3370万の顧客情報流出、５カ月間気付かなかったクーパン

韓国最大の流通企業クーパンから、３３７０万人分の個人情報が流出する前例のない事故が起きた。氏名や電話番号、自宅および配送先住所、Ｅメールアドレス、最新の注文履歴５件まで、極めて敏感な情報が無断で持ち出された。流出規模と情報の性質を踏まえれば、「史上最悪の個人情報流出」と言っても過言ではない。

流出は６月２４日から始まったとされる。しかしクーパンが初めて被害を把握したのは先月１８日だった。実に５カ月間にわたり大規模な情報流出をまったく検知できなかったということは、内部の情報保護システムが形だけのものでしかなかったことを意味する。クーパン側は、現在退職した中国籍の社員が海外サーバーを経由して無断で顧客情報にアクセスした疑いがあるとしている。警察の捜査結果を待つ必要はあるが、もし一人の社員が事実上すべての顧客情報を持ち出せたとすれば、アクセス制御システムも無用の長物だったという指摘を免れない。

当初４５００件と報告された被害が、わずか９日間で７５００倍に膨れ上がった経緯も不透明だ。クーパン側は、「調査過程で追加流出を把握した」と説明するが、事故の隠蔽や縮小を図ったのではないか、徹底した捜査が必要である。クーパン側は、「決済・ログインの情報は流出していないので、アカウント対応は不要」と主張するが、これもあまりに楽観的かつ軽率だ。追加調査で流出範囲が広がれば、被害はより深刻化するだけである。

現在判明している情報だけでも、深刻な二次被害が懸念される。配送先情報に共同玄関の暗証番号が含まれていれば、ストーキングや住居侵入などの犯罪につながりかねない。被害照会や補償、返金、アプリ更新を装った「振り込め詐欺」も横行する恐れがある。クーパンは「なりすまし電話やメッセージに注意を」と告知するだけで手をこまねいている場合ではない。二次被害を防ぐため、より積極的かつ責任ある姿勢で臨むべきだ。

今年だけでもＳＫテレコム（２３２４万名）、ロッテカード（２９７万名）など、大規模な情報流出事故が相次いでいる。クーパン、ＳＫテレコム、ロッテカードはいずれも、国家公認の情報保護認証であるＩＳＭＳ－Ｐを取得しているが、顧客情報流出を防げなかった。政府は今回の事態を、形骸化した認証制度を全面的に再点検し、実効性ある改善策を講じる契機とすべきである。