韓国でCoupangに史上最高額4億900万ドルのデータ侵害制裁金

韓国のデータ保護規制当局である個人情報保護委員会（PIPC）は、3,700万人超の顧客に影響を及ぼした大規模なデータ侵害を受け、Eコマース大手のCoupangに対し、史上最高額となる6,246億ウォン（約4億900万ドル）の制裁金を科しました。

子会社のCoupang Fulfillment Serviceも、顧客の個人情報および機微情報を違法に収集・利用・取り扱ったとして、2億4,800万ウォンの制裁金を課されています。

調査の結果、認証キーの管理やアクセス制御における不備を含む不十分なセキュリティ対策が原因で、約3,755万人分の個人情報が漏洩していたことも明らかになりました。

PIPCはさらに、データ廃棄および漏洩通知義務の違反、Coupangのデータ保護責任者の独立性への干渉、そして調査妨害についても問題として指摘しています。

「認証署名キーの管理やアクセス制御に関する怠慢を含む、基本的な安全管理体制の不備により、約3,755万人分の個人情報が漏洩しました」とPIPCは発表しています。「Coupangの安全措置義務違反および法的根拠のない個人情報収集に対し、6,246億8,100万ウォンの制裁金と1,680万ウォンの過料を科すとともに、是正命令、告示、公表命令を発出しました。」

Coupangは米国に本社を置くオンライン小売企業で、韓国市場で事業を展開しており、従業員数は9万5,000人、年間売上高は300億ドルを超えると報告されています。

同社は昨年12月下旬、1兆6,850億ウォン（約11億7,000万ドル）を支払う計画を発表し、2026年1月から被害を受けた3,300万人超の顧客に対して1人当たり5万ウォン（約34ドル）の一回限り使用できる購入クーポンの配布を開始するとしています。

今回の侵害は韓国史上最悪級のものの一つで、6月下旬に発生しましたが、発覚したのは11月中旬のことでした。同社はその際、3,370万件のアカウントが侵害されたことを明らかにしています。

捜査を引き継いだ韓国当局によると、主な容疑者は43歳の中国国籍の人物で、2022年から2024年にかけてCoupangのIT部門に勤務していたとされています。

Coupangは後に、この元従業員が機密データを含む複数のハードドライブを返却したと発表しました。また、証拠隠滅を図るためMacBook Airを川に投棄しましたが、端末は回収されています。さらに同社は、容疑者が数百万件のアカウントにアクセスしたにもかかわらず、保持していたユーザーデータは約3,000件分のみであり、そのデータはすべての端末から削除され、第三者への流出もなかったと説明しています。

韓国最大手の移動体通信事業者であるSKテレコムも4月、マルウェア攻撃によってネットワークが感染し、顧客の機微なUSIMデータが漏洩したと顧客に警告していました。その後、マルウェアが最初に展開されたのは2022年6月であり、2,700万件の加入者（SKテレコムの顧客基盤のほぼ全体に相当）に影響が及んでいたことを同社は明らかにしています。