中国へ逃亡した元従業員の暴走によって引き起こされたとみられる、評判を傷つけるデータ侵害について、韓国のEC大手クーパンが先手を打とうとしているが、うまくいっていない。
朝鮮半島最大のオンライン小売業者であるクーパンが11月下旬に、数カ月にわたるインシデントにより3,370万人分の個人データが漏えいしたと、現・元顧客に対して警告して以降の数週間で、同社は政府規制当局からの叱責を招き、消費者擁護団体の怒りを買い、ソウルの国会議員から厳しい追及を受ける事態となった。侵害で流出したのは氏名、住所、メールアドレス、電話番号だった。人口5,200万人の国で、この侵害はほぼすべての成人に影響した。
拡大するこのインシデントは、反発への反発として米国の政治家の関心まで引き、共和党議員2人が、シアトルに本社を置くクーパンを韓国政府が不当に標的にしていると非難している。
ソウル警察庁主導の捜査を含む複数のタスクフォースが現在、同社を調査している。さらに韓国警察は、主犯格とされる侵害容疑者で中国籍の人物の身柄引き渡しを求め、インターポールの国際手配(レッドノーティス)を出したと、地元メディアが報じた。
警察への全面協力を約束している同社は先月、容疑者を特定し中国で本人と面会したと述べた。同社は元従業員のMacBook Airを回収し、盗まれたデータはすべて削除したとの本人の保証を得たという。
当局は納得していない。韓国のデータ保護監督機関は今週、クーパンに対し「自己調査」の結果を公表するのをやめるよう求めた。政府と共同で結論に至ったかのように不正確に説明されていたことが理由の一つだと、Korea JoongAng Dailyが報じた。
監督機関は、同社の声明は(同社が述べたように)政府によって検証されたものではなく、押収した機器の調査およびデジタル・フォレンジック分析を妨げる恐れがあると述べた。クーパンは、容疑者が証拠隠滅を狙ってノートPCを叩き壊し、レンガで重しをしたキャンバスバッグに押し込み、その包みを川に投げ捨てたと主張している。国家機関は、同社が求められた証拠を適時に提出しなかったと非難し、業務妨害の容疑で立件する可能性を示した。
上場企業のクーパンは、2010年に韓国で創業したがデラウェア州で法人化され、ワシントン州の経営陣によって運営され、ニューヨーク証券取引所に上場している。売上高ベースで世界の大企業上位150社の一つに数えられる。韓国のAmazon.comとも称され、人気の「ロケット配送」サービスも運営している。昨年9月時点で、アクティブ顧客数は2,470万人で、前年同期比10%増だったと発表している。
この侵害により、CEOのパク・デジュン氏は先月辞任した。
韓国の国会議員は、同社の監督体制と侵害対応について証言するため、米国市民である創業者兼会長のボム・キム氏に、2025年12月中旬の公聴会への出席を求めた。代わりに、企業親会社において法務顧問兼最高管理責任者を務める弁護士で、暫定CEOのハロルド・ロジャース氏が出席した。ロジャース氏は議員から厳しい追及を受け、会長が欠席したことについても批判された。
さらに2日間にわたる追加の国会公聴会を目前にした2025年12月29日、クーパンは声明を出し、自社の侵害対応への批判を強く批判し、政府の制約によって対応が妨げられたと主張した。
ロジャース氏は追及される経験を好まなかったのかもしれない。韓国のサイバー警察は火曜日、1月1日に発出された召喚状に従い1月5日に出頭するよう求められていたにもかかわらず、ロジャース氏がこれに応じなかったと発表した。2025年12月31日に出国していたためだと、The Korea Timesが報じた。
警察は、ロジャース氏が議員に虚偽の説明をしたかどうかを捜査しているという。同氏は業務妨害の容疑に問われる可能性があり、同社もサイバーセキュリティ体制と侵害対応をめぐって巨額の罰金を科される可能性がある。
クーパンはロジャース氏の出国について、事前に予定されていた出張だと説明した。「逃亡する意図はない。捜査への協力と警察への出頭の意思は明確に伝えており、現在日程を調整している」と同社は声明で述べた。
同氏が帰国した場合、政府関係者は韓国の聯合ニュースに対し、事情聴取が終わるまでロジャース氏に出国禁止措置を適用することを検討していると語った。
韓国の対応は、下院歳入委員会の通商小委員長であるエイドリアン・スミス議員(共和党・ネブラスカ州)には受け入れがたいものだった。火曜日の公聴会で同氏は、「すでに米国のテクノロジーリーダーを攻撃的に標的にしているように見える」韓国の規制当局を非難し、その例としてクーパンを挙げた。
同じ公聴会で、キャロル・ミラー議員(共和党・ウェストバージニア州)は、韓国が「米国人幹部2人に対する政治的な魔女狩り」を行っていると非難した。これは会長のボム・キム氏とロジャース氏を指しているとみられる。
韓国の労働組合の関係者は、これらの発言について「主権の明白な侵害であり、内政干渉だ」と述べた。
顧客を呼び戻そうとする同社の取り組みも、手放しの成功とは言えない。影響を受けた各個人に34ドル相当の補償を提供することで「顧客の信頼を回復する」計画を発表した。この計画は、補償がクーパンの4つのサービスで使えるバウチャー(クーポン)としてのみ提供される点で、直ちに批判を浴びた。14ドル相当のバウチャー2枚は旅行サイトと高級美容商品サイト向けで、消費者は何かを購入するためにさらに多額の支払いをしなければならない。
この措置への批判には、消費者権利団体が、クーポンではなく現金を侵害被害者に支払うようクーパンに求める声も含まれていた。100を超える消費者団体の連合は、バウチャー制度が「発行から利用に至るまで、欺瞞と小手先の手口に依存している」として、引き続き批判している。
木曜日に提供が開始され、3カ月間有効なこれらのバウチャーは、販売促進策に過ぎないとして新たな批判も招いていると、聯合ニュースが報じた。
「補償を受け取るには、クーパンのアカウントを閉鎖した顧客は会員として再登録する必要がある」と、同社の広報担当者は同通信社に語った。
翻訳元: https://www.databreachtoday.com/coupang-horrible-no-good-very-bad-data-breach-a-30540
