クーパンの大規模な個人情報流出事態を扱うための国会科学技術情報放送通信委員会(科放委)での聴聞会が17日に開かれたが、クーパンIncのキム・ボムソク議長とパク・デジュン、カン・ハンスン前代表など中核証人が出席せず、議論が進展しなかった。
聴聞会は責任の所在と被害対策を点検する目的だったが、クーパン側は韓国語での意思疎通が円滑でない外国人役員を中核証人として前面に立て、適切な質疑が行われなかった。国会政務委員会(政務委)は国会証言・鑑定に関する法律違反(不出席)容疑でクーパン創業者のキム議長を告発することを議決した。
科放委はこの日、ソウル汝矣島の国会でクーパンの個人情報流出事故の真相究明のための聴聞会を開いた。証人として採択されたキム議長とパク前代表、カン前代表はそろって不出席だった。代わりにハロルド・ロジャース臨時代表、ブレット・メティス最高情報保護責任者(CISO)、キム・ミョンギュクーパンイーツ代表、ミン・ビョンギクーパン渉外総括副社長、チョ・ヨンウクーパン国会・政府担当副社長の5人が証人席に座った。
クーパンを代表して出席したロジャース臨時代表は「国民の皆さまにご心配とご懸念をおかけしお詫びする」と述べた。だが、議員らがキム議長の不出席理由を集中的に質すと、「私が韓国クーパンの代表者だ」として即答を避ける姿勢を見せた。
ロジャース臨時代表は個人情報流出事態に関連し、責任ある補償案を用意して発表するという原論的な立場を明らかにした。ロジャース臨時代表は「現在、複数の規制機関の調査に誠実に応じており、協力して状況を把握している」と述べた。そのうえで「調査結果とともに責任ある補償案を用意し、発表する」と付け加えた。
ロジャース臨時代表は、今回の情報流出事態の最初の告知で「流出」ではなく「露出」という表現を使った理由を問う質疑に対し、「最初に発表した当時は技術的に今回は露出だと見てそのように告知した」とし、「具体的な内容を確認した後は流出と表現を訂正した」と答えた。
ロジャース臨時代表は李在明大統領の「企業過怠料の現実化」発言を認識しており、期待に応えると明らかにした。先立って大統領は9日にクーパンに言及し、企業に課す過怠料を現実化する方策を探すよう指示した。12日の個人情報保護委員会の業務報告でも、重大な個人情報流出事故が反復的に発生した場合、課徴金を「3カ年売上高平均の3%」ではなく「3カ年のうち売上が最も高い年度売上高の3%」で賦課するよう施行令基準を改正するよう指示した。
ロジャース臨時代表はこれについて「大統領の発言を認識しており、翻訳版を見ながら関連内容を把握した。クーパンは責任ある企業として、この状況に求められるあらゆる事項に応えて対処する」と述べた。続けて「状況を深刻に受け止めている。本日この場であれ規制機関が抱く懸念に関してであれ、言及される部分を解決するため最善を尽くす」と付け加えた。
この日の聴聞会では、個人情報流出事態の背景として指摘された元社員に関する質疑も出た。ロジャース臨時代表は「(元社員の)退職当時、すべてのアクセス権限を回収したが、当該人物が情報を持ち出し、結果的に韓国の国民に被害が発生した」と明らかにした。
また「事件を把握直後、署名キーを直ちに完全に廃棄し、追加的な活動が不可能となるよう措置した」とし、「現在、警察と緊密に共助し身柄確保を推進しており、相応の処罰が行われるよう最善を尽くしている」と述べた。
これに関連し、ブレット・メティス情報保護最高責任者(CISO)は「当該社員は在職中に自身に付与されたキーを無断で奪取した」とし、「退職と同時にシステムアクセスはすべて遮断されたが、すでに奪取していたキーを利用してアクセス・トークンを生成した」と説明した。続けて「これにより、自身が顧客であるかのように偽装して個人情報にアクセスできた」と付け加えた。
クーパンはこの日、台湾のクーパンが使用中の先進認証方式「パスキー(passkey)」を来年上半期までに国内にも導入すると明らかにした。パスキーはパスワードなしに顔、指紋などの生体認証やPIN(暗証番号)などを活用する認証方式だ。外部からのハッキングや奪取のリスクが低く、企業がセキュリティを強化する措置として使用している。
メティスCISOは「台湾にパスキーを導入してから3カ月あまりだ」とし、「韓国でもパスキー導入のための準備が進んでいる」と述べた。また「韓国市場は顧客数が多いため、パスキー導入の過程でより複雑なプロセスが必要だ」とし、「導入の過程で顧客の不便を最小化しつつ、迅速に導入できるよう努める」と述べた。
一方、クーパンIncは聴聞会を前に16日(現地時間)、「項目1.05.重大なサイバーセキュリティ事故」を題名とする8-K報告書を米国証券取引委員会(SEC)に提出した。8-Kは企業に重大な変化が発生した際に投資家と利害関係者に迅速に知らせる開示だ。
SEC規定によれば、重大なサイバーセキュリティ事故が発生した場合、4営業日以内に開示しなければならない。ロジャース代表は、今回の事故を即時に報告しなかったことが規定違反だという指摘に対し、「米国の個人情報保護関連の法体系上、現在流出した情報のタイプは申告義務の対象に該当しない」と釈明した。
続けて「米国法の基準では開示義務はなかったが、事案が継続的に注目を集めている点を踏まえ、この日にSECに関連内容を公式に開示した」と明らかにした。
一方、この日、国会政務委は国会証言・鑑定に関する法律違反(不出席)容疑でキム議長を告発することを議決した。ユン・ハンホン政務委員長は会議で「クーパンのキム・ボムソク証人は当委員会の国政監査に正当な理由なく10月14日と28日の二度にわたり不出席だった」とし、「異議がないため可決を宣する」と明らかにした。