韓国のEコマース(電子商取引)最大手クーパンで、3370万人の個人情報が流出した。韓国成人の4人に3人の情報が漏えいしたことになる。外部ハッキングではなく内部社員による流出とみられ、犯人はすでに退職した中国人元社員と推定されている。クーパンは5カ月間も情報流出に気づかなかったことが分かり、急速な成長で拡大したクーパンが顧客の個人情報保護を怠ったのではないかとの批判が出ている。
クーパンは30日、3370万件の顧客アカウントが流出したことを11月29日午後に個人情報保護委員会(個人情報委)に報告したと明らかにした。クーパンの月間アクティブ利用者数が3200万人である点を踏まえると、事実上、全会員の情報が流出したことになる。
クーパンは、11月18日に顧客個人情報4500件が流出したことを把握し、20日に個人情報委へ報告した。その後の調査で、6月24日から大規模な流出が続いていたことを確認した。流出が5カ月前に始まっていたにもかかわらず、クーパンは気づいていなかったことになる。個人情報委関係者は「クーパンは消費者から苦情が寄せられ、その確認過程で初めて流出を把握した。通報がなければ今も気づかなかった可能性が高い」と述べた。
クーパンは、ソウル警察庁サイバー捜査隊へ告訴状を提出。告訴状には被告人を特定せず「姓名不詳者」と記載した。しかし個人情報委に提出した事件経過報告書には、中国人元社員の犯行が疑われる状況が詳細に説明されているという。
個人情報委は、科学技術情報通信部とともに官民合同調査団を立ち上げ、本格調査に着手した。警察も流出経緯の解明に乗り出し、サイバー捜査隊は提出された告訴状を受理し、関連資料を確保して分析していると、30日明らかにした。クーパンは同日、パク・デジュン代表取締役名義で「ご不便とご心配をおかけしたことをお詫びします。追加被害防止に最善を尽くします」との謝罪文を発表した。
高麗(コリョ)大学情報保護大学院のイ・サンジン教授は「一般的にデータごとにアクセス権限を持つ社員が区分されている。今回のように1人の社員が大量データへ継続してアクセスできたということは、内部監視管理がずさんだったことを物語る」と指摘した。
イ・ソジョン記者 キム・ダヨン記者 sojee@donga.com
About Dong-A Ilbo