どんなニュース?

韓国最大のECプラットフォーム・クーパン(Coupang)で、退職した元開発者が内部の認証署名キーを不正に保持し続け、2025年4月から11月の7ヶ月間にわたって会員情報に繰り返しアクセスしていたことが明らかになった。漏洩したのは3367万件以上の個人情報(氏名・メールアドレス・電話番号・配送先住所)で、韓国政府はこれを「国内Eコマース史上最悪の個人情報流出事件」と認定した。つまり、ハッカーが外から侵入したのではなく、「元社員が退職後も有効なままだったカギを持ち続けた」という内部構造の欠陥が引き起こした事件だ。

元記事・原文引用

元ネタGov’t calls Coupang breach of 33.7m records worst ever(The Korea Herald / 2026年2月10日)

“A former Coupang developer accessed over 33.67 million user records by forging internal authentication keys, with the attacker using automated tools to scrape sensitive data across multiple company pages.”

なぜ今、話題になっているの?

この事件が単なる「大規模漏洩」で終わらない理由は、「誰が・どうやって」という手口の構造にある。

犯行は外部からの不正侵入ではなく、元社員による内部不正だ。攻撃者は退職後も有効だった内部署名キーを使い、自動化スクリプトで7ヶ月間にわたって個人情報編集ページに反復アクセスした。配送先住所ページだけで1億4800万回アクセスされたという。

なぜこれが可能だったのか。クーパンは退職者のキーを失効・ローテーションさせる仕組みを持っておらず、認証情報が開発者のPCに残ったまま検証されていなかった。これは「技術的な高度さ」ではなく、認証管理という基礎的なセキュリティ運用の失敗だ。

さらに問題を深刻にしたのが、クーパン側の対応だ。韓国の情報通信法は事業者に24時間以内の漏洩報告を義務付けているが、クーパンは約2日遅れで報告。政府から最大3000万ウォン(約330万円)の罰金が科される見通しだ。また、その後の調査で別途16万5000件の追加アカウント漏洩も発覚し、「最悪」の規模はさらに膨らんだ。

Korea Heraldが同時期に報じた「なぜ韓国はハッキングされ続けるのか」という記事(KAIST教授・金容大氏の分析)でも、韓国企業の構造的問題が指摘されている。「古いシステムが増殖し、どのサーバーで何が動いているか把握できていない」「セキュリティ認証がコンプライアンスのボックスチェックになっている」——クーパン事件は、この構造的弱点が最悪の形で顕在化したケースだ。なお、外部攻撃型の被害も同時期に深刻化している。アメリカではConduentへのランサムウェア攻撃で約2500万人分のデータが流出し、政府外注先のセキュリティ水準が問われた。内部不正と外部攻撃——企業は両面からの脅威に同時に対峙することを迫られている。

日本企業・日本社会への影響は?

「他人事ではない」と思える理由が、日本には複数ある。

まず前例の存在。2014年に起きたベネッセ個人情報流出事件(3504万件)も、外部ハッカーではなく業務委託先の元社員による内部不正だった。手口の構造はクーパン事件と驚くほど似ている——アクセス権が退職後も有効なまま残っていたことが根本原因だ。

次にプラットフォームの規模。日本のEC事業者も、数千万規模の会員データを抱えている。楽天市場・Amazon Japan・Yahoo!ショッピングなど、国内最大手が同様の内部不正リスクを抱えていないとは言えない。特に退職者・業務委託者の認証情報管理は、日本企業においても課題として指摘され続けている領域だ。

さらに法制度の違いも注目点だ。日本の個人情報保護法は2022年改正で漏洩報告義務が強化されたが、報告期限は「速やかに(原則3〜5日以内)」とやや曖昧だ。韓国の24時間ルールより緩い分、遅延報告によるペナルティも限定的になる。クーパン事件は「報告が遅れると何が起きるか」の反面教師として、日本の企業コンプライアンス担当者にとっても参照価値が高い。

つまりこの事件の本質は、「退職者の認証情報を誰も管理していなかった」という、どこの会社でも起きうる穴が、韓国最大のECサイトで3367万件の漏洩を引き起こしたという話だ。規模の大きさよりも、構造の普遍性のほうが怖い。

まとめ

クーパン個人情報漏洩事件は「史上最悪」という言葉で語られるが、その本質は技術的に高度な攻撃ではない。退職者の署名キー管理、自動ログ検知、24時間報告義務の遵守——いずれも「できていて当然」のセキュリティ運用が、いずれも失敗していた。3367万件という数字は韓国総人口の約65%に相当する。各国もセキュリティ規制の強化を急いでおり、ベトナムでは2026年に個人情報保護法(PDPL)が施行され、企業に72時間以内の漏洩通報を義務付けた。ECプラットフォームが日常インフラになった現代において、内部不正リスクへの構造的対策は、企業の「格好よさ」ではなく「最低限の責務」として問われている。