個人情報保護委員会がクーパンの個人情報流出事故と無断の個人情報収集に対し、6200億ウォン超の課徴金を科した。これは個人情報委が韓国企業に科した課徴金のうち過去最大規模で、従来最高額であるSKテレコムの1348億ウォンの約4.6倍に達する。
個人情報委は11日、第11回全体会議でクーパンの個人情報流出および侵害事案に関し、課徴金6246億8100万ウォンと過料1680万ウォンを科すことを議決したと明らかにした。あわせて是正命令、公表命令、告発、改善勧告措置も決定した。
今回の事件は、クーパンが前年11月に個人情報流出の事実を把握し関係当局に申告したことで明らかになった。個人情報委によると、ハッカーはログイン過程に必要な代替認証体系を直接開発していたクーパンの元従業員で、前年4月から11月まで会員3322万2472人と非会員少なくとも433万8368人の個人情報を流出させたと調査された。
個人情報委は、クーパンが基本的な安全管理体制の管理をおろそかにしたため流出事故が発生したと判断した。調査の結果、クーパンは認証署名キーを更新または廃棄しないなど管理義務を怠り、ハッカーの異常なアクセスなどを認知できなかった。また、退会会員の住所や口座番号などを破棄せずに保管し、流出の事実も法定期限である72時間以内に通知しなかったことが判明した。
あわせて個人情報委は、調査過程でクーパンが証拠資料保全命令以後にウェブ接続ログの一部を手動で削除し、個人情報保護責任者(CPO)の調査対応を妨害した事実も確認したと明らかにした。
個人情報委は、個人情報流出を招いた行為に対して課徴金4235億7500万ウォンを科し、個人情報流出の通知および破棄義務に違反した行為に対して過料1680万ウォンを科すことを決定した。
個人情報委はまた、クーパンのウェブやアプリに接続した会員約1117万人の他社オンライン活動記録を無断収集し、利用者個人を識別可能な状態でデータベース(DB)に保存していた事実も確認した。収集された情報には、利用者のURLやアプリ名などの訪問記録、接続日時、接続IPなどが含まれた。
また、不正広告(ハイジャック広告)を掲載する広告パートナーを適切に管理・監督せず、利用者の意思に反してクーパンのサービス利用記録が収集されるようにした事実もあわせて追加で確認された。個人情報委はこのような違反行為についても課徴金2011億600万ウォンを科した。
個人情報委は再発防止のために安全措置を強化し、会員でない情報主体に対して流出事実を通知し、CPOの実質的役割を保障するよう是正命令した。あわせて退会会員の個人情報処理体制に関して改善を勧告し、3カ月以内の履行および措置結果を確認する予定だと明らかにした。
今回の制裁は、個人情報委が韓国企業に科した課徴金のうち過去最大規模である。業界では、3367万件に達する流出規模と事故対応をめぐる論争などを考慮すると重い処分は不可避と予想していた。
現行法上、個人情報流出事故には売上高の最大3%の範囲で課徴金を科すことができるが、クーパンの前年の売上(45兆5000億ウォン)を基準とした法定上限は1兆3650億ウォン水準である。ただし実際の賦課額は、違反の程度や被害規模、事故後の措置などを総合的に考慮して決定される。
一方、個人情報委は前日の会議でクーパンフルフィルメントサービス(CFS)の個人情報収集・利用および要配慮情報(センシティブ情報)処理制限違反を確認し、課徴金2億4800万ウォンを科した。CFSは先に、物流センターでの勤務歴がない警察庁出入り記者71人の名簿を収集して就業制限リストに登録・管理していたが、個人情報委はこれを個人情報の収集・利用に違反すると判断した。
また、CFSが「役職員の健康管理」を目的に保有・管理中の労働者の体重情報を、産業災害関連の訴訟過程で裁判所に提出したことも、要配慮情報の処理違反に当たると判断した。