個人情報保護委員会(以下、個人情報委)がクーパンに歴代最大規模となる約6247億ウォンの課徴金を科し、小売流通業界が緊張している。最近、CUの宅配サービスやCJ ENMのTVINGなどでも個人情報流出事故が相次ぐなか、個人情報委は流出規模だけでなく収集・管理体制全般に対する責任も問うた。とりわけ今回の事故を高度なハッキング攻撃ではなく、基本的な安全管理体制の不備による問題と判断した。

11日、業界によると、個人情報委は前日、全体会議を開き、クーパンに課徴金6246億8100万ウォンと過料1680万ウォンを科すことを議決した。これは個人情報委が科した課徴金として歴代最大である。従来の最大課徴金は昨年のSKテレコムのSIMカード情報流出事故に科した1348億ウォンだ。

ソウル松坡区のクーパン本社。/News1

流通業界は、今回の制裁が個人情報流出事故にとどまらず、企業の情報保護体制全般に対する責任を問うた事例である点に注目している。個人情報委が個人情報流出だけでなく、法的根拠のない個人情報収集なども併せて問題視したことで、大規模な会員情報を保有する流通企業の警戒感が高まっている。

最近、流通業界では個人情報流出事故が相次いで発生した。8日、BGFリテールのコンビニエンスストアCUの宅配サービスを運営するBGFネットワークスが個人情報流出の事実を告知した。身元不明の外部攻撃によるもので、流出した情報はID、パスワード、氏名、性別、住所などだ。

先にCJ ENMの子会社であるオンライン動画配信サービス(OTT)「TVING」は、個人情報を保存するデータベース(DB)に非認可のアクセスが発生し、ID、氏名、生年月日などの個人情報が流出したと3日に明らかにした。

個人情報委は、クーパンの個人情報流出事故が高度なハッキングではなく、会社の基本的な安全管理体制の未整備および管理の不備により発生したと判断した。流出規模は約3750万人で、今年2月に科学技術情報通信部の民官合同調査団が示した3367万人より約400万人増えた。

ソン・ギョンヒ個人情報保護委員会委員長が11日、ソウル鐘路区セジョン大路の政府ソウル庁舎でクーパンおよび系列会社の個人情報流出・侵害に関する制裁処分の議決を発表している。/News1

個人情報委は「クーパンが認証署名キーのアクセス権限管理を疎かにし、攻撃期間中、個人情報を含むページの接続量が平時比で急増するなど異常な接続があったにもかかわらず、クーパンはこれを認知できなかった」と述べた。

流出通知・個人情報の破棄義務および個人情報保護責任者(CPO)の独立性保障違反、調査妨害行為なども問題視した。会員の個人情報流出の事実を把握しながら適時に通知しなかったり、非会員にはそもそも通知を行わなかったということだ。退会後90日が経過すれば会員情報を破棄しなければならないという内部規定も守らなかったとの指摘だ。

クーパンは昨年12月、ハッカーに対する独自調査を進め、その結果をホームページで公開する過程でCPOを意思決定過程から排除し、関連情報を共有しなかった。個人情報委は「単なる内部コミュニケーションの不在ではなく、個人情報保護体制の核心であるCPO制度を形骸化するもので、保護法が保障するCPOの独立した職務遂行権限を実質的に無力化した」と述べた。

個人情報流出事故のほかにも、クーパンが他社ウェブサイトやアプリケーション(アプリ)に接続した会員約1117万人のオンライン活動記録を無断で収集した事実も確認した。利用者の訪問記録、接続日時、接続IPなどを個人が特定できる状態でデータベース(DB)に保存し、不正広告(ハイジャック広告)に対する管理・監督も不十分だったと調査された。

企業のセキュリティ投資と内部統制の強化にもかかわらず個人情報流出事故が繰り返され、個人情報委の制裁基調は強化される趨勢だ。故意または重大な過失により大規模な個人情報流出が発生した場合、売上の最大10%まで課徴金を科すことを可能にする個人情報保護法改正案が9月に施行される予定である。ただし施行前に発生した事件については遡及適用されない。

この日、個人情報委はクーパンとは別に、系列会社のクーパンフルフィルメントサービス(CFS)にも制裁を科した。物流センターの勤務履歴がない警察庁出入り記者団の名簿を就業制限リストとして管理した行為や、役職員の体重情報を労災訴訟に活用した行為などを問題視し、課徴金2億4800万ウォンを科した。

<b>◇ クーパン「法的手続きを通じて事実関係を明確に究明する」</b>

クーパンは個人情報委の制裁発表後、声明を通じて遺憾の意を示した。クーパン側は「今回の事故で顧客と国民にご心配をおかけした点についてお詫びする」としつつも、「昨年のデータ流出事態に関し、二次被害を防止するための先制的措置と明確な事実関係に基づく説明が、個人情報委の決定に十分に反映されなかった点を遺憾に思う」と述べた。

今後の法的対応も示唆した。クーパン側は「個人情報保護フレームワークをさらに強化し、新たな決意で顧客の信頼回復に努める」とし、「個人情報委から公式議決書を受領後、法的手続きを通じて事実関係が明確に究明されることを期待する」と付け加えた。

しかし、課徴金は処分が確定した四半期の業績で費用計上されるため、第2四半期の業績には負担として作用する見通しだ。クーパンは今年第1四半期も個人情報流出事故の余波や補償費用などの影響で3545億ウォンの営業損失を計上した。課徴金の規模が昨年の通年営業利益(約6790億ウォン)に迫るだけに、中長期の収益性と投資計画に支障を来す可能性があるとの懸念も出ている。

※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。