クーパンで大規模な個人情報流出事故が発生し、「懲罰的損害賠償」を巡る議論が再燃している。最近のハッキング事故で政府調査を受けているKT、LG U+にまで議論が拡大する可能性があるとの見方も出ている。
2日、裵慶勲(ペ・ギョンフン)副首相兼科学技術情報通信部長官は相次ぐハッキング事故に関連し「国民に直接的な被害を与え、金融不安を招く事件は懲罰的損害賠償を通じて繰り返さないようにすべきだ」と明らかにした。業界では、この発言がクーパンだけでなく通信会社のハッキング事件にも適用され得る「シグナル」だという解釈を示している。
現行の個人情報保護法は、個人情報取扱事業者が故意または重大な過失により個人情報を流出させ被害が発生した場合、損害額の最大5倍まで賠償させる懲罰的損害賠償制度を設けている。ただし2015年の制度導入以降、実際に裁判所が懲罰的賠償を認めた事例は一件もない。法条に「個人情報取扱事業者が故意または重過失がないことを証明した場合には適用しない」という但し書きが付いており、企業が一定水準の管理・保護措置を立証すれば責任範囲が大きく縮小される構造だからである。4000万人分の個人情報が中国のアリペイに移転されたとの疑惑を受けたカカオペイも、課徴金59億ウォンの賦課にとどまった経緯がある。
KTのハッキング事故をめぐっては、こうした但し書きの「盾」を超え、懲罰的賠償の要件が満たされ得るとの指摘が出ている。KTは同一のベンダー認証キーを約19万台のフェムトセル(超小型基地局)に共通で使用し、機器の紛失有無すら適切に管理していなかったことが明らかになり、論争を自ら招いた。さらにハッキング関連サーバーを故意に廃棄したのではないかとの疑惑まで提起され、「単純な過失を超えた重大な管理不行き届きに当たる」という評価が少なくない。法曹界の一部では「この程度なら故意または重過失が認められる可能性を排除しにくい」という反応も出ている。
LG U+も今後の調査結果によっては、懲罰的賠償責任を巡る議論の俎上に載る可能性があるとの見方が出ている。現時点ではハッキングの経緯と事故後の対応過程について政府調査が進行中だが、その後の調査で故意に近いセキュリティ不備や証拠の毀滅・隠蔽の状況などが明らかになれば、波紋はKTに劣らず大きくなるとの見通しが出ている。
通信会社は金融・公共サービスと直接つながる基盤インフラを担うだけに、クーパン事態に劣らず社会的な非難世論が激しくなる可能性が大きい。懲罰的損害賠償だけでなく、課徴金の「懲罰性」を一段と強化すべきだという主張にも勢いがついている。
先にSKテレコムはハッキング事故に関連し、売上の1%水準である1347億ウォンの課徴金を科された。しかし相次ぐ大型事故にも同程度の制裁ばかりが繰り返される場合、予防効果は大きくないとの指摘が出ている。一方、KTとLG U+はまだ課徴金処分が下されていない状況で、通信3社のうち残る2社については法が許容する最大値まで検討すべきだという声が業界内外で急速に広がっている。
一部では、課徴金の引き上げと懲罰的損害賠償が同時に取り沙汰される中で、今後通信・プラットフォーム企業のセキュリティ投資とリスク管理の在り方が根本的に変わらざるを得ないとの見通しも出ている。課徴金が個人情報流出事故発生時に支払う単純なコストではなく、会社の存立を脅かす水準にまで膨らみ得るとの認識が広がれば、これまで先送りしてきた老朽システムの更新や人員拡充などが前倒しされる可能性があるということだ。ただし業界では、過度な懲罰で企業活動が萎縮するとの懸念も出ている。
IT業界の関係者は「同一のハッキング手口で被害を受けたとしても、情報保護への投資を誠実に行ってきた企業とそうでない企業をどのように区分するかについて、精緻な基準を整える必要がある」と述べ、「明確な基準なしに過度な懲罰だけがあれば副作用が大きい」と語った。