この記事は、アン・ヒチョル法務法人DLG弁護士の投稿です。スタートアップのための質の高いコンテンツを投稿フォームで共有したい人がいる場合は、ベンチャースクエアエディタチームeditor@venturesquare.netに連絡してください。
[安辺の法案]クパンの個人情報流出事故 – 企業の責任と顧客の権利
毎日毎日利用しているクパンから問題が来た。私の個人情報がすべて打ち明けたという文字だ。さらにアパート共用玄関のパスワードまで流出したという。子供はいません。
近年、国内の主要企業を中心に大規模な個人情報流出事故が続いて発生し、韓国社会の個人情報保護体系が根本的に揺れているという懸念が高まっている。 SKT、KT、LGユープラスなど通信3社で流出事件が発生したのに続き、今回クパンも大規模な顧客情報流出事故が発生したことが分かった。以前まで個人情報流出事故は金融機関や通信大企業で主に発生する問題とされていたが、今やプラットフォーム企業も個人情報保護問題では決して自由ではないという事実を明らかに示している。特にクパンの場合、数千万人の顧客データを長期間保有・処理してきた代表的な電子商取引プラットフォームであるため、流出の規模や波及力の面で以前の事故とは次元が異なる重量を持っている。
現在までクパンの個人情報侵害事故状況を見ると、流出規模では顧客アカウント約3,370万個が流出したものと把握され、流出内容は顧客名、電話番号、メールアドレス、配送先住所録、注文情報などで確認される。ところがクパンは個人情報が流出した後、なんと5ヶ月以上以上その事実を知らなかったという。クパンの発表によると、クパンは2025年11月19日に流出した内容を初めて把握したものと見られ、個人情報保護委員会には11月20日に個人情報流出事実について一次申告をした。状況が大きくなりすぎて政府も事案を重視し、科学技術情報通信部長官駐在で緊急対策会議を進め、11月30日付で民官合同調査団を構成するなど緊急に対策を設けている。今回の個人情報流出事故はこれまで確認されたばかりは内部者が個人情報を流出したものとみなし、ハッカーによって流出された通信3社の事態とは異なる局面だ。
このような状況で、個人情報保護法をはじめ、個人情報に関連する法令などでは、個人情報の流出を防ぎ、その被害を最小化するためにどのような事項を定めているかを確認する必要がある。個人情報保護法は、個人情報を業務目的で処理する主体を「個人情報処理者」と定義し、これらに個人情報の紛失・盗難・流出・偽造・改造または毀損を防止するための技術的・管理的・物理的措置を取る義務を課す。これは企業の規模や個人情報の保有量とは無関係に同様に適用される。つまり、クパンのように大規模なデータを保有している企業だけでなく、数十人の顧客情報を扱う小規模スタートアップや簡単な内部人事情報だけを処理する中小企業も例外にならない。個人情報を処理する以上、個人情報保護法第29条が定める安全措置義務は、すべての企業に強制される核心規範である。
今回クパンの個人情報流出事態で核心的に取り組むべき争点は大きく3つだ。まず、クパン法で要求する安全措置義務を適正に履行したか否かである。これには、技術的措置だけでなく、内部職員管理、アクセス権設定、ログ記録管理など、管理的・物理的措置までも含まれる。第二に、クパンが個人情報流出事実を認知してから72時間以内に顧客に通知し、個人情報保護委員会または韓国インターネット振興院に申告するなど法令が要求する即時対応を忠実に履行したかどうかだ。第三に、顧客被害を最小限に抑えるための対応措置が十分かつ迅速であったか、そして再発防止対策を透明に公開したかどうかである。特にクパンのように大規模プラットフォーム企業の場合、社会的信頼への影響が非常に大きいため、法が要求する最小限の措置以上に積極的な対応が必要である。
個人情報の流出が発生したときに最初に適用される法的義務は、個人情報保護法第34条で規定する通知義務である。通知義務は、たった一人の個人情報でも流出事実を知ったときから72時間以内に該当情報主体に流出事実を知らせなければならないという規定だ。クパンのような大規模企業の場合、流出が確認された情報主体が数百万人から数千万人に至る可能性があるため、個別通知が技術的に難しい場合がある。ただし、この場合にも個人情報保護法は当該企業のホームページ公知等の方法で優先通知し、可能な範囲内で追加的な個別通知を継続しなければならないと定めている。もし漏洩した個人情報の項目や視点、経緯などがまだ明確に把握されていなくても、可能な範囲で先に通知し、その後情報が確認されるとおりに追加通知をしなければならない。
同時に、個人情報処理者は個人情報処理者は届出義務も負担する。個人情報処理者として企業は、個人情報が1,000人以上流出されたか、健康情報など情報ジュチェルの私生活を著しく侵害する恐れのある民感情報、住民登録番号やパスポート番号などの固有識別情報が流出した場合、またはハッキングなど外部攻撃により流出が発生した場合に韓国インターネット振興院(Korea Internet & Security Agency, KISA)に申告しなければならない。この申告内容も通知と同様に流出項目、流出経緯、対応措置等を含まなければならない。
クパンは、これらの法的義務をすべて満たしたかどうかについて徹底的な検証を受ける可能性が高く、安全措置義務違反や通知および申告義務違反が確認された場合、法的責任は非常に重くなる可能性があります。個人情報保護委員会は、安全措置義務に違反した企業に総売上額の最大3%まで課徴金を賦課することができ、これはクパンのように開かれた売上が水槽ウォンに達する企業には実質的に非常に大きな負担となる。過去のSKT個人情報流出事故の場合、個人情報保護委員会がSKTに1,347億ウォン9,100万ウォン相当の課徴金を賦課したが、今回の事件はSKTよりも大きな規模の個人情報流出日だけでなく、クパン内部者訴訟という側面でその帰責程度が大きいと判断され、SKTよりも多い。
一方、個人情報が流出した場合、被害者である情報主体に発生した損害に対して当該企業が民事的賠償責任を負い、故意的隠蔽や虚偽報告が確認された場合、刑事責任まで発生する可能性がある。注目すべき点は、個人情報保護法第39条で「情報主体は、個人情報処理者がこの法律に違反した行為で損害を受ければ、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は、故意または過失がないことを立証しなければ責任を免れないか、または損害賠償責任を負わないか、または損害賠償責任を負わないか、または損害賠償を受けることができない」と規定しており、過失を立証しなければならないのではなく、個人情報処理者が本人に故意または過失がないことを立証しなければならないという点だ。つまり、このような個人情報保護法の内容を考慮する際、クパンはどのようなセキュリティシステムを構築していたのか、アクセス制御が正しく行われたのか、流出検知システムが正常に動作したのか、内部職員権限管理は適正であるかなどについて詳細に立証しなければならない。
さらに、個人情報保護法第39条の2で定めるところにより、被害者は最大300万ウォンの範囲内で企業の過失立証なしに法定損害賠償を請求することができる。被害者の権利が大幅に強化されたのだ。ただし、既存個人情報流出事故事案で通常10万ウォン程度の損害賠償のみ認められたため、ある個人の立場では訴訟を行う実益が大きくない。例えば、2024年ともツアー個人情報ハッキング事件に対してソウル中央地法は2025年8月1人当たり10万ウォンの賠償額を宣告し、2016年インターパーク個人情報流出事件には1人当たり1万ウォンずつ賠償することで調整が成立した。
クパン事態は大規模プラットフォーム企業だけでなくスタートアップにも明確な教訓を与える。個人情報保護は単なる法的義務ではなく、企業の生存戦略だという点だ。多くのスタートアップが開発者数人が内部ですぐにサーバー構築をして個人情報アクセスログすら体系的に残さない場合がよくある。しかし、個人情報を扱う瞬間、企業規模に関係なく、大企業と同レベルの法的義務が課される。暗号化、アクセス権の最小化、定期的なセキュリティ教育、外部委託業者に対する管理監督義務などは、スタートアップとしては免除されるものではない。個人情報の流出は技術的問題でありながら同時に法的・社会的信頼の問題である。顧客は自分の情報を企業に任せ、企業の専門性と保護措置を信頼する。この信頼が崩れる瞬間、企業のブランド価値と事業競争力は大きく毀損される。クパン事態はこの事実を再び示す事例であり、企業と消費者の両方に重要な警鐘を鳴らしている。
一方、技術が発展するにつれてセキュリティを強化する盾とハッキングをしようとする者、すなわち窓の戦いはさらに激しくなっている。この状況で政府は政策をより戦略的に広げる必要がある。つまり、窓が鋭くなる場合、ハッキングの危険がより大きく、時には避けられないことを認め、企業の帰責事由により個人情報が流出する場合には課徴金や処罰の程度を非常に強く厳しくするが、流出後にそれを収拾して積極的に措置を取って追加的損害を防ぐ必要がある。すなわち、流出時には鞭を、そして損害を防止することについてはニンジンを与えて各情報主体の個人情報報告できるだけ保護できるようにしなければならない。
資料お問い合わせ
アン・ヒチョル代表弁護士 010-9135-4773 / heechul.an@dlglaw.co.kr
シムハルPRマーケティングチームシニアマネージャー 010-9458-6068 / ru.sim@dlglaw.co.kr
You must be logged in to post a comment.