📊 3行サマリー

  • 韓国個人情報保護委員会(PIPC)が、ECモール大手クーパンの3,370万人分情報漏洩への調査を完了。2026年6月に最終処分を決定する見込み。
  • 罰金は理論上最大1.5兆ウォン(約1,700億円)規模。前年のSKテレコムへの1,348億ウォンと比べ約11倍に達する可能性がある。
  • クーパンは2023年に日本市場から撤退済み。それでも内部犯行が5カ月放置された構造は楽天・Amazonにも示唆があり、日本の個人情報保護法では同規模の罰金は不可能。

個人情報保護委員会、6月にクーパン処分を最終決定へ

韓国の個人情報保護委員会(PIPC)が、ECモール大手クーパンの3,370万人分に及ぶ個人情報漏洩事件への調査を終え、2026年6月にも最終処分を決定する見通しだ。The Korea Timesが2026年5月12日に報じた。漏洩した情報は氏名・電話番号・配達先住所・購入履歴と幅広く、韓国の総人口の約3分の2にあたる規模になる。現地では「過去最大級のデータ事故」と位置付けられている。

The Korea Times:「過去最高1.5兆ウォン罰金が現実味」

元ネタPrivacy watchdog wraps up probe into Coupang data leak, to decide penalty as early as June(The Korea Times / 2026-05-12)

Korea's data protection watchdog has concluded its probe into a massive data leak at e-commerce giant Coupang, with its final decision on the level of punishment expected to be made next month at the earliest.

韓国の個人情報保護法では、情報漏洩を起こした事業者に対し「過去3年間の平均年商の最大3%」を上限とする制裁金を科せる仕組みになっている。クーパンの2025年売上は親会社Coupang Inc.(米Nasdaq上場)の連結で約49兆ウォン(322億ドル/約4.7兆円)に達するため、理論上の上限は約1.5兆ウォン(約1,700億円)規模となる。これはPIPCがこれまで科してきた最高額(2025年4月のSKテレコム情報漏洩に対する1,348億ウォン)のおよそ11倍にあたる。罰金が満額に近づけば、韓国のデータ規制が一気にGDPR並みの実効性を持つ。

2025年6月から5カ月放置、内部犯行で3,370万人分が海外サーバーに流出した構造

事件の発端は、退職予定の元従業員によるシステム不正アクセスだ。開始は2025年6月24日、検知・公表は2025年11月8日。5カ月近く異常が放置された格好で、海外サーバーを経由してデータが抜き取られていた点も特徴になる。KISA(韓国インターネット振興院)と政府の合同調査は、原因を「内部関係者によるアクセス権限の悪用」「権限管理の不備」「海外サーバーへの脱出ルート」の3点に整理した。クーパンは2025年12月に被害者向けで11.7億ドル(約1.7兆ウォン)の補償基金を発表したが、PIPCの行政制裁とは別枠だ。補償と罰金の合計がいくらに膨らむかは、6月の処分を待つしかない。

韓国メディアの論調:「企業甘やかし時代の終わり」

韓国主要紙の論調は厳しい。中央日報・ハンギョレは社説で「PIPCが歴代最高罰金を回避するなら、データ規制は形だけになる」と書き、過去最大級の処分を求めている。Korea Herald・Korea Tech Deskは、米国機関投資家(カルパース系を含む)がクーパン株の急落を理由に韓国政府を相手取った行政訴訟を2026年2月に提起した点を取り上げ、「外資の信頼が試されている」と指摘した。SNSでは「3,370万人分という数字は韓国総人口の3分の2、もはや特定の被害者ではなく国全体の問題」(Naver Cafe)という書き込みが拡散し、罰金額の決定をニュースの中心に据えるトーンが続いている。

日本撤退済みでも他人事ではない、楽天・Amazonの「内部犯行ガード」を問う

クーパンは2023年3月にロケットアロー(生鮮配達)・クーパンイーツ・クーパン・パーソナルショッパーの日本事業をすべて撤退済みだ。日本国内に直接の被害者はほぼいない。それでも「内部関係者が退職前に5カ月間アクセスし続けた」という構造は、楽天・Amazon・Yahoo!ショッピングといった日本の大手ECにとっても見過ごせない。日本の個人情報保護法では、漏洩時の課徴金制度自体が2026年5月時点で存在せず、最大でも勧告・命令違反時の1億円以下の罰金にとどまる。韓国の上限「年商の3%」と比べると、規模感では2桁違う。日本の個人情報保護委員会は2025年から「重大事故の課徴金導入」を継続審議中で、クーパン事件の処分結果は日本側の制度設計にもそのまま材料になる。

PIPC新体制の試金石、過去最大の11倍が示すデータ規制の新フェーズ

6月に下される処分は、PIPC会長の高学秀(コ・ハクス)が2025年12月に就任して以降、最初の「巨額制裁ケース」になる。これまでの韓国は事業規模が大きいほど罰金が頭打ちになる構造だったが、年商連動方式での上限引き上げが現実になれば、データ規制の主導権は欧州GDPRから韓国に移る格好だ。クーパンが行政訴訟で争う可能性は高く、最終確定まで数年は要するが、6月の初動だけでもアジアのデータガバナンス地図を塗り替える材料になる。日本企業はクーパン事件を「韓国の話」として片付けず、内部犯行・退職者管理・海外サーバー監視(内部犯行・退職者管理・海外サーバー監視の3点)の再点検を急ぐべき局面に入っている。