🚨韓国クーパンで3,370万件超の個人情報流出

🚨韓国クーパンで3,370万件超の個人情報流出 #news
韓国クーパンで3,370万件超の個人情報が流出。外部攻撃ではなく内部犯行疑惑が濃厚な今回の大規模データ漏えいについて、流出内容、韓国政府の罰則強化、企業の法的リスク、世界のインサイダー事例、日本のユーザーが取るべき対策までをわかりやすく解説します。

― 外部攻撃ではなく“内部犯行”疑惑が濃厚に

韓国の大手EC企業「クーパン(Coupang)」で、3,370万件を超える個人情報流出が発覚しました。
韓国国内でも“過去10年以上で最大級”とされ、社会・政治レベルで大きな問題に発展しています。

しかも今回の特徴は、一般的なサイバー攻撃とは異なり、
内部者による不正持ち出し(インサイダー脅威)の可能性が極めて高いと見られている点です。

この記事では、事件の全貌と背景、韓国政府の反応、企業が抱える法的リスク、
そして日本のユーザーやEC事業者が学ぶべき点までわかりやすく解説します。

📦 何がどれだけ漏れたのか?

クーパンは初期段階で「4,500件の不正アクセス」を認識したものの、
調査を進めると 実際には3,370万件超が影響 を受けていることが判明。

同社が2025年に公表していたアクティブユーザー数は約2,470万件。
つまり、休眠アカウントや旧ユーザーを含む膨大な過去データまで流出した可能性があります。

🔍 流出した情報

  • 名前
  • 住所
  • 電話番号
  • メールアドレス
  • 購入・注文履歴

※パスワードやクレジットカード番号は「流出なし」とされています。

しかし、

🛑 氏名+住所+電話番号+購入履歴
という“組み合わせ”は、フィッシング詐欺・なりすましに悪用しやすい極めて危険な情報です。

🕵️ なぜ「内部犯行」疑惑が浮上したのか?

クーパンと捜査当局の分析によると、重大なポイントがいくつもあります。

🔸 1. 外部侵入の痕跡が見つからなかった

一般的なハッキングなら残るはずのログが確認できず、
社内権限を持つ人物によるアクセス が疑われています。

🔸 2. 海外サーバーへの不審な接続

2025年6月、クーパンの海外サーバーに不審なアクセスが発生。
暗号鍵(プライベートキー)が内部から利用された可能性も指摘。

🔸 3. 元社員(中国籍)の人物が捜査対象に

一部メディアは、クーパン元社員が事件に関与していると報じています。

🔐 典型的な“インサイダー脅威(Insider Threat)”型流出であり、
外部対策だけでは防げなかったケースと言えます。

⚖ 韓国政府の反応:罰則強化へと舵を切る

今回の事件は国全体を揺るがし、韓国大統領は
**「過去10年以上で最悪の大規模データ漏えい」**として厳罰方針を通達。

📝 行政・規制当局の動き

  • 企業の情報保護義務違反への 行政罰・罰金の強化
  • 個人情報の保護通知の不備を指摘し、再通知を命令
  • 韓国の情報セキュリティ認証制度の見直し
  • 懲罰的損害賠償の適用範囲拡大も議論中

さらに、今回のような大規模漏えいでは、
企業に1兆ウォン(約1200億円)級の賠償リスクが発生する可能性も伝えられています。

📁 “眠っていたデータ”が被害を拡大

アクティブユーザー数をはるかに超える3,370万件の流出は、
不要な個人情報が長期間保存されていた可能性を示唆します。

現代のデータ保護では、

「必要な期間を過ぎた個人データは削除する」
という原則が一般化しています。

データを残し続けることは資産になる一方で、
**漏れた瞬間に巨大なリスクへと変わる“データ負債”**でもあります。

🌍 世界でも増加する「内部者による情報漏えい」

クーパンだけでなく、近年は世界中で
内部者の権限悪用や退職後のアカウント残存が原因となる事件が多発しています。

代表的な事例

  • Cash App:元従業員が顧客情報約800万人分を不正持ち出し
  • Capital One:外部委託者が特権アクセスを悪用
  • Uber:社員権限の管理不備から情報流出

いずれの企業も巨大規模でセキュリティ投資も行っていましたが、
「内部アクセス」を完全に防げなかったという点は共通しています。

🇯🇵 日本のユーザー・EC事業者が学ぶべきポイント

クーパンは2023年に日本ECから撤退しましたが、
2025年には「Rocket Now(ロケットナウ)」として東京で事業再開しているため、
日本ユーザーがまったく無関係とは言えません。

📌 個人ユーザーが取るべき対策

  • 不審なSMS・メールを踏まない
  • パスワードの使い回しをやめる
  • 利用しない通販サイトのアカウントは削除
  • クレカ利用履歴の定期チェック
  • 2段階認証の導入

📌 EC事業者・企業側が学ぶべき教訓

  • 特権ID管理(DB管理アカウントなど)の細分化
  • ログ監視とアラート運用の強化
  • 退職者・異動者の権限即時停止
  • 不要データの早期削除ポリシー
  • ゼロトラスト(Zero Trust)の実装

💡 “内部者を完全に信頼しない”ことが現代セキュリティの基本原則。

📝 まとめ:クーパン事件はアジアのデータガバナンスを揺るがす

  • 流出規模は 3,370万件超
  • 外部攻撃ではなく 内部犯行疑惑が濃厚
  • 韓国政府は 罰則強化・制度改革
  • データ削除の重要性とインサイダー対策が強く浮き彫りになった
  • 日本のユーザーもフィッシング被害に注意が必要
  • EC企業は 内部統制・アクセス管理・データ最小化が急務

今回の事件は、

「データを集める企業ほど、守る責任が重い」
という時代の現実を突きつけています。

📚 参考・出典

  • 韓国メディア各社によるクーパン情報流出報道
  • CNBC・JoongAng Daily など英字メディアによる解説
  • クーパン公式 FAQ(個人情報流出に関する説明資料)
  • 韓国政府・大統領府による公式コメント・罰則強化方針
  • Global Insider Threat 事例レポート(Cash App / Capital One / Uber など)
  • データガバナンス・プライバシー法(GDPR 等)に関する国際的レビュー
タイトルとURLをコピーしました