韓国ネット通販最大手クーパンで3370万人の名前、電子メール、注所などの個人情報が流出した。韓国の成人の4人に3人の割合で、クーパンの個人情報保護不備により事実上韓国の全国民の名前と住所の情報が流出した超大型事故だ。クーパン社員が情報を持ち出した可能性が大きいが、クーパンはこれを5カ月間にわたり認知できていなかった。この社員が退職後、消費者に脅迫性電子メールを送ったことでクーパンは情報流出の事実を知ったことが確認された。

裵慶勳（ぺ・ギョンフン）副首相兼科学技術情報通信部長官は先月30日に緊急関係閣僚会議を主宰し、「クーパンに対する現場調査の結果、攻撃者がクーパンのサーバーの認証脆弱性を悪用し正常にログインせず3000万件を超える顧客アカウントの名前、電子メール、配送先、電話番号を持ち出したものと確認した」と話した。科学技術情報通信部はこの日、官民合同調査団を構成し、先月20日にクーパンが4536件の個人情報流出を申告してから個人情報保護委員会も流出規模と経緯などについて調査中だ。

合同調査団によると、6月24日から最近まで海外サーバーでクーパンの顧客情報約3370万件に対する異常なアクセスが発生した。クーパンは「（個人情報非認可アクセスを確認後）第三者が使ったアクセスルートを遮断した」と公示したが、流出情報を悪用した2次、3次被害が懸念される状況だ。

クーパンは先月25日、独自の調査を基に「中国籍の社員がクーパンの海外サーバーを通じて韓国のメインサーバーに無断アクセスして顧客情報を持ち出した」と警察に通報した。10月に退社したこの社員は先月初めに一部クーパン顧客に最近の注文リストや電話番号などクーパンのアカウント情報を撮影した写真ファイルを添付して「あなたの個人情報を知っている」という内容の脅迫性電子メールを送り付け、この消費者の抗議を受けクーパンが独自に調査を始めたことが確認された。顧客が通報するまでクーパンは流出の事実を全く認知できていなかった。

今回のクーパンの個人情報流出規模は個人情報保護法違反事例のうち過去最大規模の課徴金処分を受けたSKテレコムの2324万人の情報流出よりも大きい。ハッキングではなく内部社員が情報流出を試み、クーパンはその事実を5カ月間気付かずにいた点で外部ハッキング事例よりも深刻だとの指摘が出る。クーパンのパク・デジュン代表はこの日、関係閣僚会議に出席し中国人社員による流出疑惑に対し「捜査と関連した部分で申し上げることはできない」と話した。警察はクーパンからサーバー記録など関連資料を任意提出の形で確保し分析している。

クーパンによると、事務職社員は約1万人で顧客の個人情報は情報技術（IT）・電算担当のうち権限が与えられた少数の社員だけがアクセスできる。これまでクーパンは最高情報保護責任者（CISO）と最高個人情報保護責任者（CPO）を分離運営するなど情報保護水準を強化したと説明してきたが、そのクーパンの壁をサーバー認証の弱点をよく知る内部社員に突破された。

「あなたの個人情報知っている」…韓国ネット通販大手クーパンの中国人元社員、顧客に脅迫メール（2）