最近、流通・プラットフォーム業界で個人情報流出事故が相次ぎ、消費者の不安が高まっている。業界内外では、単にハッキング事故件数の増加だけが問題なのではなく、流通業界がハッカーにとって魅力的なデータを大量に保有している一方で、事故後に企業が負う実質的な負担が相対的に大きくない構造が、事故の反復を招く背景だという指摘が出ている。
10日、関連業界によると、5日、CUコンビニの宅配サービスを運営するBGFネットワークスは、CUPOSTホームページを通じ、ハッカーがシステムに非認可でアクセスし個人情報を流出させた形跡を確認したと告知した。BGFネットワークスによれば、流出した個人情報は氏名、携帯電話番号、メール、住所、性別、ID、パスワードなどだ。正確な流出規模は社内調査中である。警察庁国家捜査本部サイバーテロ対応課も立件前調査(内査)に着手した。情報流出の過程と被害範囲を確認し、被疑者特定と追跡に必要な手続きを進める予定だ。
3日には、CJ ENMのオンライン動画サービス(OTT)プラットフォームであるTVINGでも、ハッキングによる個人情報流出の形跡が確認された。先立つ2025年11月には、クーパンで顧客アカウント約3370万件規模の大規模な個人情報露出事故が発生し、大きな社会的波紋を呼んだ。個人情報保護委員会はこの日(10日)に全体会議を開き、クーパン個人情報流出事件の制裁案を審議する。
一般消費者はカード番号や口座情報の流出をより危険と考えるが、流通企業が保有する氏名、電話番号、住所、生年月日、購買履歴、配送情報などが結合したデータも、流出時の被害が大きいデータである。イム・ジョンイン高麗大学情報保護大学院名誉教授は「流通プラットフォームが保有する情報はダークウェブなどで取引される際に価値があるデータだ」とし「結局は金になるため攻撃対象になる」と述べた。
流通業者は単なる連絡先情報だけでなく、消費者の生活パターンデータまで保有している。Eコマース(電子商取引)業者は購買履歴と決済パターンを、宅配プラットフォームは配送先と住所情報を、OTTは視聴履歴とコンテンツ消費嗜好を蓄積する。どのブランドを好むか、どの地域に居住するか、いつ何を購入するかまで把握できるわけだ。
チェ・ギョンジン嘉泉大学法学科教授は、流通データがハッカーの主要標的になる理由として「最新性」を挙げた。チェ教授は「個人情報を奪取する目的は金融詐欺やフィッシング犯罪に活用する場合もあるが、広告・マーケティング市場での活用価値も大きい」とし「流通データは配送と決済のために利用者が最新情報へ継続的に更新するデータであるがゆえに、精度が高く価値も高い」と述べた。続けて「電話番号や住所が実際の利用者情報と正確に結び付いている場合が多く、他分野のデータより活用価値が高い」とし「正確な情報であるほど違法闇市場でより高く取引される」と付け加えた。
最近のTVINGとCU宅配の事故で流出したとされるCI(連携情報)とDI(重複加入確認情報)も、セキュリティ業界では機微情報に分類される。CIとDIは複数のプラットフォームで同一人を識別するために活用される情報で、他の個人情報と結合する場合、標的型フィッシングや名義盗用犯罪に悪用され得る。
一部では、流通業界が保有するデータ規模に比べ、セキュリティ投資の優先順位が相対的に低かったとの指摘が出ている。金融圏は強力な規制と監督体制の下でセキュリティ投資が不可欠だが、流通業界はサービス拡大と顧客利便性の向上に注力してきたということだ。チェ教授は「事業初期段階では個人情報保護投資の体感効果が大きくないと判断し、サービス開発や顧客利便性により多くの資源が投入される場合が少なくない」とし「個人情報保護が事業のデフォルトとして定着できるよう、経営陣の認識変化とともに政策的支援が必要だ」と述べた。
ただし流通業界は、セキュリティ投資を拡大しているという立場だ。流通業界関係者は「最近、個人情報流出事故が相次ぎ、セキュリティ関連の投資と管理強化は業界全体の共通課題になった」とし「大企業はすでに相当な費用を投じてセキュリティ体制を運用している。顧客情報の流出はブランド信頼度の低下や課徴金、顧客離反など二次・三次被害につながり得るため、セキュリティ強化に継続的に投資している」と述べた。
◇ 個人情報保護委員会「課徴金を継続的に引き上げ…分野別の実態点検を強化」
それでも事故が繰り返される背景には、企業が体感する実質的被害が限定的だという点も挙げられる。個人情報流出事故が発生すると株価下落、消費者の批判および不買運動が続くが、多くの企業は時間が経つと利用者数と売上が回復する様子が見られる。一例としてクーパンは、昨年の大規模個人情報流出事故後に月間アクティブユーザー数(MAU)が一時的に減少したが、数カ月で事故前の水準を回復した。ワウメンバーシップを退会した利用者の多くも再加入したと伝えられている。クーパン親会社の米国Coupang Inc.のキム・ボムソク議長は先月6日の第1四半期決算発表カンファレンスコールで「プロダクトコマースの売上成長率は1月がボトムだったが、その後は毎月、前年対比で業績が改善している」と述べた。キム・ボムソク議長は、個人情報流出事故後も大多数の既存顧客は離反せず、ワウメンバーシップ退会会員の約80%が再加入したという説明を付け加えた。
個人情報保護委員会は、制裁強化に向け課徴金を継続的に引き上げているという立場だ。個人情報保護委員会関係者は「現在、売上高基準の課徴金制度を運用しており、今後は上限が現行の3%から10%まで引き上げられる予定だ」とし「また、個人情報保護体制を事後対応中心から予防中心へ転換するため努力している。分野別の実態点検と予防活動を一層きめ細かく進める予定だ」と述べた。
一部では、課徴金中心のアプローチだけでは限界があるとの指摘も出ている。イム・ジョンイン教授は「国家情報機関やグローバル通信会社でさえハッキングを免れない状況で、個人情報流出の発生そのものだけで企業を非難し課徴金だけを強化する方式には限界がある」とし「重要なのは事故原因を分析し、他の企業が同じ被害を被らないよう支援し、予防能力を高めることだ」と述べた。さらに「ハッキングはもはや特定業種だけの問題ではなく、あらゆる産業が直面するリスクだ」とし「制裁と処罰だけでなく、企業のセキュリティ投資と情報共有を誘導する支援政策も併せて議論する必要がある」と付け加えた。