個人情報保護委員会(個人情報委)がクーパンに過去最大の6246億8100万円の過料を科したのは、単なるハッキング事件ではなく、企業の基本的な個人情報保護義務を全般的に怠った結果であると判断したためである。個人情報の漏洩だけでなく、法的根拠のない個人情報収集、調査妨害、個人情報の廃棄義務違反など複数の違反事項が確認され、従来の最大であったSKテレコムの制裁規模を超える処分が下された。
宋京姫個人情報委員長は11日、政府ソウル庁舎で行ったブリーフィングで「今回の事故は高度なハッキングではなく、認証署名キーの管理やアクセス制御など基本的な安全管理体制が不十分で発生した事故である」と述べ、「国内外の企業に関わらず、法と原則に従って責任に相応しい処分を下した」と明らかにした。
今回の処分は、前日に行われた個人情報委全体会議で13時間以上の審議を経て確定した。午前10時に始まった会議は午後11時30分頃に終了し、クーパン側が出席して意見を述べ、委員との質疑応答が行われる中で長時間の議論が展開された。
事件は昨年11月20日、クーパンがハッカーからの脅迫メールを受けた顧客の苦情をきっかけに個人情報漏洩の事実を報告したことから始まった。個人情報委は翌日、直ちに調査に着手し、国民多数が利用する生活インフラプラットフォームであることを考慮し、韓国インターネット振興院(KISA)と合同タスクフォース(TF)を組織して集中調査に乗り出した。
その後、クーパンは自社調査の過程で、最初の報告よりもはるかに大規模な漏洩を確認し、11月29日に2回目の報告を行った。今年2月には約16万5000件の会員アカウントの追加漏洩を確認し、3回目の報告を行った。
調査の結果、ハッカーは昨年末に退職したクーパンの元社員であり、在職中に直接開発した代替認証システムの署名キーを利用して、今年4月から11月まで会員情報の修正、配送先管理、注文リストページなどに繰り返しアクセスし、個人情報を抜き取ったことが確認された。漏洩規模は会員3322万人と会員でない配送先情報主体最少433万人を合わせて約3755万人に達した。
個人情報委は特にクーパンの安全措置義務違反を重大な問題と判断した。認証署名キーを平文で閲覧できるように管理し、該当キーにアクセス可能だった社員が退職した後もキーを即座に廃棄または交換しなかった。また、攻撃期間中に1億4800万回に達する異常接続と急激なトラフィック増加が発生したにもかかわらず、これを検知できず、異常兆候に対する追加分析も行われなかった。個人情報委は「攻撃事実さえ認識できなかったことは、アクセス制御が適切に機能していなかったことを意味する」と説明した。
漏洩後の対応も不十分であったと判断された。クーパンは追加漏洩の事実を認識しながら、法定期限である72時間内に通知せず、会員でない配送先情報主体については個人情報委の数回の要求にも漏洩事実を知らせなかった。退会会員の個人情報を内部規定に反して保管し、一部が実際に漏洩したほか、調査過程では資料保全命令後にウェブ接続ログを削除したり、自動削除ポリシーを維持して事故原因の究明を困難にした点も発覚した。個人情報委は調査妨害の疑いについては告発措置を取ることにした。
この他、個人情報委はクーパンが「クーパンパートナーズ」を運営し、利用者約1117万人の他社ウェブサイト・アプリ訪問記録を同意なしに収集し、会員番号と共に保存していた事実も確認した。個人情報委は、カスタマイズ広告のために個人のオンライン活動記録を収集しながら法的根拠を持たず、広告パートナーのいわゆる「誘拐広告」も適切に管理していなかったとして、関連違反に対して2011億600万円の過料を追加で科した。
クーパンは個人情報委の決定に対して遺憾の意を表明した。会社は「データ漏洩事態に関する二次被害防止のための先制的措置と明確な事実関係に基づく説明が個人情報委の決定に十分反映されていなかった」とし、「公式議決書を受け取った後、法的手続きを通じて事実関係が明確にされることを期待する」と述べた。また、クーパンパートナーズもグローバル企業と同様の提携モデルに基づき適法に運営されているとの立場を示した。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
