6,246억 원의 경고장: 쿠팡이 쏘아 올린 개인정보 보호의 거대한 파문 > K-wave Trends

Cet incident a commencé lorsqu'une grande quantité d'informations personnelles concernant environ 37,5 millions de personnes a été divulguée par piratage. À la suite de l'enquête, il a été révélé qu'un ancien employé de Coupang avait volé des informations sur les membres en abusant de la clé de signature d'authentification interne, ce qui prouve à quel point le système de sécurité le plus élémentaire de l'entreprise, le contrôle d'accès, était laxiste. Les pirates se déplaçaient librement entre les pages d'édition des membres et les pages de gestion des adresses de livraison pour réorganiser les profils, et examinaient même des informations extrêmement sensibles telles que l'historique d'achat de produits pour adultes et de sous-vêtements pour menacer les entreprises. Ce qui est encore plus choquant, c'est que même si Coupang était au courant de l'incident, il a retardé sa réponse en dépassant le délai légal de notification, et il a même été découvert qu'il y avait des obstructions systématiques à l'enquête, comme la suppression manuelle des enregistrements de journaux qui pourraient servir de preuve pendant l'enquête ou la négligence de la politique de suppression automatique. Cette insensibilité totale à la sécurité a finalement fait un nombre massif de victimes, atteignant 37,5 millions de personnes, et jeté un doute critique sur les capacités de gestion des données de l'entreprise.

Il ne s'agit pas seulement d'un incident de piratage, mais le fait que Coupang ait collecté des données d'utilisateurs sans base légale est signalé comme un problème plus grave. Tout en exploitant le programme de marketing d'affiliation « Coupang Partners », Coupang a suivi et stocké les enregistrements d'activité de 11,17 millions de personnes qui ont utilisé des sites Web ou des applications tiers autres que le sien sans consentement. Il s'agit de données sensibles qui incluent des informations sur l'URL, l'adresse IP d'accès, la date et l'heure, etc. sur les endroits où les utilisateurs visitent et les applications qu'ils utilisent, et elles comportent le risque de déduire des tendances politiques et religieuses au-delà des intérêts et des tendances de l'utilisateur. En outre, le fait qu'ils n'aient pas géré et supervisé correctement les entreprises partenaires qui publiaient des publicités frauduleuses, appelées « annonces d'enlèvement », et qui permettaient de collecter des enregistrements d'utilisation des services indépendamment de la volonté des utilisateurs, montre clairement leur manquement à leur responsabilité en tant qu'entreprise de plateforme. En fin de compte, il est difficile d’éviter les critiques selon lesquelles les entreprises ont dégénéré en organismes de surveillance qui génèrent des profits grâce aux données, plutôt qu’en prestataires de services pour les clients.

Le comportement déviant de notre filiale Coupang Fulfilment Service (CFS) a également eu une influence décisive sur le calcul de cette amende. CFS a collecté illégalement les noms de 71 journalistes travaillant à l'Agence nationale de police qui n'avaient aucun antécédent de travail dans un centre de distribution et les a inscrits et gérés sur une liste de restrictions d'emploi, ce qui a été considéré comme un acte qui a ébranlé les fondements de la loi sur la protection des informations personnelles. En outre, il a été révélé que l'entreprise avait violé la réglementation limitant le traitement des informations sensibles en soumettant au tribunal des informations sur le poids collectées au nom de la gestion de la santé des employés lors de procès pour accidents du travail. Cette série d'actions ne constitue pas simplement un incident de sécurité, mais suggère qu'il n'y avait aucune conscience éthique de la protection des informations personnelles au sein de l'entreprise. La Commission des renseignements personnels a compilé ces différentes violations et a décidé du niveau de sanctions le plus élevé jamais enregistré, compte tenu de l'ampleur des ventes et de la gravité de la violation, rappelant une fois de plus aux entreprises la sévérité de la gestion des données.

Coupang a exprimé ses regrets face à cette décision, affirmant : « Nous exploitons un modèle de partenariat conforme aux normes mondiales et avons fait de notre mieux pour prévenir les dommages secondaires. » La réponse de Coupang visant à clarifier les faits par le biais de procédures juridiques laisse présager une bataille juridique féroce sur le bien-fondé du montant de l'amende à l'avenir. Mais l’opinion publique est indifférente. Dans une situation où les informations personnelles de 37,5 millions de personnes ont déjà été divulguées, les excuses avancées par l'entreprise ne contribuent pas beaucoup à restaurer la confiance, et des voix fortes s'élèvent pour réclamer la reconnaissance des failles du système de sécurité interne et la reconstruction du cadre fondamental. La Commission des renseignements personnels a également menacé d'aller au-delà de la simple imposition d'amendes et d'effectuer des inspections tous les trois mois pour s'assurer que l'autorité réelle de l'agent de protection des renseignements personnels est garantie et que des mesures pour éviter que cela ne se reproduise soient mises en œuvre. Cela prévient que si Coupang ne parvient pas à utiliser cet incident comme une opportunité pour rétablir sa culture d'entreprise centrée sur la sécurité, la confiance dans le marché s'effondrera de manière incontrôlable.