クーパンが運営するオンライン動画サービス(OTT)「クーパンプレイ」の独占チケット予約サービスを消費者が利用する過程で生成される個人情報を、クーパンが直接管理または点検・確認できない構造で運用していることが17日に確認された。
歌手ジー・ドラゴン(GD)のコンサートやソン・フンミンサッカー選手の来韓試合など主要な公演・スポーツイベントのチケットを購入するには、クーパンのアカウント(ID)を作成し有料メンバーシップ「WOW会員」に加入する必要がある。ところがこの過程で登録・処理される個人情報について、クーパン側は「外部協力会社が処理しており確認できない」という立場だ。個人情報管理責任の空白が生じたのではないかとの指摘が出ている。
国会科学技術情報放送通信委員会所属の国民の力のイ・サンフィ議員室がクーパンから提出を受けた資料によると、クーパンプレイのチケット予約はクーパンアカウント(One ID)でログインした後、外部協力会社が運営する別個の購入ページを通じて行われる。この過程で利用者の氏名と会員番号が外部協力会社に提供される。このとき座席選択と決済、配送先・受取人情報などチケット購入に必要な核心的個人情報の収集と処理は外部協力会社が担当する。
クーパンプレイのチケットは、クーパン利用者の中でもWOW会員のみが利用できる独占サービスである。非会員が当該公演・スポーツ試合を見たい場合、クーパンのアカウントを作成しWOW会員に加入して初めて可能だ。その過程で生成される個人情報について、クーパンは直接点検したり確認したりできないという立場である。
とりわけクーパンは、最近発生した3370万件規模の個人情報流出事故に関連して「クーパンプレイのチケット購入情報はクーパンと共有されておらず、今回の流出事故に含まれたと見るのは難しい」と述べた。ただし、これを検証できるログ記録やデータベース(DB)、アクセス権限(IAM)構造などは営業機密を理由に口を閉ざしている。
セキュリティ管理もまた外部協力会社に委ねられている。クーパンはクーパンプレイのチケット購入に関して、別途の自社セキュリティポリシーを適用しないという立場だ。特に個人情報アクセス権限の配分表やAPI・DBアクセスログも、協力会社が管理していることを理由に公開しなかった。クーパン側は「外部協力会社との個人情報処理が関連法令を遵守して行われている」とし、「利用者から個人情報に関する事前同意も得ている」と明らかにした。
国民の力のイ・サンフィ議員は「クーパンプレイの単独販売チケットはクーパンが独占的に運営するサービスだ。事実上、利用者がこれを利用しなければ当該コンテンツに接することができない構造だ」と述べ、「利用者がクーパンを使わざるを得ないようにしておきながら、その過程で生成される個人情報の保護・管理・責任を外部協力会社にのみ任せるのは、管理不備であり責任回避だ」と主張した。続けて「本当にクーパンに責任がないのなら、関連ログ記録とアクセス権限構造など検証資料から提出するのが筋だ」と述べた。