同社によると、流出したのは利用者の名前や電話番号、住所、注文履歴の一部。決済情報やログイン認証情報は含まれていないという。会員3370万人分の個人情報で、これまでに韓国で発生した情報流出の中でも最大級とされる。流出はことし6月に始まっていたとみられるが、同社が被害を把握したのは先月18日だった。同社のパク・デジュン代表は先月30日、「被害を受けたお客さまと国民の皆さまに深くおわびする」と謝罪し、再発防止と原因究明に全力を尽くすとした。
韓国メディアは今回の流出について、ハッキングによるものではなく、中国籍の元社員による犯行の可能性が高いと伝えている。警察は既に容疑者が使用したIPを確保しており、容疑者を特定するための捜査を進めている。だが、通信社の聯合ニュースは「元社員は退社後に海外に出国したとみられ、捜査が難航する恐れがある」と指摘した。
クーパンは2010年に設立。韓国最大級のECプラットフォームを展開しており、独自の物流ネットワークや迅速な配送サービスが強みだ。特に、「ロケット配送」と呼ばれる翌日配送サービスが利用者に好評だ。今年第3四半期のアクティブユーザーは2470万人に上る。
韓国のほぼ全ての家庭が利用しているとも言われているクーパンで起きた史上最大級の個人情報流出事故に、韓国紙の朝鮮日報は「クーパンの迅速な配送は革新的だが、会員の個人情報保護は全くずさんだったのだ」と指摘した。
韓国紙の中央日報は「国家認証制度であるISMS-P(情報保護と個人情報保護管理体系認証)の改善が必要だとの声が出ている」と伝えた。ISMS-Pは2018年に韓国科学技術情報通信部(部は省に相当、科技部)と韓国放送通信委員会、行政安全部が、科技部の情報セキュリティマネジメントシステム(ISMS)と個人情報保護委員会の個人情報マネジメントシステム(PIMS)を統合して創設した認証システム。ISMS-Pには情報セキュリティに関連する80の管理項目と個人情報保護に関連する22の管理項目がある。
クーパンは2021年3月にISMS-Pの認証を受けた。だが、中央日報によると、認証後も同社で個人情報流出が続き、今回の大規模流出を含め認証以降、4件発生しているという。クーパンのほか、2020年からことし11月まで27のISMS-P認証企業で34件の流出事故が起きており、制度の形骸化が指摘されている。同紙は「国家情報保護認証は役立たず」との見出しでこれを伝えた。スンチョンヒャン(順天郷)大学情報保護学科のヨム・フンニョル名誉教授は同紙の取材に、「ISME-Pなどのような認証がなければハッキングがさらに頻繁に発生するだろう」と制度の有効性を強調した一方、「現在は認証獲得後に企業が更新有効期間3年を迎えるまで毎年自律的に事後点検するが、きちんと行っているか政府が確認する方法はない」と制度の問題点を指摘。「政府が直接規制したり、点検基準を強化したりする補完策を考える必要がある」とした。
韓国紙の東亜日報は1日付の社説で、「流出規模と情報の性質を踏まえれば、『史上最悪の個人情報流出』と言っても過言ではない」と指摘。同社内部の情報保護システムの形骸化などを批判した上で、「現在判明している情報だけでも、深刻な二次被害が懸念される」とし、「クーパンは『なりすまし電話やメッセージに注意を』と告知するだけで手をこまねいている場合ではない。二次被害を防ぐため、より積極的かつ責任ある姿勢で臨むべきだ」と訴えた。
韓国政府は官民合同の調査チームを立ち上げ、実態解明と再発防止策の構築に着手した。ペ・ギョンフン副首相兼科学技術情報通信部長官は先月30日、政府ソウル庁舎で開いた緊急関係省庁長官会議で「今回の事故を悪用した二次被害が発生しないよう、今日から3か月間、モニタリングを強化する」と述べた。
Copyright(C) wowneta.jp
