韓国のEC大手「クーパン」が、3,300万人以上分の個人情報を窃取されたとして、企業責任を問われている。全人口の６割を超える人が被害に遭っていて、今年起きた「SKテレコム」の2,500万人分（*1）を越える規模である。

 

　容疑者は社内のセキュリティ技術者で、認証システムの開発をしていた。当然暗号化キーを持ち出し、顧客に成りすますことも容易だった。企業側は、被害を５ヵ月間も察知できなかったという。

 

韓国大統領、クーパン情報流出で企業の罰則強化を要求 | ロイター

 

　他に共犯者がいるかもしれないが、容疑者は中国人ですでに中国に逃亡している。韓国では反中感情が高まっていることもあり、野党議員が政府に「中国から容疑者を送還させよ、さもないと親中政権だと認めたことになる」と追及（*2）している。

 

　システムの、しかもセキュリティ開発の真ん中にいた人物が犯行に及ぶなら、この被害の大きさも長く露見しなかったことも理解できる。もちろん、従業員をちゃんとガバナンス出来ていなかった責任は経営陣にある。

 

　この事件を受け李大統領は、悪質な個人情報被害事案に対する罰則（最大売り上げの３％の罰金）を強化するよう、議会に求めた。この件は、今も日本で議論されている「個人情報漏えいに対する課徴金の是非」にも影響を及ぼすだろう。

 

　そして私が一番危惧するのは、この情報は一体何のために盗まれたか？である。「SKテレコム」の事案では、盗まれたのがSIM情報だったのでなりすまし携帯による詐欺等が目的だと分かる。＜闇Web＞で販売する目的もありそうだが、今回は、まだ直接被害が見えないので分かりにくい。

 

　これだけ大量に窃取したということは、ひょっとして韓国そのものを標的にした犯罪･･･ある国が支配を及ぼそうとして多くの市民の情報を手に入れようとしたという可能性もありそうだ。これは杞憂であってほしいのだが。

 

*1：インフラ事業者のセキュリティ予算 - 梶浦敏範【公式】ブログ

*2：韓国野党議員「李大統領が中国政府に “クーパン流出事件”容疑者の逮捕を要求せよ」 | wowKorea（ワウコリア）