韓国のネット通販最大手クーパンが中国人元社員に5カ月（147日）で3370万人分の会員の個人情報を奪われたが、その間にクーパンはこれを把握できなかったという。本当に知らなかったなら致命的な無能であり、知りながら沈黙していれば全国民を欺いたことになる。インターネット掲示板やSNS（交流サイト）などでは「国民のプラットフォームが国民を裏切った」などの批判が相次いでいる。国会科学技術情報放送通信委員会所属の与党・共に民主党議員らは声明を出し「単なる技術上の問題ではなく、国民の信頼を根本から揺るがす重大な事件だ」と批判した。

【表】どんな個人情報が流出したのか

■147日にわたり把握できなかったクーパン

　クーパンは11月18日に顧客の個人情報流出を最初に把握したという。クーパンは「約4500人分の会員の個人情報が無断で持ち去られた事実を確認した」「直ちに警察庁、韓国インターネット振興院、個人情報保護委員会など関係機関に通報した」と説明している。

　しかしクーパンは独自に情報流出を確認したわけではない。クーパンが情報流出を確認したと主張している時期（11月18日）より前の11月16日、ある会員がクーパンに「知らない人から私の氏名、住所、直近5件の注文履歴を知っているとの電子メールが届いた」と連絡し、クーパンに確認を求めたのだ。クーパンが直ちに検証したところ、一昨日になって情報流出を把握した。もしこの会員から連絡がなければ3370万人分の個人情報が流出した状態をずっと放置したと考えられる。

　本紙の取材を総合すると、情報を奪ったとされる容疑者はクーパンを退職した中国国籍のソフトウエア開発者だった。顧客個人情報へのアクセス権限がなかったこの人物が退職後に中国でクーパン会員の個人情報を奪っていたという。警察は11月25日にクーパンから告訴状を受理し捜査を開始した。

　実際に情報流出が始まったのは5カ月前だ。クーパンは、今年6月24日から個人情報へのアクセスが始まったことを把握したが、会員から連絡があるまで147日にわたりクーパンはその気配も感じていなかった。クーパンが流出の事実を把握した後、この中国人容疑者はクーパンに「会員の個人情報を確保している。セキュリティーを強化しなければ個人情報流出の事実を公表する」と脅迫メールを送ったという。セキュリティー業界の関係者によると、これは犯行がばれた時にハッカーらがよく取る手口だという。

　この中国人は退職後に中国に戻り、在職中に入手したとみられるトークン（ワンタイムパスワードを生成する機器）を使い147日かけて3370万人分の個人情報を奪っていたことが確認された。退職した元社員が、それも海外から会員の個人情報を勝手に奪っている間、クーパンのセキュリティーシステムは全く機能していなかったのだ。

　1人の退職した元社員がクーパン会員の個人情報を事実上全て奪ったとはにわかに信じ難い。クーパン内のアクセス権限を管理するシステムが完全に無防備状態だったことが分かる。問題の元社員が巨大な組織や産業スパイとつながっている可能性も排除できない。流通業界のある関係者によると、最近は複数の世界的なグローバル企業に中国などから来た産業スパイが偽装就業を試みるケースが相次いでいるという。

■流出したデータは最新情報

　クーパンは2021年に韓国科学技術情報通信部（省に相当）と個人情報保護委員会から韓国最高の権威が認められたISMS-Pの認証を取得し、2024年の再審査で認証が更新された。非常に厳しいとされる政府の認証制度が、実は単なる書類上の手続きに過ぎなかったとの批判も相次いでいる。

　今回流出した個人情報には会員の氏名や電子メールアドレスはもちろん、電話番号や自宅住所などの配送先も含まれている。さらに決済日時、商品名、数量など直近5件の注文履歴も流出した。上記の流通業界関係者は「毎日のように生活必需品の注文が入るクーパンはデータの特性上、流出した情報は現在の居住地やライフスタイルを完璧に特定できる最新情報であり、今後悪用される可能性が非常に高い」と警告する。

　クーパンは「決済関連情報やクレジットカード番号、ログイン情報は流出していない」と説明しているが、会員はクーパンのこの説明を信用していない。クーパンは当初「4500人分のアカウントが流出した」と発表したが、それからわずか11日後に3370万人分に訂正した。司法機関や規制当局の調査で今後被害の規模や内容が変わる可能性も排除できない。

ソク・ナムジュン記者