ヘロルド・ロジャース クーパン暫定代表は17日、個人情報流出事件に関連して被疑者として指名された元職員について「退職当時にすべてのアクセス権限を回収したが、当該人物が情報を持ち出し、結局は韓国国民に被害が発生した」と明らかにした。
ロジャース代表はこの日、国会科学技術情報放送通信委員会の聴聞会に出席し「現在、警察と緊密に共助し身柄確保を進めており、相応の処罰が行われるよう最善を尽くしている」と述べた。続けて「事件を認知直後に署名キーを直ちに完全廃棄し、追加的な活動が不可能となるよう措置した」と付け加えた。
これに関して、ブレット・マティス クーパン最高情報セキュリティ責任者(CISO)は「当該職員は在職中に自身に付与されたキーを無断で奪取した」とし、「退職と同時にシステムアクセスはすべて遮断したが、すでに奪取したキーを利用してアクセス・トークンを生成した」と説明した。続けて「これにより自分が顧客であるかのように偽装し、個人情報にアクセスできたものだ」と付け加えた。
一方、クーパンIncは16日(現地時間)に「項目1.05. 重大なサイバーセキュリティ事故」を題名とする8-K報告書を米国証券取引委員会(SEC)に提出した。8-Kは企業に重大な変化が発生した際に投資家と利害関係者に迅速に知らせる開示である。
SEC規定によれば、重大なサイバーセキュリティ事故が発生した場合は4営業日以内に開示しなければならない。ロジャース代表は今回の事故を即時に報告しなかったことが規定違反だとの指摘に対し「米国の個人情報保護関連の法体系上、現在流出した情報の類型は申告義務の対象に該当しない」と釈明した。
続けて「米国法の基準では開示義務はなかったが、事案が継続的に注目を集めている点を考慮し、この日にSECへ関連内容を公式に開示した」と明らかにした。