**PIPC**は、全体会議の後、この漏洩は洗練された外部ハッキングの結果ではなく、**Coupang**とその物流子会社である**Coupang Fulfillment Services**における「基本的な安全管理の不備」によるものだと結論付け、その決定を発表しました。 この記録的な罰金は、今年初めに**SK Telecom**に科された1,348億ウォン（8,880万ドル）という過去最高額を上回り、**Coupang**のプライバシー侵害の深刻さを浮き彫りにしています。 ### 漏洩の解剖 11月に最初に発覚したこの漏洩は、当初約3,370万人の顧客アカウントに影響を与えました。**PIPC**の調査では、33,222,472人の登録会員が影響を受けたことが確認されました。さらに重要なことに、同委員会は、少なくとも4,338,368人の非会員のデータ（氏名、電話番号、住所）が、本人の知識や同意なしに配送受取人として保存されていたことを特定しました。**Coupang**は、規制当局からの2025年12月および2026年1月の4回の正式な要請にもかかわらず、これらの非会員の被害者に通知しませんでした。 ### 内部犯行とデータ流出 犯人は、**Coupang**を2024年末に退職した、名前不詳の中国人元従業員であることが特定されました。在職中、彼は**Coupang**の代替認証システムを開発し、退職前に基盤となる署名キーを盗みました。 彼の攻撃は2025年1月に95アカウントでのテスト実行から始まりました。4月からは、2ヶ月間にわたり**Coupang**の配送先住所ページに約1億4,800万回アクセスして氏名、電話番号、住所を収集するなど、体系的にデータを収集しました。その後、6月から10月にかけてアカウント編集ページに約3,500万回アクセスして氏名とメールアドレスを収集しました。最終段階では、アパートの入館コードと注文履歴が標的となりました。 元従業員は後に、盗んだデータを個々の顧客プロファイルに再構築し、1億2,000万件の住所、5億6,000万件の注文記録、3,300万件以上のメールアドレスを保有していると主張し、サンプルデータとして機密性の高い購入履歴とともに、会員および**Coupang**に直接脅迫メールを送信しました。 ### 警告の無視と証拠隠滅 7ヶ月にわたる攻撃は、顕著なトラフィックの急増と、存在しない会員IDを使用した数百万件のアクセス試行を生み出しましたが、顧客が脅迫メールを転送するまで**Coupang**は気づきませんでした。 さらに懸念されるのは、**PIPC**が証拠隠滅の罪で**Coupang**を刑事訴追に付したことです。規制当局は、**Coupang**の最初の漏洩報告の翌日である11月21日にアクセスログの保存を命じました。しかし、6日後、同社は手動で約6ヶ月分のウェブアクセスログを削除しました。さらに、**Coupang**は、6ヶ月後にログを自動削除する通常のポリシーを停止しなかったため、攻撃期間をカバーするログの約13%が失われ、影響を受けたすべての被害者の特定を妨げました。 劇的な展開として、警察は川からレンガで重しをされた壊れた**MacBook Air**を回収しました。これは、犯人が証拠を破壊しようとした試みと見られています。**Mandiant**、**Palo Alto Networks**、**Ernst & Young**のフォレンジックチームは、当局に引き渡す前にその内容を文書化することに成功しました。 ### その他の違反が判明 2026年1月の議会公聴会とメディア報道を受けて行われた拡大調査により、いくつかのその他の重大な違反が明らかになりました。 * **隠れた閲覧データ収集:** 同社は、「Coupang Partners」アフィリエイトマーケティングプログラムを通じて、約1,120万人のユーザーから、同意なしに第三者の閲覧アクティビティ（URL、アプリ名、タイムスタンプ、IPアドレス、デバイス識別子）を秘密裏に収集し、このデータを個々の会員アカウントに紐付けました。**Coupang**はこのデータを個人データではないと主張しましたが、規制当局はこれに同意せず、この違反に対してさらに2,011億ウォン（1億3,200万ドル）の罰金を科しました。記録は、調査官が同社に直面した後、2026年4月に削除されました。 * **「ハイジャック広告」:** 同プログラムの一部の広告パートナーは、「ハイジャック広告」を実行し、透明なボタンを重ねるなどして、同意なしにユーザーを**Coupang**にリダイレクトしていました。**Coupang**は2022年からこれを認識していましたが、違反アカウントを終了せず、一部のケースでは、この行為に関与したパートナーにより高い手数料を支払っていました。 * **ジャーナリストのブラックリスト:** **Coupang Fulfillment Services**は、「虚偽情報の拡散」を理由に、71人の警察担当ジャーナリストを内部雇用ブラックリストに秘密裏に追加しました。彼らのうち誰も**Coupang**の倉庫で働いたことはありませんでした。これは彼らの知識や同意なしに行われました。 * **健康データの不正利用:** 物流子会社は、健康管理のために収集された従業員の体重データを、別途の法的根拠なしに産業事故訴訟の証拠として提出しました。 * **CPOの独立性の侵害:** 2025年12月のハッカーに関する内部調査中、**Coupang**は最高プライバシー責任者（CPO）を完全に排除しました。規制当局は、これをCPOの法的に義務付けられた独立性の実質的な侵害と見なしました。 **Coupang**の暫定CEOである**ハロルド・ロジャース**は、1月に司法妨害捜査の容疑者として警察の事情聴取を受け、全面的な協力を誓いました。しかし、同社は**PIPC**の決定に遺憾の意を表明しており、法的に異議を唱える権利を留保しています。2,500人以上の請求者が関与する紛争調停手続きが再開される予定であり、米国での集団訴訟も係属中です。 **Coupang**の株価は年初から約35%下落しており、同社は韓国の国会議員からの継続的な監視に直面しています。