韓国で約3300万人の個人情報流出事態を起こしたクーパンが、米国通商代表部(USTR)に「サーバーやインフラを各国家に義務的に設置・運用させる現地化規定を回避すべきだ」という意見を伝えたことが確認された。個人情報などが保存されたデータとサーバーをどこに置くかを企業が自由に決められるようにしてほしいという趣旨である。
一部では個人情報流出事故を経験したクーパンが自律性を求める前に、保護・補償の体制を整えるべきだと指摘する。
23日ChosunBizの取材を総合すると、クーパンは2022年4月、インド太平洋経済枠組み(IPEF)の発足を前に、USTRに対し国境を越えるデータの自由な移転を保障し、サーバー・インフラの現地化義務を除外してほしいという意見書を提出した。
IPEFは米国バイデン政権の主導でつくられたインド太平洋地域の経済安保プラットフォームかつ国際機関である。韓国と米国、日本、オーストラリアなど14カ国が参加している。
中国やロシア、ベトナムなどは企業に現地でデータを保存するよう求める規定を施行している。韓国をはじめ欧州連合(EU)や日本などはサーバー現地化を明示的に義務化してはいない。ただし個人情報の国外移転について厳格な同意・保護措置・責任要件を設けている。個人情報と取引データが重要な資産であり、事故発生時に政府が迅速に調査・監督に関与できるためである。自国でのサーバー保管が一般化している理由だ。
グーグル、マイクロソフトなどのテック企業はサーバーの所在地を強制するよりも企業が管理すべきだと主張している。クーパンも同様にUSTRに対し、サーバーとその他インフラに対する国別の現地化要求を回避し、企業が自律的に運用できるようにすべきだという意見を提出した。
サーバーなどを各国に義務的に設置・運用すると費用がかさみ、障害や規制対応の体制が国ごとに異なるため管理が難しい。
特にアルゴリズムに基づく商品推薦や物流最適化など大規模データをリアルタイムで活用するサービスは、国別のデータ分散により運用効率が低下しうる。このためクーパンは、サーバー・インフラの国別現地化義務がサービスの運用と拡張に制約となり得る点をUSTRに伝えた。
問題は個人情報などサーバー管理に対する信頼である。クーパンで最近、韓国で3300万件を超える個人情報流出事故が発生し、その前提であるセキュリティ能力と責任の履行が十分だったのかについて指摘が出ている。
あるITセキュリティ専門家は「クーパンが強力なセキュリティログイン手段である『パスキー』もサービス運用国に一貫して適用していないのに、サーバー管理の自律性だけを要求してはならない」と述べ、「高水準のセキュリティと事故対応、調査協力体制を構築した後にサーバー現地化の緩和を求めても遅くはないだろう」と語った。
現在クーパン顧客の個人情報は韓国で保管されている。ヘロルド・ロジャースクーパン代表は17日、国会科学技術情報放送通信委員会の聴聞会で「現在、個人情報と規定される情報はAWS(アマゾンウェブサービス)韓国リージョン(地域データセンター)に保存され、バックアップデータはシンガポールリージョンに保存されていると理解している」と答えた。
チェ・ギョンジン嘉泉大学法学科教授(韓国人工知能法学会長)は「サーバー現地化を緩めるかどうかより重要なのは、利用者を保護しようとする意思と実践が核心だ」と述べ、「(クーパンが)サービスが中断した際に復旧できる体制を整えているのか、可用性と安定性、保全性を一定水準以上で維持するという約束と信頼をまず示すべきだ」と語った。