約3750万人の個人情報が流出したクーパンが、韓国政府から課徴金計6246億8100万ウォン(約687億1000万円)を科された。これは2025年、2324万人の情報が流出したSKテレコム事件で「過去最大」として科された課徴金1348億ウォン(約148億3000万円)を大きく上回る額だ。
個人情報保護委員会は10日、政府ソウル庁舎で第11回全体会議を開き、クーパンの個人情報保護法違反に関する制裁案を議決した。
個人情報委は、クーパンの安全措置義務違反や法的根拠のない個人情報収集などについて、課徴金計6246億8100万ウォン(約687億1000万円)と過料1680万ウォン(約185万円)を科し、是正命令、公表および公表命令、告発、改善勧告を議決した。個人情報保護法違反が確認された物流子会社クーパンフルフィルメントサービス(CFS)にも、2億4800万ウォン(約2728万円)の課徴金を科した。
個人情報委は2025年11月20日にクーパンの申告を受け、翌日から流出調査に着手した。調査の結果、2024年末に退社したクーパンの元社員が会員情報を持ち出すなどのハッキングをしたことが分かった。
ハッカーは代替認証署名キーを入手した後、事前に流出テストを経て、2025年4月から11月まで会員情報修正ページ、配送先管理、注文履歴ページなどを閲覧し、個人情報を流出させた。流出した情報を組み合わせて会員別プロフィールを再構成し、サンプルデータを含む脅迫メールを会員とクーパン側にそれぞれ送った。
調査によると、流出したのは会員3322万2472人の個人情報と、少なくとも会員ではない情報主体433万8368人の個人情報だった。配送先情報には、会員本人だけでなく家族や友人など第三者の氏名、電話番号、住所が多数含まれていた。
個人情報委は、クーパンが情報主体の認証手段を安全に管理せず、不正アクセスや侵害事故を防ぐためのアクセス統制を怠ったと判断した。クーパンは2026年1月30日ごろ、会員約16万人の個人情報が追加流出した事実を把握していたにもかかわらず、法令で定められた72時間を過ぎた2月5日になって流出を通知した。
また、退会会員の配送先情報246万5592件を内部規定通りに破棄せず、一部が流出したことや、口座番号31万8499件を直ちに破棄しなかったことも明らかになった。別途の発送用データベースを構築・運用し、退会から90日が過ぎた71万7865人の個人情報も破棄していなかった。
さらに、個人情報委が各種証拠資料の保全を命じたにもかかわらず、クーパンは約5カ月分のウェブ接続ログを手動で削除し、6カ月経過時に削除されるログ自動削除政策を中断しなかったため、流出規模や被害範囲の確認を制限し、調査を妨害したと判断された。
個人情報委は、安全措置義務を怠って大規模な個人情報流出を招いた行為について4235億7500万ウォン(約466億円)の課徴金を、個人情報流出通知と破棄義務違反について過料1680万ウォン(約185万円)を科すことにした。
(c)news1