国内の個別小売事業者として初めて年商40兆ウォンを超えたクーパンの個人情報流出事件をめぐり、クーパンが事業拡大にばかり気を取られ内部統制に失敗したとの批判が出ている。消費者情報の流出規模が過去最大級に大きいためだ。
1日、関連業界によると、クーパンの消費者アカウント3370万件の情報が流出した。これはクーパンが3四半期の業績発表の際に示した購入履歴のある消費者(プロダクトコマース部門のアクティブ顧客)規模2470万人より多い数値である。事実上、クーパンを利用した消費者全体の情報が流出したとみることができる。これは個人情報保護委員会から過去最大の課徴金(1348億ウォン)の処分を受けたSKテレコムを上回る規模だ。SKテレコムは今年、加入者2324万人の個人情報が流出した経緯がある。
◇ テックで武装した流通の巨人クーパン、個人情報流出事故は繰り返す
問題は、クーパンがこの事実を5カ月もの間把握していなかった点である。個人情報流出が起きた時点は6月24日と確認された。この日から事故を確認した11月18日まで約5カ月間、情報流出の事実を認知できていなかった。
これは超格差を志向する「テクノロジー企業」というこれまでのクーパンのスローガンと相反する事態である。クーパン創業者のキム・ボムソク議長は「クーパンはテックカンパニーだ」と強調してきた。ところが、テック企業の基本の一つであるデータセキュリティの問題で大きな欠陥が生じた。
流通業界の関係者は「クーパンが人工知能(AI)による物流配車、機械学習に基づく需要予測といった革新技術で武装した会社だと自ら宣伝してきたのが見かけ倒しではなかったか、振り返るべきだ」と述べた。
社内のセキュリティポリシーを検証すべきだというシグナルも複数あった。先に2020年8月から2021年11月まで、クーパンイーツの配達員13万5000人の個人情報が外部に流出した事件があったためだ。2023年12月には販売者専用システム「ウィング」で個人情報流出事件があった。注文者と受取人の個人情報が他の販売者に露出した。
セキュリティ業界の関係者は「通常、問題が生じれば全社的にセキュリティの内部システムを再定義し統制していくが、今回の事件にまで至ったことを見ると、その動きが不十分だったようだ」と述べた。
◇ 外部ハッカーではなく内部の犯行、組織文化が問題の可能性
外部の犯行ではないという点から、クーパンの組織文化に起因する失敗だとみる向きもある。クーパンの組織文化が過度に競争的だということだ。一個人の逸脱と片付けることもできるが、今回の事件を機に組織内部の管理体制と文化がどのように脆弱性を生み出したのかを検証すべきだという文脈で出ている指摘である。
今回の消費者情報流出事件は外部ハッカーの犯行ではなく、クーパンを退社した社員の行為とされている。この社員はクーパンで認証担当の業務をしており、当時取得したデータアクセスの鍵(トークン)を活用して個人情報を抜き取ったと把握されている。
流通業界では、クーパンの強度の高い成果主義的な文化が内部統制の死角を生んだ可能性を指摘する。迅速な実行と成果を重視する雰囲気のなかで、セキュリティ体制の点検や権限管理の手続きが後回しにされたということだ。退職者のアクセス権限回収や機微データのアクセス記録のモニタリング、トークン・APIキー管理の強化など、基本的なセキュリティガバナンスがクーパンに根付いていなかった理由である。
セキュリティ業界の関係者は「セキュリティは成果を数字で証明できる業域ではない。事故が起きる前に未然に防ぐ役割だからだ」とし、「一方でショッピングアルゴリズムの開発や広告分野は違う。労働者ならどの業域の仕事をしたいと思うだろうか」と述べた。
労働者にとってクーパンとはどのような会社なのかという問題も改めて定義し直すべきだという指摘もある。ある元クーパン幹部は「数字で立証可能な成果を強調するあまり、組織がシステムで個人を締め上げる文化が発達した。同時に、職場へのロイヤルティや共同体意識は野暮だと片付ける文化を持っている」と述べた。
同人物は続けて「クーパンの労働者がクーパンを考えるとき、短期間で自分の市場価値を高める職場とみなされる場合が多い」とし、「結果的に組織文化と内部統制システム全般が総体的に揺らいでいたとの批判を受け得る」と述べた。