韓国が不正情報共有でBithumb(ビッサム)に罰金処分
韓国の個人情報保護委員会=PIPCは、暗号資産取引所Bithumbに対し、ユーザーの個人情報を法的な同意を得ずに海外プラットフォームへ不適切に共有していたとして、2億1,000万ウォン(約2,200万円)の罰金処分と是正命令を下した。
この決定は、同委員会が開催した第12回全体会議において確定したもので、問題の発端は2025年の国会監査にさかのぼる。Bithumbが海外取引所と売買注文を相互にマッチングさせる注文板(オーダーブック)共有を行っている点について疑問視されたことが契機となった。
PIPCの調査によると、Bithumbは2025年9月から11月にかけて、テザー(Tether/USDT)の市場注文情報を海外に転送。当時、ユーザー側はStellar取引所を介したデータ送信には同意していたものの、実際のデータはユーザーの意図しない別の取引所bingx.comが運営するシステムへと送信されていた。この流動性パートナーシップの過程で、利用者の識別情報や注文データが事前承認のない第三者へ流出していたことがプライバシー侵害にあたると判断されました。
PIPCは、BithumbがAML(マネーロンダリング[資金洗浄]対策)の一環として、13の海外暗号資産取引所との間で資産送金を行う際も、送信者および受取人の氏名、ウォレットアドレス、生年月日などの個人情報を共有していた点について、適切な同意手続きを怠っていたと指摘。PIPCは、AML対策のための情報共有の必要性を一部認めつつも、「国境を越えたデータの移転は、ユーザー自身のデータ管理権(自己決定権)と密接に関わっている」と強調。いかなる場合も、法律が定める厳格な告知と同意の手続きを遵守しなければならないとした。
規制強化で今後求められるもの
今回の処分に伴い、Bithumbには海外へのデータ転送プロセスの改善や、個人情報処理方針における送金内容の明確な開示が求められている。
同社は過去にも、KYC(顧客確認)の不備や未登録の海外業者を介した送金などによるAML違反で368億ウォン(約38.7億円)の巨額な罰金を科された経緯があり、規制当局からのコンプライアンス圧力はさらに高まっている。現在、韓国では1,000万ウォン(約100万円)を超える海外送金の自動フラグ付け義務化や、国際的なCARF(暗号資産報告枠組み)に基づく48カ国との取引データ共有などが計画されており、国境を越えた暗号資産活動への監視網は急速に拡大。
また、PIPCはこの執行措置と並行して、ブロックチェーン事業者に特化した新しいプライバシーガイドラインを発表した。ブロックチェーンは、透明性、分散性に加え、一度記録すると削除が極めて困難である“不変性”という独自の性質を持つため、個人情報保護の観点から特殊な課題を抱えている。新たな指針では、システム構築の初期段階からプライバシーを保護する設計を求めるほか、氏名や社会保障番号といった「個人を直接特定できる識別情報」をブロックチェーン上に直接保存しないよう強く勧告している。
今回の事例は、暗号資産取引所に対して、不正な資金洗浄を防ぐ規制対応AMLや税務報告だけでなく、ユーザーのプライバシー保護を両立させることが厳しく求められる時代の到来を明確に示している。
