クーパンのデータ流出が米韓通商紛争に発展、投資家が国際仲裁申請

3400万人の個人情報流出から始まったクーパンの問題が、今や米韓関係を揺るがす通商紛争へと発展している。韓国の「Amazon」と呼ばれるクーパンだが、実は本社は米シアトルにある。この事実が、単なるデータ漏洩事件を地政学的な火種に変えた。

事件の経緯：なぜここまで大きくなったのか

昨年12月、クーパンは5ヶ月以上にわたって続いていたデータ流出を公表した。流出した情報には顧客の氏名、メールアドレス、電話番号、配送先住所、注文履歴の一部が含まれていた。問題は、韓国政府の対応の厳しさだった。

他の韓国企業のデータ流出事件と比較してみよう。カカオペイは540億件の顧客記録をAlipay Singaporeに転送したが、罰金は1000万ドル程度でCEOへの警告にとどまった。SKテレコムも大規模なSIMカード流出で9100万ドルの罰金を受けたが、事業停止命令は出されていない。

一方、クーパンに対しては売上高の3%（8億ドル超）という巨額罰金の可能性に加え、事業停止や幹部の出国禁止まで検討されている。この格差に、米投資家たちが「差別的扱い」として反発した。

投資家の反撃：米韓FTAを武器に

1月23日、米投資会社グリーンオークスとアルティメーターが韓国法務部に通知書を提出。米韓FTAの投資家・国家間紛争解決（ISDS）制度による国際仲裁を予告した。その後、エイブラムス・キャピタル、デュラブル・キャピタル・パートナーズ、フォックスヘイブン・アセット・マネジメントも参加し、現在5社が韓国政府を相手取った仲裁を準備している。

投資家側の主張は明確だ。「韓国政府による米企業への前例のない攻撃は、韓国・中国の競合他社を利するためのもの」として、FTA違反と国際法違反を訴えている。さらに「韓国政府が攻撃を即座に停止し、クーパンの事業運営能力を完全に回復させなければ、数十億ドルの損害賠償を求める」と警告している。

日本企業への示唆：データガバナンスの新時代

この事件は日本企業にとって重要な教訓を含んでいる。まず、データ流出対応における政府との関係性だ。ソニーや任天堂など海外展開する日本企業も、現地政府の規制対応では同様のリスクに直面する可能性がある。

特に注目すべきは、企業の「国籍」が規制の厳しさを左右する可能性だ。クーパンは韓国で事業を展開しながら米国企業として扱われ、それが政府の厳格な対応を招いた可能性がある。日本企業も海外子会社の法的地位や、現地政府との関係構築において、より戦略的なアプローチが必要になるだろう。

さらに、ISDS制度の活用も検討課題だ。日本も多くの国とEPA（経済連携協定）を結んでおり、不当な規制に直面した際の法的手段として重要性が増している。

韓国政府の苦しい立場

韓国政府側の事情も複雑だ。データ流出の実行犯はクーパンの元従業員で中国籍だったことが判明している。この人物は認証システムの脆弱性を知る立場にあり、3300万件のアカウントにアクセスしたが、実際に保持したのは約3000件だったとされる。

韓国の個人情報保護委員会（PIPC）は、クーパンが流出を24時間以内に報告しなかったことや、2025年11月のデータ保全命令を完全に履行せず、重要なウェブ・アプリアクセスログを削除したと主張している。

一方で、韓国政府は国内政治的な圧力も受けている。李在明大統領は公然と重い処罰を求め、与党議員は罰金上限を売上高の10%に引き上げ、クーパンに遡及適用する特別法まで提案している。