韓国の電子商取引(EC)最大手であるクーパンの顧客情報流出事態が、消費者の集団訴訟の動きへと広がる様相だ。過去にも類似事例は数次あったが、情報流出件数に照らすと過去最大規模の損害賠償訴訟になる可能性が指摘される。個人情報保護委員会(個人情報保護委員会、略称・個保委)が科す過料も兆単位に達するとの見方が出ている。
1日、関連業界によると、クーパン内部では最近発生した顧客情報流出事態に関連する消費者集団訴訟などの団体行動をモニタリングしている。現時点ではオンラインを中心に集団訴訟の推進人員を募るカフェやチャットルームが立ち上がる段階だが、実際に訴訟に発展すれば法的対応は不可避であるためだ。
先月29日にクーパンの顧客情報流出の事実が明らかになり、主要ポータルサイトには集団訴訟を準備するカフェが相次いで開設された。このうちNAVERの「クーパン個人情報流出団体訴訟」という名称のカフェ加入者数はこの日午前8時時点で1万人を超えた。カカオトークにできたオープンチャットも数十個に上り、一部は定員3000人を満たした状態だ。
キム・ギョンホ法律事務所ホインの弁護士は前日、自身のソーシャルネットワーキングサービス(SNS)に「事態の本質はハッキングという不可抗力的災害ではなく、巨大な流出を半年近く感知できなかった企業(クーパン)に責任がある」とし「クーパンが被害者1人当たり10万ウォンずつ賠償するよう求める訴訟を24日にソウル中央地裁に提起する。1日で1650人(前日午後11時時点)が集まった」と述べた。
今後、クーパンに対する集団訴訟が現実化すれば、過去最大規模の賠償額を負担する可能性があるとの観測が出ている。過去の事例を踏まえると1人当たりの賠償額は10万ウォン程度と推定されるが、情報流出アカウントが3370万件に達するだけに、訴訟に参加する人数が多くなり得るためだ。
2016年にインターパークのハッキング事故が発生した当時は1030万人分の情報が流出して集団訴訟に発展し、4年後の2020年には訴訟に参加した2400人に対し1人当たり10万ウォンを賠償する判決が下りた。2014年のNH農協・KB国民・ロッテカード(1億4000万件)、2024年のモドゥツアー(306万人)情報流出事件でも、1人当たり10万ウォン(ロッテカードは7万ウォン)の賠償額が設定された。
もっとも、訴訟期間が長く、財産上の被害や企業の過失を立証するのが容易でないため、敗訴して賠償額を受け取れなかった事例も多い。2012年にKTで発生した870万人分の情報流出事件は、1審では1人当たり10万ウォンを賠償すべきとの判決が出たが、数年を経て大法院は賠償責任を認めなかった。2011年のネイト・サイワールド情報流出事故も2018年になってようやく大法院で賠償責任なしとの判決が確定した。
結局、訴訟の争点はクーパンの過失と顧客の被害(損害)の有無になる見通しだ。クーパンが個人情報保護に関するアクセス制御、アクセス権限管理、暗号化など安全措置義務に違反したのか、顧客の被害程度を精査する必要があるということだ。もし物質的(財産上)損害が発生していないのであれば、精神的損害を証明しなければならない。
チェ・ギョンジン嘉泉大学法学科教授は「人数が多く、すでに流出した情報があるだけに、訴訟だけで見れば途方もない規模になる」とし、「決済関連情報は含まれていないため、損害よりも過失が核心争点だとみる」と述べた。チェ教授はまた「状況からみて中国籍の社員が退職し、数カ月にわたり情報管理(アクセス制御)が適切に行われなかったというのは大きな問題だ」と述べた。
ただし、具体的な調査結果に基づく処分が出るまでは訴訟戦を見通しにくいとの指摘もある。韓国政府は前日から民間と合同調査団を稼働し、事故原因の分析に着手し、警察も関連捜査に入った。合同調査団はクーパンの1次(11月20日、4536件)申告以降、後続の調査過程で被害規模が急激に拡大したことから、決済情報、パスワードなどのセンシティブ情報に関する追加調査も実施することにした。
キム・スンジュ高麗大学情報保護大学院教授は「情報が正確にどのような手法で流出したのかが明らかになっていないため、まだ過去事例と比較しにくい」とし、「流出した情報や被害規模も調査すれば変わり得る」と述べた。チェ教授も「戦略的な側面でも、正確に誤りのあった部分が何かを確認するのが最優先だ」と述べた。
個保委がクーパンに史上最大水準の過料を科すとの観測も出ている。SKテレコムは今年、2324万人分の情報流出に伴う個人情報保護違反で過去最大の1348億ウォンの過料処分を受けた。2023年に改正された個人情報保護法により、全体売上高の3%まで過料を課すことができる算定基準が適用された結果だ。昨年の売上高が38兆ウォン以上のクーパンに当てはめると、過料は1兆ウォンを上回ることになる。