Coupangは2月10日、個人情報流出の規模を巡る官民合同調査団の発表を受け、元従業員による不適切なアクセスがあったことは認めた一方、実際に保存されたデータは限定的で、外部流出や二次被害の証拠は確認されていないとの見解を示した。あわせて、報告書に記載された共用玄関コードの「5万件」という数値について、「実際のアクセスは2609件に限られる」と反論した。

同社は同日、「官民合同調査団の2025年11月データ事案調査発表に対する立場」とする声明を公表した。その中で、昨年、中国籍の元従業員が3300万件超の顧客アカウント情報に不適切にアクセスし、約3000件の情報を保存したと明らかにした。

また、国内在住だったこの元従業員が、自作ソフトウェアを使って約1億4000万回の自動照会を実行したことも認めた。一方で、保存後に第三者が追加で閲覧・利用した兆候は確認されていないと説明した。

声明では、約1億4000万回の自動照会、3300万件超のユーザーデータへのアクセス、共用玄関コードを含むデータへのアクセスは2609件、保存約3000件、不正利用の確認なし、という点を強調した。

同社によると、調査の過程で規制当局と共有してきたフォレンジック調査の結果から、元従業員が情報アクセスに使用した機器はすべて回収済みだという。確保した証拠は、本人が「約3000件のアカウント情報を保存した後に削除した」とする宣誓供述と一致するとしている。

さらに、昨年12月23日以降は、官民合同調査団と個人情報保護委員会などが回収機器を保有しており、その機器内に韓国の利用者の個人情報が保存されていないことも、フォレンジック調査で当局が把握していると説明した。

元従業員がアクセスした情報の範囲については、氏名、メールアドレス、電話番号、配送先住所、限定的な注文履歴、一部の共用玄関コードにとどまるとした。決済情報、金融情報、ユーザーIDやパスワード、政府発行の身分証明書など、機微性の高い情報にはアクセスしていないと主張している。

この点について同社は、クラウドプラットフォーム事業者Akamaiのセキュリティログでも確認されており、当該ログは昨年12月8日に官民合同調査団と個人情報保護委員会へ提出したと説明した。

その上で、官民合同調査団が10日に公表した報告書には、共用玄関コードについて「5万件の照会が実行された」と記載されている一方、実際のアクセスが2609件に限られることを示すAkamaiのログ分析結果が反映されていないと主張した。

二次被害についても、現時点で確認されていないと強調した。同社は「独立系セキュリティ企業CNSの分析では、流出発生時点から現在までの監視結果として、二次被害に関連するダークウェブ上の活動は1件も確認されていない」としている。

また、複数の独立系インターネットセキュリティ企業から、ダークウェブ、ディープウェブ、Telegram、中国のメッセンジャープラットフォームなどに対する継続監視の結果を週次で受け取っていると明らかにした。

同社は「調査の全過程で、政府に関連する分析結果を提供してきた。今後も継続的に監視し、更新情報を提供する」としている。

一方で、二次被害を巡っては、警察が昨年12月15日に「二次被害の有無を断定しにくい」と言及したことに疑問を示した。Coupangによると、警察は同5日時点では、モニタリング結果を踏まえ、配送先情報や注文情報など流出した情報の種類が悪用されたとみられる二次被害の疑い事例は確認されていないとしていた。その後、見解が変わった理由は明らかではないとしている。

同社は「その発言から約2カ月が経過した現在まで、警察が確認し公表した二次被害の事例はない」とも述べた。

Coupangは「今後も政府の調査に全面的に協力し、追加被害の防止に必要なあらゆる措置を講じるとともに、再発防止に向けた保護体制も強化する」とした。

その上で「すべての事実が明確になることを望んでいる。今回の件で懸念を招いたことを深く遺憾に思い、影響を受けたすべての方々におわびする」とコメントした。