PIPCの調査により、不十分なセキュリティ対策により、約3755万人の個人情報が侵害されたことが明らかになりました。これらの不備には、認証キー管理の怠慢やアクセス制御の不備が含まれていました。 子会社のCoupang Fulfillment Serviceも、機密性の高い顧客データの不正な収集、使用、取り扱いに対して2億4800万ウォンの罰金が科されました。 セキュリティ上の不備に加え、PIPCはCoupangに対し、データ破壊および漏洩通知要件違反についても指摘しました。規制当局はまた、Coupangのデータ保護責任者の独立性への干渉および進行中の調査への妨害の証拠も発見しました。 「認証署名キー管理およびアクセス制御における怠慢を含む、基本的な安全管理システムの不備により、約3755万人の個人情報が漏洩した」とPIPCは述べています。「Coupangの安全対策義務違反および法的根拠のない個人情報収集に関して、6246億8100万ウォンおよび1680万ウォンの罰金、ならびに是正命令、公表命令、および公表命令が課されました。」 韓国で大きな事業を展開するアメリカのオンライン小売企業であるCoupangは、95,000人を雇用し、年間収益300億ドル超を誇っています。 ### 補償に向けた取り組み 12月下旬、Coupangは顧客補償のために1兆6850億ウォン（約11億7000万ドル）を割り当てる計画を発表しました。この取り組みでは、2026年1月以降、影響を受けた3300万人以上の顧客に対し、それぞれ5万ウォン（約34ドル）相当の使い捨て購入バウチャーを配布します。 ### 侵害の発見と容疑者の詳細 韓国史上最大級のデータ侵害となったこの事件は、6月下旬に発生しましたが、11月中旬まで検出されませんでした。その後、Coupangは3370万アカウントが侵害されたことを公表しました。 捜査を引き継いだ韓国当局は、43歳の中国国籍の男性を主要な容疑者として特定しました。この人物は、2022年から2024年までCoupangのIT部門の元従業員であり、この侵害の責任者であると考えられています。 Coupangは後に、元従業員が機密データを含む複数のハードドライブを返却したと報告しました。容疑者はまた、MacBook Airラップトップを川に廃棄して証拠を隠滅しようとしましたが、その後デバイスは回収されました。同社は、容疑者が数百万件のアカウントにアクセスしたものの、約3,000件のアカウントのユーザーデータを保持していたと報告されており、その後すべてのデバイスから削除され、他者に転送されていないと付け加えています。 ### 韓国におけるサイバーセキュリティインシデントの広範な状況 この事件は、韓国における別の重大なセキュリティイベントに続いています。4月には、国内最大の移動体通信事業者であるSKテレコムが、ネットワークへのマルウェア攻撃により機密性の高いUSIMデータが漏洩したと顧客に警告しました。同社は後に、マルウェアが2022年6月からシステムに存在しており、最終的に顧客ベースのほぼすべてにあたる2700万人の加入者に影響を与えたことを明らかにしました。