個人情報保護委員会は、2025年11月にCoupangで発生した大規模な個人情報流出事故を巡り、同社に6246億8100万ウォンの課徴金と1680万ウォンの過料を科した。安全措置義務違反に加え、法的根拠のない個人情報収集も認定した。物流子会社のCoupang Fulfillment Servicesにも別途、2億4800万ウォンの課徴金を科した。

課徴金の内訳は、個人情報流出に関する安全措置義務違反が4235億7500万ウォン、他社サイト上でのオンライン活動情報の無断収集が2011億600万ウォン。売上高に対する課徴金比率は2%となった。

課徴金は、韓国Coupangの開示売上高を基準に算定した。現行の個人情報保護法では、課徴金の上限は売上高の3%に設定されている。

9月11日からは懲罰的課徴金制度が施行される。1000万人以上の個人情報流出や、重大かつ反復的な事故、是正命令の不履行に起因する事故などの要件に該当した場合、売上高の最大10%まで課徴金を科すことができる。今回の事案は制度施行前に当たるため、Coupangには上限3%が適用された。

委員会によると、流出案件については事故発生前3年間の平均売上高に当たる約30兆ウォンを、他社オンライン活動情報の無断収集については約36兆ウォンを、それぞれ算定基準とした。Coupang Eats、Coupang Play、企業間取引（B2B）など、違反行為と無関係な独立サービスの売上高は除外し、電子商取引関連の売上高は全額を算入したとしている。

ブリーフィングに臨んだソン・ギョンヒ委員長は、安全措置義務違反として主に2点を指摘した。1つは認証鍵の管理体制だ。

ソン委員長は「Coupangは認証用の予備署名鍵を平文で閲覧できる状態にしていた。この鍵にアクセス可能だった元従業員が退社した後も、鍵を直ちに更新または廃棄しなかった」と述べた。

もう1つは侵入検知体制の不備だ。ソン委員長は「個人情報を含むページと一般の商品ページに同一の異常トラフィック閾値を適用していたため、攻撃期間中の急激なトラフィック増加を検知できなかった」と説明した。

委員会は、他社サイト上でのオンライン活動情報の無断収集についても、課徴金算定で重く反映したとしている。

委員会によると、Coupangはアフィリエイトマーケティングプログラム「Coupang Partners」を運営し、約15万のWebサイトやアプリに広告ツールを配布していた。Coupang会員がこれらのサイトにアクセスすると、クリックの有無にかかわらず、訪問時刻やURLなどの情報が会員識別番号にひも付けられ、Coupangのデータベースに自動保存されていたという。

Coupangは意図した収集ではなかったと説明したが、委員会は意図的な収集と判断した。

一方で、Coupangが流出被害者向けの補償プログラムを運営した点については、処分の減軽要素として一部反映したと付け加えた。

委員会は、Coupangに対する別途の告発手続きも進める方針だ。調査着手直後、接続ログなど証拠資料の保全を命じたにもかかわらず、Coupangが約5カ月分のアプリ接続ログを手動で削除したほか、6カ月経過後のログを自動削除する内部方針も停止しなかったためだ。委員会はこれを、調査を意図的に妨害した行為に当たると判断し、法的要件に基づいて告発手続きを進めるとしている。

委員会の発表後、Coupangは声明を出し、個人情報流出事故について謝罪した。その一方で、「二次被害防止のための先制的な措置と、明確な事実関係に基づく説明が、個人情報保護委員会の決定に十分反映されなかった点は遺憾だ」との見解を示した。

またCoupangは、「Coupang Partnersは、数千人規模の国内クリエイター、ブロガー、小規模事業者が商品を推薦して収益を得るプログラムで、他のグローバル企業と同じ提携モデルを採用し、顧客データを保護しながら適法に運営している」と説明。その上で、「個人情報保護委員会から正式な議決書を受領した後、法的手続きを通じて事実関係が明確に究明されることを期待する」と述べた。