クーパン顧客情報、１．５億回閲覧 これでも「３０００件だけ流出」なのか

クーパンの大規模情報流出事故をめぐり、顧客の氏名や電話番号、住所が表示される「配送先一覧ページ」が１億５０００万回も閲覧されていたことが、官民合同調査の結果、１０日に明らかになった。当初知られていたより情報流出の規模がはるかに大きかったことになる。このページには、贈答などでやり取りする家族や友人の個人情報が含まれることも多く、被害はさらに拡大しかねない。

今回の調査によると、クーパンを退職した情報流出者は、「マイ情報修正ページ」から氏名やメールアドレスを含む個人情報約３３６７万件を持ち出していた。クーパンは昨年末、「自主調査」の結果を突如公表し、「３３００万件にアクセスしたが、実際に保存したのは３０００件にすぎない」と主張し、被害を過小評価しているのではないかとの批判が出ていた。政府は今回、「流出規模は３３００万件以上」と公式化した。この流出者は、配送先一覧ページを１億回以上閲覧しただけでなく、集合住宅の共同玄関の暗証番号まで把握できる「配送先一覧修正ページ」を約５万回、直近の購入履歴を示す「注文一覧ページ」も約１０万回閲覧していたという。これらの情報が広告や営業マーケティング目的で売買されることも問題だが、ボイスフィッシングなど犯罪集団に流れれば、取り返しのつかない被害につながりかねない。

外部からの侵入が７カ月にわたり続いていたにもかかわらず、クーパンのセキュリティシステムが無力だったことも、調査結果に含まれた。情報流出者は、在職中に偽造・変造しておいた「アクセス証」を使い、退職後も内部システムに自由に出入りしていた。サーバーにアクセスする認証情報の真偽を確認していれば、事故は防げた可能性が高い。より深刻なのは、アクセス証に基づく認証体制の脆弱性を、クーパン側もすでに把握していたことだ。模擬ハッキングなどでシステム上の弱点を認識していながら、是正策を講じてこなかったという。年間売上高４０兆ウォンを超える巨大テック企業の低いセキュリティ意識が、数千万の顧客被害につながった。

もっとも、政府の制裁には限界がある。情報通信網法に基づき、「侵害事故を認知してから２４時間以内に届け出る」義務を守らなかった場合に過料を科すことはできるが、上限は３０００万ウォンにすぎない。ただし、情報流出規模を最終的に確定して公表する個人情報保護委員会は、総売上高の３％まで課徴金を科すことができる。徹底かつ公正な調査が優先されるが、その結果に応じた厳正な責任追及にためらいがあってはならない。