【寄稿】ソニー判例で見たクパン訴訟、審判隊が上がった「データセキュリティガバナンス」
2026-01-02
![[기고] 소니 판례로 본 쿠팡 소송, 심판대 오른 '데이터 보안 거버넌스'](/_next/image?url=https%3A%2F%2Fd1tgonli21s4df.cloudfront.net%2Fupload%2Fboard%2Fbroadcast%2F20260102061241453.webp&w=3840&q=100)
去る2014年カリフォルニア南部連邦裁判所は「ソニーゲーミングネットワークデータセキュリティ侵害訴訟(In re Sony Gaming Networks)」でデータ流出訴訟の歴史に残るほどの判決を下した。当時、裁判所がどのような法理的主張が生き残り、どのような主張が棄却されるかを明確に判示し、以後、類似訴訟が参考にすべき「基礎教科書」を提示したためだ。現在進行中のクパン(Coupang, Inc.)集団訴訟においても、この先例に基づいて、一段と緻密で高度化した法的工房が展開されると予想される。
ソニーとクパンの出来事の最も決定的な違いは、出来事を定義するフレーミングにあります。ソニー事件は2011年当時、プレイステーションネットワーク(PSN)がハッキングされて約7,700万人のユーザー情報が流出してサービスが中断された事態から始まった。当時訴訟は「データ流出」にすべての焦点が合わせられていた。外部侵入事実自体が存在したのか、またソニーが技術的に合理的なセキュリティ措置(Reasonable security)を履行したのかが主な関心事だった。
一方、クーパン事件は本質的に「統治の失敗」が中心課題となっている。外部からの攻撃を防ぐことができなかったという技術的過失を超えて、米国企業を中心とした世界的なオペレーティングシステムとセキュリティ管理構造の全体的な失敗を扱っています。訴訟のレベルは経営責任の分野にまで拡大しており、セキュリティに関する意思決定の責任者は誰なのか、構造的な怠慢があったかどうかを調査している。
米国連邦裁判所で個人情報流出事件の最初の関門は憲法上原告適格(Standing)認めるかどうかだ。先立ったソニー事件で裁判所は個人情報が侵害されたという客観的事実を重視し、原告適格の扉は広く開けたが、本当の賠償責任を問う段階では非常に厳格なマットを突き詰めた。単に情報が流出して不安だという抽象的なリスクだけでは賠償要件を満たさないと見たのだ。当時、裁判所は実際の個人情報の誤乱用や詐欺の試み、具体的な費用支出と時間的損害など立証可能な「現実的損害」が欠けている多数の請求を棄却した。つまり、個人情報事件の勝負は流出事故の発生可否ではなく、それによって発生した具体的な被害をどのように構成して立証するかによって決まるというのがソニー判例が与える核心事案だ。したがって、今回のクパン訴訟の成敗も、身元盗難管理費用や実際の金銭損失などの流出による被害など、現実的な損害をどれほど論理的に具体化するかによって決まると見られる。
法的アプローチも変更が必要です。ソニー関連の判決当時、裁判所は「原則として経済的損害は契約法の領域」という理由で純粋な過失(Negligence)請求を大挙棄却した。一方、カリフォルニア消費者保護法(UCL・FAL・CLRA)に基づく請求は相当部分認めた。これは、消費者保護法が企業の欺瞞的行為の有無に注目するためである。裁判所は、企業がセキュリティレベルについてどのような陳述をしたのか、その陳述が当時企業内部で認知していたセキュリティ状態やリスク認識と配置されるか、そしてその結果消費者が合理的に誤認されたかを中心に判断した。クパン訴訟においても、この流れは有効であると分析されています。乗算が低い過失責任論ではなく、企業が「業界標準暗号化」や「合理的セキュリティ」を約束したにもかかわらず、これを守らずに消費者を欺いたかどうかが核心争点になるだろう。つまり、消費者欺瞞とセキュリティガバナンスの失敗を結びつけることが今回の訴訟の核心輪と見なすことができる。
何よりも注目すべき点は、ディスカバリーの質的拡張である。過去のソニー事件のディスカバリーが技術的セキュリティ対策の適正性確認に留まった場合、クパン事件はその範囲を理事会と経営陣に広げなければならない。単に「セキュリティシステムが設けられていたか」を超えて「誰が、どの組織構造の下で脆弱なシステムを放置したのか」を究明しなければならないからだ。米国本社の役員報告ライン、セキュリティ予算配分、意思決定構造などを綿密に把握することが今回の訴訟のカギとなるだろう。
結局、クパン訴訟はソニー事件判例という教科書を踏襲するのにとどまらず、これを踏み出してグローバル企業の本社責任を問う高度化された法的闘争で広がる見通しだ。技術的過失を超えてガバナンスの責任を問う今回の訴訟は、今後グローバル企業のデータセキュリティ責任範囲を再確立する新しい司法的基準となるだろう。
●外部必須の寄稿は、本紙の編集方向と異なる場合があります。
キム・ドンシク記者 kds77@kyeonggi.com
[記事の表示]
[投稿] ソニー判例で見たクパンソング(リンク)対面相談予約
法律のお悩みがございましたら、最寄りの事務所で専門弁護士にご相談ください。


