韓国の個人情報保護委員会は木曜日、大規模なデータ流出を理由にCoupang Corpに対し、過去最高額となる6247億ウォンの制裁金を科した [1]。
今回の制裁は、世界で最もデジタル化が進んだ経済圏の一つである韓国において、プライバシー保護の執行が強化されていることを示している。規制当局は、この種のものとしては最大規模の罰金を科すことで、電子商取引の巨人が顧客データのセキュリティを二の次にしてはならないという姿勢を強調した。
制裁金の総額は約4億1000万米ドルにのぼる [1]。委員会によると、この罰金は主に2つの構成要素に分かれており、個人情報の流出に対して2億7000万ドル、オンラインユーザー活動の不正追跡に対して1億3000万ドルとなっている [3]。
当局者は、ソウルの政府庁舎で開催された記者会見でこの決定を発表した [2]。調査により、この流出によって3700万人以上の顧客の個人データが侵害されたことが明らかになった [3]。
データ流出に加え、規制当局はCoupangがユーザーの不正追跡を行っていたことを突き止めた。この行為は、適切な同意や法的根拠なしにオンライン活動を監視しており、国内のプライバシー法に違反している [1]。
今回の委員会の措置は、韓国がデジタル監視やデータの不適切管理に対抗するため、規制枠組みの更新を続けている中で行われた。数千万人の市民に影響を与えた流出の規模により、Coupangは政府と国民の両方から厳しい監視の目にさらされている [2]。
Coupangは罰金の詳細な内訳について、まだ詳細な公式回答を出していないが、委員会は、この記録的な金額が過失の深刻さと影響を受けたユーザーの数に基づいていると述べた [3]。
“過去最高額の制裁金は、3700万人以上の顧客に影響したデータ流出を受けて科された。”
今回の執行措置は、韓国におけるデータ管理の過失に対する金銭的罰則が、より攻撃的な方向へシフトしたことを意味する。特定のセキュリティ上の失敗(流出)と、組織的なビジネス慣行(不正追跡)の両方を標的にすることで、PIPC(個人情報保護委員会)は、事故に対する懲罰的損害賠償と意図的なプライバシー侵害への罰金を組み合わせるという前例を作った。これにより、地域の他のテック企業も、同様の記録的な罰金を避けるために、データ収集の同意モデルを抜本的に見直さざるを得なくなる可能性がある。
