クーパン、韓国史上最大のデータ漏洩制裁金4億1000万ドルを科される

韓国のプライバシー規制当局は、3760万人のユーザーに影響を与えたデータ漏洩を理由に、クーパンに対して過去最高となる4億1000万ドルの制裁金を科した。これは同国における企業向け罰金として最大規模である。

韓国個人情報保護委員会（PIPC）は木曜日、3760万人のユーザーに影響を及ぼしたデータ漏洩を理由に、クーパンに対し6246億8000万ウォン（4億100万ドル）の制裁金を科した。これは韓国史上最大の企業プライバシー罰金となる。

「このインシデントは高度なハッキング技術によるものではなく、クーパンの不十分な基本セキュリティ管理体制と過失によって引き起こされた」と、PIPCの宋卿熙（ソン・キョンヒ）委員長は記者会見で述べた。

ロイターの計算によると、この制裁金はクーパンの2025年の売上高45兆ウォンの1.4％に相当する。元中国人ソフトウェア開発者が退職後も認証キーを保持しており、クーパンが2025年11月にこの漏洩を検知するまで約1年間、不正アクセスが可能な状態だった。流出したのは氏名、電話番号、住宅の鍵番号であり、クーポンや政府発行の身分証明書データは含まれていないとクーパンは発表した。規制当局はまた、同社がマーケティングプログラムを通じて、同意なしに約1100万人の顧客のオンライン活動データを違法に収集したことも指摘した。

この制裁は、韓国の物流市場の約40％を支配するシアトル拠点のeコマース大手に対する規制上の圧力を強めるものであり、米国と韓国が貿易交渉を続ける中で発表された。クーパンはこの決定を遺憾に思い、「法的手続きを通じて事実が明確に立証される」ことを期待すると述べ、控訴の可能性を示唆した。

発表後、クーパンの株価はニューヨーク証券取引所で4.97％下落し、財務的・ reputational な影響に対する投資家の懸念を反映した。デラウェア州で設立されたものの、収益の大部分を韓国に依存する同社は、以前よりデータ保護システムの強化を表明していた。

PIPCは、クーパンが韓国法で義務付けられている72時間以内に漏洩を検知できなかったと指摘した。宋委員長は、同社のセキュリティシステムにより、元従業員の退職後もハッカーが全顧客の個人情報に容易にアクセス可能であり、クーパンは顧客からの問い合わせを受けて初めて異常なデータトラフィックに気づいたと述べた。

この調査は、米国の貿易当局が韓国当局による上場米国企業への過剰な対応を懸念し、注目を集めていた。韓国側は、この調査は貿易問題でも安全保障問題でもなく、進行中の二国間協議とは別に扱われるべきだとしている。

今回の制裁金は、SKテレコムやKTなど韓国企業にこれまでに科されたデータ漏洩罰金を大幅に上回り、PIPCによる執行の大幅な強化を示している。直近の比較可能な制裁金である2023年のSKテレコムに対する75億ウォンの罰金（1900万人のユーザーに影響）は、今回の金額の2％未満であり、規制当局のより厳しい姿勢を裏付けている。

本記事は情報提供のみを目的としており、投資助言を構成するものではありません。