韓国通販最大手クーパンで史上最悪規模の3370万人分個人情報流出が発覚、当局が本格捜査に着手し原因究明へ

韓国通販最大手クーパンで史上最悪規模の3370万人分個人情報流出が発覚、当局が本格捜査に着手し原因究明へ

過去最大規模の個人情報漏えいが判明

クーパンは約3,370万件もの顧客アカウント情報が外部に流出していた事実を公表しました。この数字は韓国の人口の約3分の2に相当し、韓国史上最悪規模の個人情報流出事故とも評されています。流出が始まったのは2025年6月下旬とみられますが、同社が異常に気付いたのは約5カ月後の11月18日になってからでした。顧客の氏名・電話番号・住所・メールアドレス・一部の注文履歴などが含まれ、事実上「全国民が被害者」と言える未曾有の事態となりました。

政府当局が徹底調査、原因究明に着手

大規模漏えいの発覚を受け、韓国政府と関係当局は直ちに本格的な調査に乗り出しました。韓国科学技術情報通信部の裵慶勲（ペ・ギョンフン）長官は11月30日に緊急会議を開き、クーパンが個人情報保護に関する安全規則に違反していなかったか調査していると明らかにしています。官民合同の調査団も編成され、個人情報保護委員会や韓国インターネット振興院（KISA）などが流出規模や原因の究明に当たっています。警察も不正アクセスに使用されたIPアドレスの追跡やサーバーのログ解析を進めており、当局が一体となって原因解明と再発防止に向けた徹底調査を開始しました。

クーパン中国人元社員による内部犯行の疑いが浮上、5カ月間発覚せず顧客への脅迫メールで個人情報流出が判明

中国人元従業員による内部犯行か

クーパンの顧客情報流出事件では、社内の元従業員による犯行の可能性が強まっています。韓国メディアの報道によると、容疑者として浮上しているのはクーパンに勤務していた中国籍の元社員で、警察が捜査を進めています。この人物はソフトウェア開発者として認証システムに関わっていたとされ、退職後も社内システムへのアクセス権限が残っていた疑いがあります。不正アクセスは2025年6月24日頃から海外のサーバー経由で始まったとみられますが、クーパン側は約5カ月間にわたりこの大規模な情報流出に全く気付けませんでした。一人の内部者が事実上ほぼ全顧客の個人情報を持ち出せた可能性が指摘されており、同社のアクセス制御システムの欠陥が浮き彫りになっています。

脅迫メールで漏えいが発覚、5カ月越しに露見

驚くべきことに、この大規模漏えいが発覚したきっかけは容疑者による“脅迫メール”でした。社を退職したこの元社員は、2025年11月初め頃に一部のクーパン顧客に対し、自分がその顧客の氏名・住所・最近の注文履歴などを知っていることを示す内容の電子メールを送りつけました。メールには直近の注文リストや電話番号などの顧客情報を撮影したファイルが添付され、「あなたの個人情報を知っている」という趣旨の文面だったと報じられています。これを受け取った顧客からの通報で社内調査が始まり、ようやく11月18日に情報流出の事実を把握したのです。仮にこの通報がなければ、流出はさらに長期間にわたり見過ごされた可能性もあり、内部監視体制の甘さが厳しく問われています。警察は11月25日にクーパンから告訴状を受理し、本格捜査に着手しました。

史上最悪規模の個人情報漏えい発覚でクーパン株価が急落、企業統治の甘さと情報セキュリティ体制の不備に厳しい批判が続出

株価急落と投資家の不安

今回の個人情報流出発覚により、ニューヨーク証券取引所に上場するクーパンの親会社株は急落しました。11月30日（米東部時間）の取引では株価が前日比5%以上下落し、1カ月ぶりの大幅安となりました。翌12月1日の韓国市場でも投資家心理が悪化し、一時6.5%の下落を記録しています。市場では、短期的に巨額の罰金や集団訴訟による賠償、会員の大量離脱などが業績に与える悪影響を懸念する声が上がりました。一方で、「クーパンは韓国EC市場で圧倒的地位を持つため顧客離れは限定的」との分析もあるものの、事件対応次第では企業価値への信頼が揺らぎかねない状況です。

内部統制とセキュリティの欠如に批判

流出事件後、クーパンの企業統治と情報セキュリティ体制の杜撰さに対して厳しい批判が相次いでいます。外部からのハッキングではなく内部者による犯行であったこと、そして当初「数千件」とされていた流出規模が最終的に7,500倍以上に膨れ上がった事実に、人々は衝撃を受けました。一社員がほぼ全顧客の情報を持ち出せたことは、アクセス権限の管理や内部監視が機能していなかった証拠だと指摘されています。社内のリスク管理が形骸化していたのではないかとの疑念も強まっており、「クーパンのセキュリティシステムは全く機能していなかった」との厳しい論評も見られます。さらに、クーパンは本社を米国に置き事業は韓国で展開する特殊な経営構造ですが、この構造が経営トップの責任回避につながっているとの批判も噴出しました。創業者で取締役会議長のボム・キム氏（韓国系米国人）は議決権の約70%を握りながら、韓国国会の国政監査への出席要請を海外滞在を理由に拒否してきた経緯があり、今回も直接公の場に姿を見せない姿勢に「責任逃れだ」との声が上がっています。企業統治の甘さと情報保護意識の欠如が招いた人災との批判に対し、同社は重い課題を突きつけられています。

漏えいした情報の範囲は氏名・住所・電話番号・メールアドレスなど、決済情報は含まれず―クーパンが謝罪と再発防止策を公表

漏えいした個人情報とその範囲

調査の結果、流出した情報には顧客の氏名、メールアドレス、電話番号、自宅および配送先の住所、直近の注文履歴などが含まれていることが分かりました。一部にはマンションの共同玄関の暗証番号といったデリケートな情報も含まれていた可能性があります。クレジットカード番号や銀行口座などの決済関連情報、およびログイン用認証情報（パスワード等）は流出していないとクーパンは説明しています。実際、決済情報やログイン認証情報は漏えいリストに含まれていないことが確認されています。しかし、注文履歴や住所など生活に密接した個人データが最新の状態で流出したため、専門家は「現在の居住地や生活パターンまで特定可能な情報であり悪用のリスクが高い」と警告しています。

CEOが謝罪、再発防止策を発表

大規模流出の発覚を受け、クーパンは直ちに謝罪と対応策の公表に踏み切りました。パク・デジュン最高経営責任者（CEO）は11月30日付で「お客様にご不便とご心配をおかけしたことを深くお詫びします」とする声明を同社ウェブサイト上に発表し、顧客に対し重ねて謝罪しました。声明の中で同社は、決済情報や認証情報は流出していないことを強調しつつも、大規模な情報漏えいを招いた責任を認めています。またクーパンは再発防止策として、問題の不正アクセス経路を遮断し、内部監視体制を強化するとともに、著名な外部セキュリティ企業の専門家を招いてシステムの安全性を点検すると発表しました。さらに法執行機関および規制当局と全面的に協力して調査に当たっていることも明らかにしています。同社は「お客様の信頼回復に向けてあらゆる措置を講じる」と表明しましたが、流出範囲の初期報告を一旦「4,500件」と過小に見積もっていた点については批判が残っており、情報管理体制の抜本的な見直しが求められています。

韓国政府・警察がクーパンの大規模情報流出事件を徹底調査、李在明大統領が企業の責任追及と罰則強化の法整備を指示

政府と警察が総力を挙げて調査

クーパンの大規模情報流出に対し、韓国政府と警察当局は徹底した調査を進めています。緊急対策会議を主宰した科学技術情報通信部は「攻撃者がクーパンのサーバー認証の脆弱性を悪用し、数千万件の顧客情報に正常なログインなしでアクセスした」との中間分析結果を公表しました。現在、官民合同の特別調査団が構成され、個人情報保護委員会やKISAなど関係機関が流出経緯や被害範囲の詳細な調査を進めています。警察もサーバー記録など関連資料を任意提出の形で確保し、海外の関与も視野に入れた国際捜査を展開中です。さらに、国会でも本件に関する質疑や証人喚問の要求が相次いでおり、行政・司法を挙げた解明作業が行われています。韓国大統領府の姜勲植（カン・フンシク）大統領秘書室長は「2021年以降相次ぐ重大情報流出事件から、韓国の個人情報保護体制に構造的な抜け穴があることが示された」と述べており、本事件を教訓にデータ保護制度全般の見直しを図る構えです。

李在明大統領が罰則強化と責任追及を指示

李在明（イ・ジェミョン）大統領も本件を重く受け止め、企業の責任追及と再発防止策の強化を指示しました。12月2日の閣議で李大統領は「個人情報保護への無関心という悪習を断ち切らねばならない。5カ月間も漏えいに気付かなかったことは驚くべきことであり、責任者を速やかに特定し厳正に責任を問うべきだ」と述べています。さらに、大統領は同様の事件で企業に科す罰則や懲罰的損害賠償制度の強化を検討するよう指示しました。現行の個人情報保護法では、安全措置義務を怠った企業に対し最大で年間売上高の3%の課徴金が科され得るとされていますが、今回のケースではその上限（クーパンの場合1兆ウォン超とも試算）にも匹敵する前例のない巨額制裁が議論されています。李大統領は「AI・デジタル時代において個人情報は核心的資産であり、軽視する企業風土を一新しなければならない」と強調しており、政府は早急に法改正を含む再発防止策の整備に取り組む方針です。なお、国会ではクーパン創業者のボム・キム氏に対し公の場での説明と謝罪を求める声も出ており、企業トップの責任の所在についても議論が進められています。

韓国国内でクーパン情報流出へのユーザー不信感が拡大、集団訴訟の動きや「国民的プラットフォーム」への信頼失墜

利用者の不信感と「脱クーパン」の拡大

この情報流出事件により、韓国国内のクーパン利用者の間で大きな不信感が広がっています。顧客情報の管理に失望したユーザーが次々とサービスから離れ始め、「脱パン」（クーパン退会）や他社サービスへの乗り換えを決断する動きが加速しました。実際、会社員や主婦など長年クーパンを日常的に利用してきたユーザーが相次いで退会を表明しています。その理由として「これだけの情報流出が起きたのに、会社が適切な後続対応や補償を示さないことに失望した」、「自宅住所や共同玄関の暗証番号まで漏れたようで心配だ」といった声が挙がっています。またオンライン上のコミュニティには「退会しました」「代わりのショッピングサイトを教えてほしい」など退会報告や他サービスを模索する投稿が相次ぎ、利用者離れの広がりが顕著となっています。SNSでも「もうクーパンは使えない」「会員情報を全部消して退会した」といった書き込みが多くみられ、今回の事件がクーパンへの信頼を根底から揺さぶっている状況です。

集団訴訟の動きと「国民的プラットフォーム」への信頼失墜

被害を受けた消費者たちは法的措置にも動き始めました。12月1日にはクーパン利用者14名がソウル中央地方法院に訴状を提出し、1人あたり20万ウォン（約2万1千円）の損害賠償を求める初の集団訴訟を起こしました。さらにインターネット上では複数の「クーパン集団訴訟準備」コミュニティが立ち上がり、その参加希望者数は合計で20万人を突破しています。法曹界によれば、流出件数が桁違いに多いため、今回の訴訟は韓国史上最大規模の集団訴訟に発展する可能性が高いと見られています。既に加入者への補償額の目安として、今年別の情報流出事件（SKテレコム）での調停勧告額30万ウォンを参考に20万ウォンで提訴する例が出ており、今後参加者が増えれば企業への賠償請求総額は莫大なものとなりそうです。
一方、本件は韓国社会における「国民的プラットフォーム」への信頼をも揺るがしています。クーパンは韓国の日常生活に深く浸透したサービスであり、「韓国のAmazon」とも称される存在です。そのクーパンで全顧客情報が流出したことは「国民のプラットフォームが国民を裏切った」との批判を招き、SNS上でも「全国民が被害者だ」「企業への信頼が根本から崩れた」といった声が噴出しました。与党議員らも声明で「単なる技術上の問題ではなく、国民の信頼を揺るがす重大事件だ」と非難しており、社会的インフラとも言えるプラットフォーム企業の責任の重さが改めて問われています。今回の事件を契機に、「情報保護認証制度が形骸化しているのではないか」との指摘も出ており、企業の情報セキュリティ体制やガバナンスへの国民的な不信が高まっています。

流出情報悪用によるフィッシング詐欺被害への懸念が広がり、関係機関が日本在住のクーパン利用者にも注意喚起

フィッシング詐欺など二次被害への懸念

大量の個人情報流出を受け、その悪用によるフィッシング詐欺やその他の二次被害への懸念も急速に広がっています。漏えいした氏名・連絡先・住所・注文履歴などの情報は、詐欺師にとって絶好の標的データとなり得ます。実際、配送に関する偽メールやSMS、電話を使ったフィッシング詐欺への警戒が呼びかけられています。韓国政府は緊急会議後、「身に覚えのない宅配便の不在通知メールやSMS内のリンクは決してクリックしないこと」「不審な電話には応じないこと」といった注意喚起を国民に対して行いました。クーパンは生活必需品のロケット配送サービスで有名なだけに、「荷物が届いていない」「再配達の手続きをしてください」などと装った詐欺メッセージが急増する恐れがあります。また、流出データに自宅の玄関暗証番号まで含まれていた場合、ストーカーや空き巣など物理的な犯罪に悪用される危険性も指摘されています。関係当局は被害者に対しアカウント乗っ取りや成りすましに注意するよう呼び掛けるとともに、疑わしい連絡を受けた場合はすぐに通報するよう促しています。

日本在住の利用者にも広がる警戒

クーパンの情報流出事件への警戒と不信感は、日本においても広がりを見せています。クーパンは日本と台湾でもサービスを展開しており、幸い現時点で日本・台湾の顧客データが影響を受けた形跡はないとされています。しかし、韓国国内の流出被害があまりに甚大であるため、日本在住でクーパンを利用する人々にも注意喚起がなされています。日本のメディアも本件を大きく報道し、ソフトバンクグループが出資するクーパンへの不信感が日本国内でも高まっていると伝えています。日本の消費者庁や警察庁も、韓国の事件を踏まえて不審なメール・SMSへの警戒を呼びかけており、「海外のサービスであっても自分ごととしてセキュリティ意識を高めるように」と注意を促しています。実際、韓国に限らず世界中で個人情報漏えいに乗じたフィッシング詐欺が横行しており、在日韓国人や日本人利用者を装った攻撃も起こり得るためです。クーパン日本法人は「今回の韓国での漏えいで日本のユーザー情報は含まれていない」とコメントしていますが、利用者には万一不審な連絡が来た場合に個人情報を絶対に提供しないよう強く求めています。韓国発の巨大データ流出事件は、日本においても個人情報保護やサイバー犯罪への備えを改めて問い直す契機となっています。