Coupang・SKT、数千万件の個人情報流出 保険は最大10億ウォン…実際の損害賠償の可能性は低い

最近、大規模な個人情報漏洩事件が発生したにもかかわらず、CoupangやSKテレコムなどの大手情報通信企業は、被害者救済のための個人情報漏洩賠償保険に法定最低限度のみを加入していた。これにより、実際に被害が発生した際に十分な補償が得られないという構造的な問題が再び浮き彫りとなった。

8日、損害保険業界によると、Coupangは現在Meritz火災保険会社の個人情報漏洩賠償責任保険に加入しており、補償限度額は100億ウォンである。また、最近発生した約3,370万件の個人情報漏洩事故については、保険事故の申請をしていない。Coupangだけでなく、約2,300万件のユーザー情報が流出したSKテレコムも、現代海上保険会社で同様の保険に加入しており、限度額は同じく100億ウォンであることが確認された。

現行の「個人情報保護法」では、一定以上の売上高の企業は個人情報漏洩賠償保険に加入することが義務付けられているが、企業規模に比べて強制加入の最低限度額が低すぎる点が問題視されている。例えば、年売上高が10兆ウォンを超える、または情報を保有する顧客数が1,000万人を超える超大企業でも、100億ウォン限度の保険に加入していれば法的には問題ない。このため、実際に大規模な被害が発生しても、保険金による実質的な補償は極めて限定的となる。

保険業界では、過去の事故規模や被害者数を考慮し、強制加入の最低限度額を1兆ウォン程度まで引き上げる必要があると主張している。企業が民事訴訟を通じて損害賠償を行う場合でも、保険で一部補償できれば費用負担が分散され、被害者保護も実現できるという理由からだ。一部の事例では、保険限度額が低すぎるため、企業がこれを口実に責任逃れや賠償の遅延を図る悪用事例も指摘されている。

こうした背景から、損害保険協会など関連業界は近く、個人情報保護委員会など政府機関に対し、最低保険加入額の改正を要請する予定だ。特に、売上高10兆ウォン以上、または情報主体数1,000万人以上の企業には、最低1兆ウォンの保険加入を義務付ける案を検討している。同時に、未加入企業への罰金など行政措置をより積極的に実施するよう求める声も高まっている。

一方、未加入による罰金処分の事例は現在まで存在しない。個人情報保護委員会が保険加入義務のある企業の正確な規模を把握できていないため、実質的な措置が取られておらず、現在の保険加入率は、全加入対象企業（推定8.3万～38万社）の2%～8%にとどまっている。

このままの傾向が続けば、今後個人情報漏洩事故が再発した際、被害者保護措置の実効性を巡る論争が起き、最終的には企業の信頼低下や、強力な保険・規制改革につながる恐れがあるため、政府と国会による制度の早急な整備が求められている。