個人情報保護委員会はクーパンに対し、総額6247億ウォンの過料を科した。単一の個人情報漏洩事件に関連する制裁としては過去最大規模である。漏洩した個人情報は3750万人に達し、名前やメールアドレス、住所、電話番号、共同玄関のパスワード、注文履歴まで含まれている。さらに、法的根拠なしに1117万人のオンライン活動記録を収集していたことも発覚した。過料の額だけでも事案の深刻さが伺えるが、今回の事件の本質は数字以上に深いところにある。企業が顧客から受け取った個人情報を適切に守れなかったという点である。
デジタル経済時代において、個人情報は企業の最も重要な資産の一つである。しかし、より正確に言えば、個人情報は企業の資産ではなく、顧客の権利である。企業は顧客の情報を所有するのではなく、委託されて管理するものである。したがって、個人情報保護は単なる法的義務を超え、企業が顧客と結ぶ最も基本的な信頼契約であると言える。
今回の事件がさらに深刻な理由は、個人情報保護委員会が「高度なハッキングではなく、基本的な安全管理体制の不備と管理の怠慢」を原因として指摘したことである。最先端のハッキング技術による国家的な攻撃によって発生した事故ではなく、基本的な管理体制が適切に機能していなかったということである。認証署名キーの管理やアクセス制御、内部監視体制など、個人情報保護の最も基礎的な領域で問題が発生した場合、それは技術の問題ではなく、経営の問題である。
特に、個人情報保護責任者(CPO)が事故調査や意思決定過程から排除された点は軽視できない問題である。個人情報保護責任者は企業内部で個人情報保護を総括する最終責任者である。その役割が形式的に運営されていた場合、個人情報保護体制自体が正常に機能していなかったことを意味する。個人情報保護委員会がこれを単なる内部コミュニケーションの欠如ではなく、制度の形骸化と規定した理由もここにある。
さらに懸念される点は無断情報収集の問題である。クーパンは他社のウェブサイトやアプリでの利用者活動記録を収集し、個人を特定できる形でデータベースに保存していたことが調査で明らかになった。プラットフォーム企業がデータを通じてサービスを高度化することは世界的な流れである。しかし、データの活用は利用者の同意と法的根拠という原則の上でのみ可能である。便利さと革新という名の下で個人の権利を侵害する瞬間、プラットフォームの競争力は革新ではなく、独占的な情報収集能力から生じることになる。
今回の事件はクーパンだけの問題ではない。多くのプラットフォーム企業やオンラインサービス企業が共に振り返るべき警告である。顧客情報が多ければ多いほど、企業の責任も大きくなる。企業規模が大きくなるほど、個人情報保護はコストではなく、経営の核心的価値でなければならない。数千万人の個人情報を保有する企業であれば、セキュリティ投資と内部統制、個人情報保護組織の独立性を最優先課題としなければならない。
過料6247億ウォンは決して少ない金額ではない。しかし、金銭で終わる問題ではない。個人情報漏洩の被害は過料の支払いで回復されるものではない。漏洩した情報は取り戻せず、被害は長期間続く可能性がある。顧客が企業に預けた情報は企業の商品ではなく、信頼の証であることを忘れてはならない。
クーパンは今回の事件を単なる法的制裁として受け止めてはならない。徹底的な原因究明と責任ある謝罪、実質的な再発防止策が続かなければならない。政府もまた、個人情報保護制度の実効性を高め、企業の責任を強化する方策を継続的に補完していく必要がある。
デジタル経済の競争力はデータの量ではなく、信頼のレベルで決まる。顧客の個人情報を守れない企業は、結局顧客の信頼も守れない。今回のクーパン事件が私たちの社会に残した最も重い教訓である。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
