害をめぐる審査で、同社が「ハッキング被害に業務停止を科した前例はない」と訴えた減免要請を退けた格好だ。最終的な制裁レベルは金融委員会(FSC)の定例会議で確定する。

流出規模はカード会社の制裁案件として韓国史上最大級である。住民登録番号45万人分が平文でログファイルに残されていたほか、約28万人分はカード番号とCVCコードまで含まれていた。Seoul Economic Dailyは委員会の判断について「セキュリティパッチや基本的なアンチウイルスを数年単位で怠っていた点が、一度の不注意ではなく注意義務違反として加重処分の根拠になった」と伝えている。

📰 Seoul Economic Daily:FSS制裁委員会が会社の異議を退け業務停止を確定

元ネタLotte Card Fails to Win Reduction of 4.5-Month Business Suspension(Seoul Economic Daily / 2026年5月2日)

The committee members reportedly concluded that the leak of information from 2.97 million customers could have been sufficiently prevented if the security system had been functioning properly.

ロッテカード側は「①外部ハッキング被害で業務停止を科した前例がない」「②二次被害が発生していない」「③侵害対応に積極的だった」の3点で減免を求めた。2014年の業務停止処分は内部従業員の過失だったが今回は外部侵害である点も主張に含めた。制裁委員会の結論は逆で、長年の基本セキュリティ放置を「注意義務違反」と認定した点が決定打になった。

🔥 業務停止は「ハッキング被害で前例なし」——なぜFSSは異例の制裁を選んだか

業務停止4.5カ月は、ロッテカードにとって新規発行や決済代行の主要業務を1四半期半にわたって止めることを意味する。MBKパートナーズ傘下で売却交渉中の同社にとって、企業価値の毀損につながる重い決定だ。それでも委員会が異例の判断を下した背景は、3つの構造で読み解ける。

流出データに住民登録番号とCVCコードという「再発行で取り戻せない情報」が含まれていた。韓国の住民登録番号は日本のマイナンバーに近い終身一意の番号で、流出すれば本人の与信履歴照会から不正口座開設まで悪用範囲が広い。CVCコードはカード番号と組み合わさることで対面決済以外のオンライン取引で即座に悪用できる。委員会はこの2点を「事業者が暗号化していなければならない最重要データ」と位置づけた。

平文でログファイルに残されていた点が「故意に近い不注意」と評価された。本来ログには必要最小限の情報しか書かないルールだが、ロッテカードは住民登録番号を含む複数の個人データを精査せずに記録していた。1回のミスではなく、運用ルールの根本的欠落だった。

セキュリティパッチとアンチウイルスを数年間放置していた事実が、委員会の心証を決定的に悪化させた。Seoul Economic Dailyによれば「セキュリティシステムが正常に機能していれば、297万人の流出は十分に防げた」というのが委員会の総括である。Woori Card(2024年に加盟店主情報を流出)、Shinhan Card(2022年3月から2024年5月にかけて加盟店の連絡先と事業者登録番号19.2万件を流出)の制裁審査が控えており、各社の「管理義務の履行度」が焦点になる。

🇯🇵 日本のクレカ業界は監督庁の業務停止権限が眠ったまま、ベネッセ事件後10年の空白

日本の割賦販売法と個人情報保護法は、クレジットカード会社への業務停止を命じる権限を経済産業大臣と個人情報保護委員会に与えている。2014年のベネッセ事件以降、外部ハッキングを直接の理由としたカード会社への業務停止処分は出ていない。2020年代に入って大手カード会社の流出事案は複数発生したが、いずれも改善命令や指導にとどまり、業務停止までは踏み込まなかった。

今回の韓国の判断は、日本の監督官庁に2つの問いを突き付ける。1つは「攻撃を防げなかった責任を、どの程度の不作為まで問うか」という基準だ。委員会は「数年間のパッチ放置」を業務停止の根拠とした。日本でも同水準の不作為が判明した場合、改善命令だけで済ませるのは合理性を欠くという議論になりやすい。

もう1つは「住民登録番号に相当する終身一意番号の保護」である。日本のマイナンバーは番号利用法でログへの記録が禁止されているが、内部運用での平文保存リスクは韓国と同質である。日本のカード会社がインシデント報告でログ管理の不備を認めた場合、韓国の前例が「業務停止の参照点」として持ち出される可能性が高い。日本進出している韓国系決済プラットフォームにとっても、本国の制裁基準が日本の現地法人の与信判断に波及するリスクがある。

🏁 ハッカー被害でも業務停止という前例は、日本の監督行政に決断を迫る

ロッテカードへの業務停止4.5カ月は、「被害者である事業者」と「責任を問われる事業者」の境界を韓国の監督官庁が引き直した事件である。攻撃側の高度化が進む中で、暗号化と基本的なセキュリティ運用を怠った企業は「被害者ではなく加害者である」という線引きを、FSSは明文化した。日本の金融庁・個人情報保護委員会・経済産業省が、同水準の判断を下す準備があるかどうか。次にカード会社で大規模流出が起きたとき、その答えが問われる。