Coupangの個人情報漏えいを巡る処分手続きが最終局面に入った。業界関係者によると、個人情報保護委員会は4月上旬、個人情報保護法違反の内容と予定処分を記した事前通知書を同社に送付した。現在は、Coupangが提出した意見書の審査が進められており、早ければ6月中にも処分水準が固まるとの見方が強まっている。

個人情報保護委員会の調査・処分関連規定では、調査官は調査結果報告書に基づき、予定処分の内容を当事者に事前通知し、14日以上の意見提出期間を設けなければならない。事前通知書には、処分理由となる事実関係、予定処分の内容、適用法令、意見提出期限などが記載される。一方、具体的な過徴金額は事前通知書には記されないという。

Coupangは事前通知書の受領後、意見提出期限の延長を要請し、個人情報保護委員会はこれを認めた。その後に提出された意見書には、同委員会の処分方針全般に異議を唱える内容が盛り込まれたとされる。今後の手続きは、意見書の審査を経て全体会議に付議し、最終判断を下す流れとなる。

意見書の分量が多く、審査に時間を要しているため、5月中の結論は難しいとみられる。個人情報保護委員会が上半期内の事案処理を目指しているとも伝えられており、6月中の判断観測が強まっている。

被害規模を踏まえると、過去最大級の過徴金が科される可能性もある。科学技術情報通信部の官民合同調査団によれば、Coupangの「マイ情報修正ページ」から、利用者の氏名とメールアドレスを含む3367万3817件の個人情報漏えいが確認された。現行の個人情報保護法では、漏えい事故が発生した場合、直前3年間の平均売上高の最大3%まで過徴金を科すことができる。

なお、故意または重過失による大規模な個人情報漏えいに対し、総売上高の最大10%まで過徴金を科す「懲罰的過徴金特例」を盛り込んだ個人情報保護法改正案は国会を通過した。ただ、施行は9月の予定で、今回のCoupangの件には適用されない。

親会社のCoupang Incの2025年の売上高は約49兆ウォン（約5兆3900億円）で、これに3%を単純適用すると、法定上限の過徴金は約1兆5000億ウォン（約1650億円）となる。ただ、違反行為と直接関係のない売上高は算定対象から除外され、告示に基づく減免要素も反映されるため、実際の過徴金がこの水準に達する可能性は低いとみられる。

個人情報保護委員会がこれまでに科した過去最大の過徴金は、昨年のSK TelecomのUSIM情報漏えい事故で科された約1348億ウォン（約148億円）だった。