クーパン CEO、12時間の警察聴取で浮き彫りになった「証拠隠滅」の深層

クーパン暫定CEOが12時間の警察聴取を受けた背景には、3,000件と発表された情報漏洩が実際は3,300万件だった可能性が。企業の危機対応の在り方を問う事件の真相に迫る。

3,000件と3,300万件。この数字の違いが、韓国最大手EC企業クーパンの暫定CEOハロルド・ロジャース氏を12時間の警察聴取に追い込んだ。

発覚した「二つの調査」

1月30日深夜、ソウル地方警察庁から姿を現したロジャース氏は、記者団の質問に一切答えることなく立ち去った。彼が直面しているのは、大規模データ漏洩事件における証拠隠滅疑惑だ。

事の発端は昨年発生したサイバー攻撃。クーパンは当初、影響を受けたアカウントは3,000件と発表していた。しかし警察の調査では、実際の被害規模は3,300万件に上る可能性が浮上している。

問題の核心は、ハッキングに使用されたとされるノートパソコンの扱いにある。同社は中国で元従業員からこの端末を回収し、警察に提出した。ところが、提出前に独自のフォレンジック分析を実施していたことを当局に報告していなかった。

警察が特に注目しているのは、なぜクーパンが容疑者との接触や証拠の取り扱いについて事前開示しなかったのかという点だ。企業が自社の利益を守るために行う内部調査と、司法当局による客観的な捜査の間には、しばしば利益相反が生じる。

ロジャース氏は国会での証言で、内部調査は国家情報院（NIS）の指示で行ったと主張していた。しかしNIS側はこれを否定しており、偽証疑惑も浮上している。

興味深いのは、ロジャース氏が国会聴取の翌日に韓国を出国し、警察の呼び出しを2度無視していた点だ。今回の聴取後も再び出国する可能性があるとの観測が出ている。

韓国で起きているこの事件は、日本のテクノロジー企業にとっても他人事ではない。ソニーや楽天など、大量の個人情報を扱う企業が同様の事態に直面した場合、どのような対応が求められるのか。

日本では個人情報保護委員会が企業の報告義務を定めているが、今回のような「二重調査」問題は十分に想定されていない可能性がある。企業の自衛権と当局への協力義務のバランスをどう取るか、新たな議論が必要かもしれない。