「韓国のAmazon」クーパン、3,367万件の個人情報漏洩に史上最大の課徴金6,247億ウォン（約660億円）を命令|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月16日更新日時: 2026年06月16日

2026年6月11日、韓国の個人情報保護委員会（PIPC）は、韓国最大のEC企業クーパン（Coupang, Inc.・NYSE：CPNG）に対し6,247億ウォン（約660億円）の課徴金支払いを命じる決定を公表しました（日本経済新聞・Bloomberg Japan、同日報告）。これは韓国史上最大のプライバシー関連制裁となります。制裁の背景にあるのは2025年11月29日に公表された大規模な個人情報漏洩事案で、その規模は3,367万3,817件——韓国の総人口（約5,100万人）の約65%に相当します。

今回の事案が他の情報漏洩事件と決定的に異なる点は、韓国政府の官民合同調査団が「原因は高度なサイバー攻撃ではなく経営上の管理不備にある」と結論付けたことです。具体的には、クーパンを退職した元中国人従業員の認証キーが無効化されないまま放置されており、この元従業員が海外から約5か月間にわたって顧客の「マイ情報」修正ページ経由でデータにアクセスし続けていたことが判明しています。

被害の発覚後、韓国のCEOが辞任し、米国では投資家による証券集団訴訟が提起され、さらに米国上場企業に対する韓国当局の制裁という構図がソフトバンクグループ（23.9%出資）も絡む外交問題にまで発展しました。なお、クーパンが日本で展開するフードデリバリーサービス「Rocket Now」は今回の被害対象外と確認されています。本記事では事案の全体像・漏洩の経緯・「管理不備」という認定の意味・課徴金の算定根拠・日本企業への含意を解説します。

サマリー

2026年6月11日、韓国個人情報保護委員会（PIPC）がクーパンに6,247億ウォン（約660億円）の課徴金を命令——韓国史上最大のプライバシー関連制裁
漏洩件数：3,367万3,817件（氏名＋メールアドレス）——韓国人口の約65%に相当
侵害期間：2025年4月14日〜11月8日（官民合同調査団の結論）または2025年6月24日以降（クーパン自社調査）——約5か月間気付かず
原因（政府認定）：高度なサイバー攻撃ではなく経営上の管理不備——退職した元中国人従業員の認証キーを無効化しないまま放置。元従業員は「マイ情報」修正ページ経由でデータを持ち出し
漏洩した情報：氏名・メールアドレス。決済情報・ログイン認証情報は漏洩していない（クーパン確認）
発覚後の影響：クーパン韓国CEO（朴大俊氏）が2025年12月10日に辞任。米国でHagens Bermanらによる証券集団訴訟が提起（2025年5月7日〜12月16日を対象期間とする投資家被害）。市場価値が80億ドル以上消失。株価は2026年に入って35%下落
補償計画：クーパンは1.685兆ウォン（約1,200億円）規模の顧客信頼回復計画を公表
外交問題：米国上場企業への韓国当局の大型制裁として米韓間の外交的摩擦に発展（Bloomberg）
日本への影響：日本での「Rocket Now」は今回の被害対象外と確認済み。ただしソフトバンクグループが23.9%を保有

1 事案の全体像—5か月間気付かれなかった侵害の経緯
- 1.1 侵害の開始から発覚まで
- 1.2 攻撃者と手口
2 「管理不備」という認定の意味—「攻撃された側」から「過失がある側」へ
3 波及影響—CEO辞任・証券訴訟・外交問題
4 ソフトバンクへの影響と日本への関連
5 日本企業・情報システム担当者への示唆
6 FAQ
7 参考情報

事案の全体像—5か月間気付かれなかった侵害の経緯

侵害の開始から発覚まで

クーパンが公表した内容によれば、「海外サーバーを経由した個人情報への不正アクセスは2025年6月24日に開始されたと考えられる」としており、2025年11月18日に同社がこれを発見するまで約5か月にわたって進行していました。一方、韓国科学技術情報通信部（2026年2月）が公表した官民合同調査団の結果では「2025年4月14日〜11月8日」の間の侵害と認定しており、侵害の開始時期については両者の間にやや差異があります。いずれにせよ、約5か月から7か月にわたって侵害が気付かれなかったという事実は変わりません。

クーパンは発見から11日後の2025年11月29日に公表しました。クーパンは「脅威の可視性（threat visibility）」と「管理上のセーフガード（administrative safeguards）」を投資家向けに強調していましたが、実際にはこの間、社内の監視システムが侵害を一度も検知できなかったとされています（米国証券訴訟での主張）。

攻撃者と手口

調査の結果、退職後も有効なまま放置されていた認証キーを使った元従業員によって侵害が行われたとされています。

警察の捜査では、現在海外にいる元中国人クーパン従業員が少なくとも1名の容疑者として特定されており、退職後も認証キーが無効化されなかったシステム管理上の欠陥が侵害の直接の原因となりました。

官民合同調査団が結論付けた「経営上の管理不備」とは、エンタープライズセキュリティの基本原則の一つである「退職者アカウントの即時無効化」が徹底されていなかったことを指します。韓国科学技術部の裴景勲（배경훈）大臣は攻撃者が「会社のサーバーの認証上の脆弱性を悪用した」と説明しています。

「管理不備」という認定の意味—「攻撃された側」から「過失がある側」へ

今回の韓国個人情報保護委員会の課徴金命令において最も重要な法的・経営的な論点は、「高度な外部攻撃の被害者」としての企業責任と「管理上の過失による個人情報保護義務違反」という二つの見方の違いです。

一般的に、企業が巧妙な外部サイバー攻撃を受けた場合、過失責任を問われる範囲は限定的になります。しかし今回の官民合同調査団の結論は、「経営上の管理不備」——すなわちパスワード・認証キー管理という基本的な情報セキュリティ運用の怠慢が主因であるという認定でした。この認定がなされた結果、「被害者としての会社」ではなく「義務を怠った責任主体としての会社」という位置付けになり、記録的な課徴金の根拠となりました。

韓国の個人情報保護法では、安全措置義務を怠った企業に対し最大で年間売上高の3%の課徴金が科されます。今回の6,247億ウォンは、クーパンの年間売上（約30億ドル規模の韓国事業）に対するこの上限に近い水準です。

波及影響—CEO辞任・証券訴訟・外交問題

韓国CEOの辞任：2025年12月10日、クーパン韓国法人のCEO朴大俊（パク・デジュン）氏が「最近の個人情報流出に関連して」辞任しました。現在はHarold Rogers氏が韓国法人の暫定CEOを務めています。

大統領の批判：李在明（イ・ジェミョン）大統領は2025年12月2日の閣議で「個人情報保護への無関心という悪習を断ち切らねばならない。5か月間も漏えいに気付かなかったことは驚くべきことであり、責任者を速やかに特定し厳正に責任を問うべきだ」と発言し、懲罰的損害賠償制度の強化の検討を指示しました。

米国での証券集団訴訟：法律事務所Hagens Bermanらが2025年12月に米国で証券集団訴訟を提起。2025年5月7日〜12月16日に株式を購入した投資家が対象で、「プロアクティブなセキュリティ」と「管理上のセーフガード」を謳いながら実際には6か月にわたる侵害を検知できなかったことについてクーパンが投資家を誤解させたと主張しています。

外交的摩擦：Bloombergは今回の事案について「この問題は米国との外交的な摩擦にも発展していた」と報じています。NYSE上場の米国登記企業への韓国当局による記録的制裁という側面がこの摩擦の背景にあるとみられます。

ソフトバンクへの影響と日本への関連

クーパンの発行済み株式の23.9%をソフトバンクグループが保有しています。クーパンの株価は2026年に入り35%下落しており、80億ドル以上の市場価値が消失したとされています。

なお、クーパンが日本で展開するフードデリバリーサービス「Rocket Now」については、クーパンの広報担当者がTechCrunchに対し「日本のRocket Nowや台湾のサービスからのデータが今回の漏洩に影響を受けたという証拠はない」と説明したとされており、日本のユーザーへの直接的な被害は現時点では確認されていません。ただし、ソフトバンクグループの投資先企業に対する記録的制裁という側面は、日本の機関投資家・ESG投資家にとっても注目すべき動向です。

日本企業・情報システム担当者への示唆

今回の事案は「退職者の認証情報を無効化しなかった」という、技術的に高度ではない管理上の失敗が引き起こした史上最大級の個人情報漏洩事案として記録されます。

情報セキュリティの観点からの最大の教訓は退職者アカウント管理の徹底です。退職・異動・役職変更時のアクセス権限の即時剥奪は、NIST SP 800-53・ISO/IEC 27001・日本の個人情報保護委員会のガイドラインが共通して要求する基本的な安全管理措置です。今回のクーパン事案は、この基本を怠ることが「高度なAPT攻撃を受けた場合よりも深刻な法的結果をもたらす可能性がある」ことを示しています。

また、規制環境の観点では、韓国が「年間売上高の3%」という上限に近い課徴金を実際に発動したことは、日本でも改正個人情報保護法下での制裁強化議論に影響を与える可能性があります。

FAQ

Q. 今回漏洩したのはどのような情報ですか？決済情報は含まれていますか？ A. 韓国科学技術情報通信部の調査報告では「氏名とメールアドレス」の合計3,367万3,817件とされています。クーパンは「決済情報・ログイン認証情報は漏洩していない」と確認しています。ただし当初の報道ではスマートフォン番号・配送先住所・注文履歴なども言及されており、情報の内容については報告によって若干の差異があります。

Q. 日本のクーパンサービス（Rocket Now）は影響を受けていますか？ A. クーパンは「台湾のサービスと同様、日本のRocket Nowからのデータが今回の漏洩に影響を受けたという証拠はない」と発表しており、現時点では日本ユーザーへの直接的な影響は確認されていません。

Q. 6,247億ウォンという金額はどのように算定されましたか？ A. 韓国個人情報保護法は安全措置義務違反に対し最大で「関連売上の3%」の課徴金を定めています。詳細な算定根拠についてはPIPCの公式発表内容から確認できます。

Q. 元従業員の認証キーが有効だったとは何を意味しますか？ A. クラウドサービス・社内システム・APIへのアクセスを可能にする認証情報（APIキー・アクセストークン・VPN認証情報等）が、従業員の退職後も無効化・削除されずに残っていたことを意味します。この認証情報を保持したまま退職した元従業員が、外部から継続してシステムにアクセスし続けられた状態です。