Coupangの個人情報漏えいを巡り、国会で二次被害が既に発生しているとの指摘が出た。2日の国会科学技術情報放送通信委員会の懸案質疑では、会社側が事故の性格を過小に見せているとの批判に加え、アクセス権限の管理や多要素認証（MFA）の運用、ISMS-P認証体制の妥当性も論点となった。

チョグク革新党のイ・ヘミン議員は質疑で、「すでに二次被害が発生している」と述べ、Coupangの公式釈明や国民向け説明が実態を矮小化していると強く批判した。

イ議員は、被害者コミュニティで共有された事例のスクリーンショットを提示し、多数の利用者アカウントで、見覚えのない端末やIPアドレスからのログイン試行や接続記録が表示されている点を追及した。

その上で、「アクセス記録だけで断定はしない」としながらも、「Coupangの顧客の多くが同じ現象を経験しているのであれば、別の次元の問題だ」と述べ、構造的な侵害の可能性を指摘した。さらに、海外番号を使ったフィッシング電話の流入も確認されたとして、「これはすでに二次被害が起きているということだ」と強調した。

また、Coupangが告知で繰り返し用いた「露出」という表現についても、「国民3000万人の個人情報が流出したのに、Coupangは『露出』という表現で事件を矮小化している」と批判した。事故当日に「侵害申告」を行っていた事実を踏まえ、「社内では明確に侵害事故と認識しながら、対外的には『露出』と説明している」と問題視した。

申告期限についても、24時間・72時間の期限内に届け出たことを「形式的な順守にすぎない」と指摘した。「法の趣旨は即時申告にあるのに、Coupangの対応は期限を満たしただけで実効性がない」と述べ、会社側の初動対応を批判した。

技術面と制度面の課題も俎上に載った。イ議員は、AWSの韓国リージョンを利用するCoupangが、APIキーや認証トークンなど主要なアクセス権限を適切に管理できていなかったと指摘。内部関係者が長期間にわたって情報にアクセスしていた点に触れ、「Coupangは人的管理に問題があった」と述べた。

とりわけ、多要素認証（MFA）を導入していながら、退職社員による異常アクセスを検知・遮断できなかった点を問題視した。「理論上は遮断できたはずなのに、それができなかったのは、何かを隠していると受け取られても仕方がない」と批判した。

Coupangが保有するISMS-P認証体制についても、「アクセスコントロール基準からみて、情報保護チームではない開発者が認証キーにアクセスできるはずがない」と指摘。「CoupangはISMS-P基準を満たしていないことを自ら認めるべきだ」と迫った。データの暗号化方式はいくつもあるにもかかわらず、ここまで復元可能な形で出回ったのは、経営陣の意思決定を含む問題だとして、社内統制の失敗は構造的なものだと主張した。

制度改正の必要性にも言及した。イ議員は、企業の帰責が明確な事故については、調査団の運営費用を全額企業に負担させるべきだとし、懲罰的損害賠償制度の強化や消費者裁判所の新設に関する法案を既に提出したと説明した。そのうえで、「Coupangの経営陣が目を覚ます水準の処罰が必要だ」と強調した。