クーパン情報漏洩「3000件」が「3360万件」に—企業の初期対応が問われる時代

3000件から3360万件へ。韓国の大手ECサイトクーパンで発生したデータ漏洩事件の規模が、当初発表の1万倍以上に膨れ上がった。

「過小報告」が招いた信頼失墜

韓国科学技術情報通信部は2月10日、クーパンの韓国法人で発生したデータ漏洩事件について、3360万件のアカウント情報が流出したと発表した。同社は昨年11月の事件発覚当初、影響を受けたのは「約3000件」と説明していた。

流出した情報には、利用者の氏名、電話番号、メールアドレス、配送先住所、さらには共同住宅の出入口パスワードまで含まれていた。韓国の人口が約5100万人であることを考えると、国民の3分の2近くが影響を受けた計算になる。

政府の調査チームは25.6テラバイトのウェブアクセスログを分析し、攻撃者がクーパンのサイトを約1億4800万回閲覧していたことを確認した。「これは管理の問題であり、高度な攻撃ではなかった」と、サイバーセキュリティ局のチェ・ウヒョク局長は説明している。

法的義務違反と証拠隠滅疑惑

クーパンの対応には複数の問題が指摘されている。同社は11月17日午後4時に漏洩を認識したにも関わらず、当局への報告は11月19日午後9時35分まで遅れた。韓国の法律では24時間以内の報告が義務付けられており、この遅延により最大3000万ウォン（約205万円）の罰金が科される予定だ。

さらに深刻なのは、証拠保全の問題だ。政府の要請にも関わらず、2024年の5か月間のウェブアクセス記録と、2025年5月末から6月初旬のアプリケーションアクセス記録が「見つからない」状態となっている。

企業側の反論と現実のギャップ

一方、クーパン側は「1億4800万回の閲覧は情報の窃取を意味しない」と反論している。同社関係者は「攻撃者がクーパンのウェブサイトを閲覧しただけで、3370万件のアカウントに関連する個人情報を収集しようとしただけ」と説明し、海外のクラウドサーバーを通じたデータ送信の証拠は見つかっていないと主張している。

日本企業への教訓

今回の事件は、日本企業にとっても重要な示唆を含んでいる。楽天やアマゾンジャパンなどの大手ECサイトを持つ日本市場では、同様の事件が発生した場合の社会的影響は計り知れない。

特に注目すべきは、企業の初期対応の重要性だ。クーパンのように過小報告を行えば、後の信頼回復はより困難になる。日本の個人情報保護委員会も、2022年の改正個人情報保護法施行以降、企業の報告義務を強化している。