Coupangの大規模な個人情報流出問題を巡り、国政調査で検証すべき主要論点が示された。国民の65%に相当する個人情報が、権限のない人物によって閲覧可能な状態に置かれていたとされ、内部統制の構造的な欠陥の有無が焦点となっている。

国会立法調査処は2日、「Coupang国政調査関連 個人情報流出争点」と題する報告書を公表した。報告書では、国政調査が実施された場合に重点的に点検すべき5つの争点を整理した。

報告書によると、厳格に管理されるべき社内関係者向けのトークン署名鍵が、担当者の退職後も無効化されず使用可能な状態だったという。立法調査処は、全社的な内部統制プロセスに構造的な欠陥がある可能性を示していると分析した。

そのうえで国政調査では、退職者のアクセス権限をリアルタイムで回収する手続きが整っていたか、検知・遮断の仕組みが適切に機能していたか、同様の不正アクセスが追加で発生する可能性がないかを集中的に確認すべきだとした。

事故対応を巡るCoupangの判断も批判の対象になっている。3370件超のアカウントで異常なアクセスが確認されたにもかかわらず、「流出」との表現を避け、限定的な通知にとどめた判断過程を明らかにする必要があると指摘した。

また、情報を流出させた人物が、現行会員の情報だけでなく、退会会員を含む保有情報にも大きな制約なくアクセスできた可能性も争点になる見通しだ。立法調査処は、Coupangの個人情報データベース（DB）の管理方式が適切だったかどうかを重点点検項目に挙げた。

捜査が進む中、Coupangが独自に流出関与者を特定し、自社主導でフォレンジック調査を行った経緯や妥当性についても検証が必要だとした。政府や捜査機関が、Coupangの社内調査結果と同じ原本資料を確保しているか確認すべきだとの指摘も盛り込んだ。

被害補償の方法を巡っても批判は強い。Coupangは系列サービスの利用を前提とした「購入利用券」の付与を選択したが、これを望まない利用者や、すでにサービスを退会した被害者に対して別途の補償計画があるかも点検すべきだと提言した。

立法調査処は「個人情報流出が日常化したとの認識が定着すれば、大規模流出の再発が構造的に容認されかねない」としたうえで、「これを断ち切る明確な対応が必要だ」と強調した。