📝 どんなニュース?
韓国の大手結婚相談所「Duo(듀오)」で会員42万7464人の個人情報が外部流出していたことが、2026年4月23日にわかりました。流出したのは氏名・住民登録番号・電話番号といった基本情報だけではありません。身長・体重・血液型・宗教・婚姻歴・家族関係・学校・職場・資産という、婚活サービス特有の機微データまで含まれます。原因は2025年1月に直員PCがマルウェアに感染したこと。Duoはアクセス失敗回数の制限を設けず、住民番号も法的根拠なく保管しており、韓国・個人情報保護委員会は過徴金11億9700万ウォン(約1.3億円)を科しました。「韓国で毎月起きるサイバー事件」のなかでも、扱う情報の機微性が群を抜く事例です。
📰 元記事・原文引用
元ネタ:주민번호·결혼이력·체중까지‥결정사 ‘듀오’ 회원 43만 명 개인정보 유출(MBC 뉴스 / 2026年4月23日)
결혼정보회사 ‘듀오’에서 회원 43만 명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 유출됐습니다.
(訳:結婚情報会社「Duo」で会員43万人の身体条件・婚姻歴・職業・学歴・資産といった機微なプロフィール情報が流出した。)
🔥 なぜ今、話題になっているの?
事件の核心は「漏洩そのもの」ではなく「漏洩を許した構造」にあります。Duoが個人情報保護委員会から指摘された違反は、いずれもサイバーセキュリティの基礎中の基礎を放置したものでした。
第一に、認証失敗回数の制限を設けていなかったこと。これは数字さえ総当たりで試せば誰でも会員DBに入れる状態を意味します。第二に、住民登録番号を法的根拠なく保管し、保有期間が過ぎた退会会員のデータも破棄せず残していたこと。韓国の改正個人情報保護法(PIPA)は住民番号の収集自体を厳しく制限していますが、Duoはそのルール以前の段階で逸脱していました。第三に、漏洩を認知した後も72時間以内の申告義務を守らず、被害会員への通知も怠ったこと。危機対応のガバナンスまで抜け落ちていたわけです。
背景には、韓国で2025年から続く「毎月一件」級のメガ漏洩ラッシュがあります。SKテレコム2300万件、クーパン3367万件、国民健康保険公団、通信3社侵害。大企業が次々と落ちていくなかで、当局はPIPA改正で「売上の最大10%没収」という欧州GDPR並みの罰則を導入しました。今回のDuoへの12億ウォンも、その新しい執行モードを示す一発です。同じ国の同じ業種で来年同じことが起きれば、罰金は数十億〜数百億ウォンに跳ね上がる可能性があります。つまり今回のニュースは「結婚相談所が漏れた」話ではなく、「韓国当局が機微情報業界に本気で殴り始めた」話です。
🇯🇵 日本の結婚相談所業界への教訓は?
日本にも楽天オーネット、IBJ、パートナーエージェント、ツヴァイなど、Duoと同じく身体情報・年収・宗教・家族構成といった機微情報を大量に保持する結婚相談所が複数あります。会員数も累計で十数万から数十万規模に達し、構造的にはDuoと同じリスクを抱えていると考えていい状況です。
違いは規制と「事故ったときの代償」です。日本の個人情報保護委員会も2022年改正で漏洩時の本人通知義務と委員会報告義務を法定しましたが、課徴金制度はまだ導入されていません。Pマークや ISMS の認証取得は普及しているものの、認証はあくまで「制度上は対策済み」を示すだけ。Duoのように「認証ロック未設定」という基本ミスを防ぐ実効性は、結局のところ事業者の運用次第です。
もうひとつ、日本の結婚相談所業界には連盟(IBJ・BIU・JBA・NNRなど)を経由して会員データを他社と相互参照する仕組みがあります。一社が侵害されると芋づる式に他社の会員情報も危険に晒される、韓国にはない構造的弱点です。Duo事件が日本に投げかけているのは「自社の対策」だけでなく、「連盟全体としてのサイバーリスク管理」をどう設計するかという問いだと思います。
まとめ
Duo漏洩事件は、機微情報を扱う業界における「認証ロック」「データ破棄」「インシデント報告」という基礎ガバナンスの欠如が、12億ウォンの制裁という形で可視化された一件でした。韓国当局は明らかに「メガ漏洩には課徴金で報いる」モードに切り替えています。日本の結婚相談所業界も、「Pマーク取得で安心」という時代の終わりを意識せざるを得ないでしょう。Duoや日本の結婚相談所の会員であれば、自分の住民番号・パスワード・連絡先が他社と相互流通している可能性を一度棚卸ししておいた方がいい、と個人的には思います。
