クーパンは個人情報流出事故の発生後、顧客に対して被害事実を告知し、経営陣名義の謝罪文を掲載する間も「流出」という単語に言及しなかった。代わりに「無断アクセス」「露出」「非認可アクセス」などの表現を使っている。専門家の間では、クーパンが意図的に流出という単語を避け、内部統制に関する法的責任を最小化しているとの分析が出ている。
2日の関連業界によれば、クーパンは最近発生した個人情報流出事故以降、対外的に流出という単語に一度も言及していない。クーパンは先月30日、パク・デジュン代表名義で約600字の謝罪文を発表した際にも「無断アクセス」が発生したと説明した。被害事実の告知や立場文にも流出という単語は登場しない。
先立ってクーパンは18日に4500人の顧客情報流出を初めて認知し、20日に関連事実を告知しながら「非認可アクセス」という単語を使用した。その後の追跡調査の過程で3370万人の情報が漏れたことが知られ、29日と30日の追加告知では「無断露出」されたことが確認されたと明らかにした。
一見すると似た用語のように見える。だが法的意味と効果は異なるというのが法曹界の説明である。どの単語を使うかによって、事故が管理不備で統制権が完全に壊れた流出なのか、あるいは統制権は維持された状態で偶発的に公開された露出なのか判断が変わるためである。
個人情報保護委員会の規定と情報通信網法などによれば、「個人情報流出(または漏出)」は、個人情報が情報取扱者の管理・統制権を離れ第三者が認知できる状態を指す。これに対し「露出」は統制権喪失の有無と無関係に、別途のハッキングや攻撃なしにデータが公開された状態をより包括的に意味する。
チェ・ギョンジン嘉泉大学法学科教授は「外部では流出と見ているが、クーパンでは自らが統制した状態で発生した事故、すなわち露出と認識している」とし、「流出と露出を二分法的に分けるのは複雑だが、あえて言えば露出は偶発的な事故に近い」と述べた。
例えばホームページ開発の途中に担当者のミスで個人情報が大衆に一時的に公開される場合が露出に該当する。メール送信の過程で全受信者リストの非表示設定を失念し、不特定多数の名前とメールアドレスが公開されるのも露出とみなせる。
今後の調査結果を見守る必要があるが、外部侵入などのハッキングよりも内部者の犯行である可能性に重きが置かれている。クーパンで働いていた中国籍の元社員が退職後、数カ月にわたり情報を持ち出していた状況が明らかになる一方で、会社側が技術的・管理的措置など統制が不十分だった点については言及を控えている格好だ。
一部では、クーパンが情報が露出した事実は確認したものの、その後に外部へ流出したのかなど被害状況を具体的に把握できていなかったと解釈する向きもあった。ク・テオン法務法人リン弁護士は「内部者が情報にアクセスはしたが外部に流出したか不明確な状況であれば、利用者の不安を増幅させる可能性があり、『流出』と断定するのはかえって事実でない場合がある」と述べた。
ク弁護士は「家に外部人が入り書類を閲覧したが、外部に複写して持ち出したか不明確な状況に例えられる」とし、「サーバーに接続して情報閲覧の命令を出したものの、閲覧された情報がファイルの形で外部に送信されたか把握できない場合であれば、現段階で取り得る立場だ」と付け加えた。
パク・デジュン・クーパン代表はこの日午前、ソウル汝矣島の国会で開かれた科学技術情報放送通信委員会の全体会議の懸案質疑で、事故以後に「流出」ではなく「露出」という表現を使ったとの指摘に対し「いかなる責任を免れようとする意味ではなかった」とし「考えが足りなかったようだ」と述べた。