韓国で大規模な個人情報流出事故が発生しました。

クーパンという、韓国最大の通販サイトで10日ほど前から「約 4500件」のアカウントに不正アクセスがあった、と報じられていたのですが、これが最近になって「約 3370万件」へと規模が一気に膨れ上がりました。7500倍です。
しかも、不正アクセスが始まったのは今年の6月で、クーパン側は5ヵ月間これに気づいていなかったと。

韓国ではたびたび数千万人規模の個人情報流出事件が発生します。2011年にはSKコミュニケーションズ（Cyworld、Nate）流出事件で約 3500万人分の個人情報が流出。2013年にはゲーム会社 3社から合計 2700万人分がサイバー攻撃により流出。2014年にはクレジットカード 3社から合計 2000～ 2100万人規模の個人情報が持ち出され流出。
韓国の人口は約 5100万人ですから、その規模感の大きさが分かるでしょう。

ちなみに、日本の場合は 2014年のベネッセの個人情報流出事件が約 3504万件で最大です。（ソニーのPSN 7700万件は全世界なので除外）

クーパンが集計した第3四半期時点のアクティブ・アカウントは約 2470万人とのことなので、休眠アカウントも含めたすべてのアカウント情報が被害にあったものと思われます。
一応、クレジットカード番号は流出していないとのことです。しかし、氏名・住所・電話番号・メールアドレスなどの基本情報は漏れていますし、ここから個人情報を活用したフィッシング詐欺などへ繋がる可能性が懸念されています。

 

聯合ニュースの記事からです。

「3千万」顧客情報流出のクーパン...被害5ヵ月間気知らなかった

（前略）

30日、流通業界によれば、クーパンは前日午後「顧客アカウント約 3370万個が無断で流出した」と公示した。

クーパンは流出した情報が顧客の名前と Eメール、電話番号、住所、一部の注文情報に制限され、決済情報とクレジットカード番号は含まれなかったと発表した。

続け「現在までの調査によれば、海外サーバを通じて 6月 24日から無断で個人情報に接近したと推定している」と付け加えた。

顧客情報奪取の試みがすでに5ヵ月前に始まっていたということだ。

クーパンはこの事故を 18日に察知し、20日と前日にそれぞれ関連内容を個人情報保護委員会に申告した。

（中略）

前日の関連記事には「顧客被害は誰が責任を負うのか」、「全てがばれてとても恐ろしい」、「流出したことに対する補償をしなければならない」などのコメントが相次いだ。

特にクーパンが被害規模を9日ぶりに約7500倍に調整したことについて、追加被害がさらに出るのではないかと見る見方もある。また、6月から情報奪取の試みがあったことが確認されただけに、情報流出が数ヵ月にわたりなされた可能性も提起されている。

（後略）

聯合ニュース「'3천만' 고객정보 유출 쿠팡…피해 5개월간 몰랐다（「3千万」顧客情報流出のクーパン...被害5ヵ月間気知らなかった）」より入り部抜粋

実は、2000年代前半にはハングルで「履歴書」をネット検索すれば普通に住民番号入りの履歴書画像を見つけることができました。それくらい、韓国人にとってネットに個人情報を晒すことへの危機感が、当時の日本人の感覚（個人情報保護法制定は2005年）と比較して「緩い」と言える状況でした。

そして2014年以前まで、住民登録番号（日本のマイナンバーのようなもの）を企業が普通に収集していました。SNS登録時にさえ住民番号を入力させていました。（実在する人物である事を確認する以上の意味は無かったと思います）
2014年以降は住民登録番号を収集してはいけないことになったので、今回の流出でも住民登録番号は流出していないはずです。
まあ、だから良いという話でもありませんが。

クーパンは2021年と 2023年にも小規模ながら個人情報流出事故を起こしています。
そして、今年 2月に米国証券取引委員会に提出した事業報告書（10-K）の「サイバーセキュリティ」項目の「サイバーセキュリティ脅威によるリスク戦略、営業実績、財務状況など」において「サイバーセキュリティ脅威が企業に今後、重大な影響を及ぼす可能性があるか」との質問に「 false（該当なし）」と回答しています。

これは、過去の流出事故を受けて対応を強化したことによる自信の表れか、それとも相変わらず危機感の足りない「緩い」状態だったのか…。